De NAVO ligt zwaar onder vuur van hackers. Die plaatsen duizenden digitale aanvallen per maand om de computers van het Noord-Atlantische Verdragsorganisatie (NAVO) binnen te dringen.
Het meest verontrustende is nog dat de herkomst van deze aanvallen niet kan worden achterhaald. Volgens een diplomatieke bron bij de NAVO is ‘eigenlijk nooit duidelijk of de aanvallen afkomstig zijn uit Iran, Noord-Korea, Rusland, China of andere potentiële tegenstanders’. Dit betekent dat de NAVO niet kan terugslaan en – nog erger – kan worden getroffen door wat in militaire kringen een ‘False Flag-operation’ wordt genoemd.
‘Valse Vlag’-operatie
Een ‘Valse Vlag’-operatie is een aanval waarbij de hackers hun doelwit – in dit geval de NAVO – misleiden door de digitale vingerafdrukken van een ander land achter te laten. Een eventuele represaille van de NAVO treft dan het verkeerde land.
De gevolgen zijn catastrofaal, want het land dat de vergelding te verduren krijgt, voelt zich het slachtoffer van een bliksemaanval door de NAVO. Het land moet terugslaan, waarna de NAVO nog heftiger terugmept. Zo ontstaat per abuis een (digitale) oorlog die kan uitmonden in een gewapend treffen met conventionele middelen. Het land van waaruit de oorspronkelijke digitale aanval werd ingezet, is de lachende derde.
Cyberveiligheid inmiddels kerntaak van NAVO
Op de topconferentie van de NAVO van juli 2016, in Warschau, benoemden de staats- en regeringsleiders van de 29 landen cyberdefensie tot prioriteit. Internetveiligheid is sindsdien een ‘kerntaak’ van het bondgenootschap. De militaire alliantie verdedigt zich nu niet alleen te land, ter zee en in de lucht, maar ook op het vierde niveau: cyber.
Zelf heeft de NAVO nauwelijks middelen. Er is een klein team specialisten dat vanuit het militaire hoofdkwartier in Bergen (Wallonië) uitrukt om landen bij te staan waarvan de cruciale netwerken op grote schaal worden aangevallen. Ook is er een expertisecentrum in Tallinn (Estland), waar digitale verdedigingsoefeningen worden gehouden. Maar als het erop aankomt, stellen de NAVO-capaciteiten weinig voor en moeten de lidstaten de verdediging op zich nemen. Zij hebben in meer of mindere mate de specialistische menskracht en de benodigde systemen.
Volgens diplomatieke bronnen behoort Nederland tot de ‘kopgroep’ van de landen die zich digitaal bewapenen. Het ministerie van Defensi geeft daar 9 miljoen euro per jaar aan uit, voornamelijk via het Defensie Cyber Commando van de Koninklijke Landmacht. Volgens de begroting 2018 waarover deze week in de Tweede Kamer wordt gesproken, krijgt de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) 8 miljoen extra voor ‘de bestrijding van cyberspionage en – sabotage’. Op een totaal defensiebudget van 9 miljard gaat het dus om geringe bedragen.
Binnen de NAVO vindt iedereen cyberdefensie enorm belangrijk vanwege de mogelijke schade die hackers kunnen aanrichten, maar verder zitten de 29 lidstaten nauwelijks op één lijn. Uit gesprekken met ingewijden in Brussel blijkt dat er tussen de landen groot verschil van inzicht bestaat over wanneer een digitale aanval een NAVO-aangelegenheid is. Valt een aanval vanuit het buitenland op de computersystemen van Britse ziekenhuizen, zoals laatst gebeurde, onder het befaamde Artikel 5 van de NAVO of niet?
Nederland en een aantal andere landen vinden dit een nationale aangelegenheid, omdat het gaat om computercriminaliteit. Hooguit zou Interpol erop kunnen worden gezet. De Oost-Europese landen daarentegen wijzen op het grote aantal slachtoffers dat kan vallen, indien bijvoorbeeld de elektriciteitsnetwerken worden lamgelegd. Zij willen Artikel 5 van het NAVO-verdrag – een aanval op een, is een aanval op ons allen – terstond activeren.
Lastig is ook dat de NAVO een defensieve alliantie is. Er is consensus dat de digitale infrastructuur van de 29 krijgsmachten optimaal moet worden beschermd tegen hackers. Maar de landen zijn het onderling niet eens of ze – zoals het Defensie Cyber Commando in Nederland – ook offensief moeten kunnen optreden.