The importance of a European digital fist through civil-military cooperation

Waar landen elkaar vroeger nog met artillerie bestookten, gaan naties vandaag de dag de strijd steeds vaker aan met digitale instrumenten. De (pantser)houwitser heeft plaats moeten maken voor wapens zoals ‘zero day exploits’; aanvallen waarbij misbruik wordt gemaakt van software-kwetsbaarheid waar anderen niet van op de hoogte zijn. Als we het hebben over de gevaren in het digitale domein dan denken we al snel aan cybercriminaliteit, maar het wordt steeds duidelijker dat de grootste dreiging schuilt in digitale ontwrichting door statelijke actoren. We zien dat landen niet terugschrikken van cyberspionage, aanvallen op (kritieke) infrastructuur of digitale desinformatie/beïnvloedingscampagnes. Nederland kan deze dreiging slechts tot op zekere hoogte zelfstandig het hoofd bieden, maar gezamenlijk met onze Europese buurlanden zijn we van betekenis in de internationale arena. De hamvraag is daarom: wat doen wij als Europa om onszelf te beschermen? Zouden we meer moeten doen? En wat zou de rol van Nederland dan kunnen of zelfs moeten zijn?
Geopolitieke spanningen uiten zich steeds vaker in het digitale domein
Met een gerichte luchtaanval op de internationale luchthaven van Baghdad werd op 3 januari 2020 de Iraanse generaal Qasem Soleimani om het leven gebracht door het Amerikaanse leger. In de dagen na dit incident werd er een drievoudige toename gezien van wereldwijde cyberaanvallen die konden worden getraceerd tot Iraanse IP-adressen, inclusief pogingen om federale, nationale en lokale websites in de Verenigde Staten te hacken1. Op 4 januari bleek een website van de Amerikaanse regering inderdaad ook daadwerkelijk gehackt te zijn en zagen bezoekers aan de website een afbeelding van een bebloede president Donald Trump met een begeleidende pro-Iraanse boodschap.
Iran wordt niet per se gezien als een grootmacht in cyberspace zoals Rusland of China. Toch heeft ook dit land volgens experts flink geïnvesteerd in cybercapaciteiten en blijken ze niet te twijfelen om deze middelen in te zetten. Dat dit geen recente ontwikkeling is, bleek eerder toen officieel bekend werd gemaakt dat Iran al in 2013 het controlesysteem van een dam in de Amerikaanse staat New York had gehackt. Naar aanleiding van de toenemende spanningen tussen Amerika en Iran kwam het Amerikaanse Homeland Security kort na de aanslag op Soleimani met een waarschuwing voor bedrijven in Amerika, maar ook haar bondgenoten in het buitenland, om voorbereid te zijn op een toename in cyberaanvallen. Deze gebeurtennissen onderschrijven het feit dat geopolitieke spanningen en zelfs oorlogsvoeringen zich steeds meer in het digitale domein uiten en afspelen. De bereidheid van landen zoals China, Rusland, Noord-Korea, Iran, Israël en ook de Verenigde Staten om geopolitieke disputen in het digitale domein uit te vechten is onbetwist.

Europese landen en bedrijven (inclusief Nederlandse) zijn steeds vaker doelwit
Het bovenstaande voorbeeld is geen nieuw fenomeen. Enkele andere noemenswaardige voorbeelden van digitale ontwrichting door natiestaten zijn: de cyberaanval op het elektriciteitsnet van Ukraine in december 20155, de wereldwijde reeks aan Wannacry-aanvallen in 2017 waar een verband werd gelegd met Noord Korea6 en dichter bij huis de Iraanse hack van Diginotar in 2011 en de verijdelde Russische hackaanval op de OPCW in Den Haag in 20187. Meerdere malen is dus gebleken dat ook Europese landen, bedrijven en organisaties steeds vaker doelwit zijn. Recentelijk werd nog bekend gemaakt dat Iraanse overheidshackers achter aanvallen op Nederlandse onderwijsinstellingen zaten. In principe is elke organisatie, maar ook elk land in de eerste plaats zelf verantwoordelijk voor haar digitale verdediging. Binnen Europa betekent dit dan ook dat alle landen zelf een nationale strategie en capaciteiten hebben opgebouwd in het civiele en militaire domein om cyberrisico’s het hoofd te bieden. We zien daarin een groot onderling verschil in volwassenheid, zowel wat strategie, wetgeving als capaciteiten betreft. Tegelijkertijd houden cyberdreigingen geen rekening met landsgrenzen. Aanvallen zijn vaak grensoverschrijdend, zelfs als dit soms onbedoeld is. Dit bleek bijvoorbeeld in 2017 toen de Rotterdamse haven grote last ondervond van een grootschalige hack bij het Deense container terminal bedrijf A.P.Møller- Maersk. De honderden miljoenen schade bleken het onbedoelde neveneffect te zijn van een op Oekraïne gerichte cyberaanval. Er werd misbruik gemaakt van een programma waar Maersk toevalligerwijs ook gebruik van maakte. In Europa kunnen landen dan wel hun eigen cybercapaciteiten hebben georganiseerd, cyberaanvallen vragen juist op het Europese continent om intensievere internationale coördinatie. Geen enkel Europees land beschikt bovendien over voldoende cybercapaciteit om op eigen houtje tegenwicht te kunnen bieden aan grote wereldmachten als China, Amerika of Rusland. Dit buitenlandse ‘cyberleger’, inclusief ‘state sponsored’ hackersgroepen en volledige cyberlegers vragen om een intensivering van de Europese cybercapaciteiten. Dit doet de vraag rijzen wat Europese landen (gezamenlijk) doen om zich te wapenen in dit nieuwe tijdperk.

Europa focust zich voornamelijk op preparatie, responsieve maatregelen en wetgeving
Europa staat zeker niet stil, integendeel: lidstaten van de EU zijn hun samenwerking wat cybercapaciteiten betreft de afgelopen jaren aan het intensiveren. Op Europees niveau is er al vele jaren extra aandacht voor digitale veiligheid en het tegengaan van cybercriminaliteit. Europa wil zorgen dat er een veilige interne markt is. Dit geldt zowel op fysiek als op digitaal vlak. In januari 2013 werd het Europees Centrum voor Cybercriminaliteit (EC3) opgericht, gevolgd door de oprichting in 2014 van het EU-agentschap ENISA. In 2019 kreeg dit agentschap vanwege de steeds groter wordende dreiging van ‘cyberwarfare’ en het belang van internetveiligheid, een permanent mandaat. In haar welbekende rol als wetgever drukt de EU haar stempel zowel binnen als buiten Europa. De AVG (Algemene Verordening Gegevensbescherming) of GDPR (General Data Protection Regulation) is in 2019 in werking getreden om als Europese actor eisen te stellen aan (onder andere) het bewaken van persoonsgegevens. Ook door de zogenaamde NIS-directive (Directive for Network and Information Systems, doorvertaald naar de Wet Beveiliging Netwerk- en Informatiesystemen in Nederland) werden cybersecurity-voorschriften aan Europese bedrijven opgelegd en samenwerking tussen lidstaten bevorderd. In mei 2019 werd de belangrijke stap gezet met een Europees raamwerk dat de EU in staat stelt (financiële) sancties aan personen of entiteiten op te leggen als reactie op cyberaanvallen. Wat cybersecurity-regulatie en-wetgeving betreft, is Europa dus zeker actief. Daarnaast presenteerde de Europese Commissie in september 2018 een voorstel om een Europees kenniscentrum op te richten voor industrie, technologie en onderzoek op het gebied van cyberbeveiliging. Het doel van dit voorstel is om innovatie op het gebied van cyberbeveiliging te stimuleren door de krachten te bundelen. In november 2018 werd het EU Cyber Defense Policy Framework aangepast om dit ook vanuit de EU actief aan te jagen.

In de uitvoering van de NIS-directive is Capgemini al jaren betrokken bij projecten om bijvoorbeeld samenwerking tussen de Computer Emergency Response Teams (CERTs) van lidstaten te faciliteren en te stimuleren9. Ook dit jaar leidt Capgemini een consortium in een project om Europese Information Sharing and Analysis Centers (ISACs) op te bouwen10. In deze gremia wordt over landsgrenzen heen informatie uitgewisseld binnen een aantal vitale infrastructuren (Operators of Essential Services), zoals financiën, energie of de luchtvaart. Door deze informatie- uitwisseling kunnen incidenten en waarschuwingen snel worden gedeeld over landsgrenzen, zodat ook elders preventieve of
responsieve maatregelen kunnen worden getroffen. Een sleutelfactor van dergelijke samenwerkingsverbanden is het feit dat het om publiek-private samenwerking gaat, waarbij de (Europese) overheid onder andere faciliterend optreedt en informatie deelt. De verdere uitvoering en invulling van de initiatieven is volledig in handen van private partijen. Uiteindelijk zijn het vaak de private partijen die het doelwit zijn van cyberaanvallen. Maar wat als deze aanvallen niet afkomstig zijn van ‘kleine’ cybercriminelen maar van de eerdergenoemde ‘state sponsored’ hackersgroepen of cyberlegers? Er is dan sprake van een grote mate van asymmetrie en het ligt niet in lijn der verwachting dat civiele organisaties in staat zijn om dergelijke aanvallen het hoofd te bieden. De EU is op meerdere vlakken actief, maar we zullen meer moeten doen.

De sleutel is meer samenwerking tussen het civiele, militaire en inlichtingendomein
Wat kan Europa dan nog meer doen? In 2013 riep Brazilië landen op om een eigen ‘intranet’ te starten, voornamelijk uit frustratie door internationale cyberspionage van onder meer de Amerikaanse veiligheidsdiensten. In meerdere landen wordt het internet daadwerkelijk actief afgeschermd en gereguleerd, bijvoorbeeld door bepaalde delen van het wereldwijde web te blokkeren. In het geval van China wordt er bijvoorbeeld schertsend gesproken over ‘the Great Firewall of China’. Als alle landen hiertoe overgaan, zullen geopolitieke spanningen en verhoudingen zich dus ook letterlijk in internetgrenzen uiten, zodat er een ‘splinternet’ ontstaat. Enerzijds biedt een dergelijke nationaal ‘intranet’ afscherming van buitenlandse kwaadaardige bedoelingen. Anderzijds stelt het regeringen ook in staat om veel meer invloed uit te oefenen op hun burgers door de controle op informatiestromen. Naar verwachting zal de EU niet snel overgaan tot dergelijke verdedigingsmaatregelen, gezien het feit dat dit uitnodigt tot internetcensuur wat op gespannen voet staat met de waarde die wij hechten aan burgerlijke vrijheden en rechten. In 2011 werd in de zogenaamde ‘Council of the European Union’s Law Enforcement Working Party’ een voorstelvandergelijkevormendanookalsnelterzijdegelegd.
De EU kan er ook voor kiezen om haar cybercapaciteiten uit te breiden, waarmee zich meer van zich af kunnen bijten. Dat vraagt om meer capaciteiten die liggen in het militaire- en inlichtingendomein. Op dit moment is veel van de Europese samenwerking gericht op reactieve en tot op zekere hoogte preventieve maatregelen. Lidstaten zelf ondernemen wel degelijk stappen om hun militaire cybercapaciteit uit te breiden (in meerdere gevallen bestaat er al meer dan tien jaar een soort cybercommando). Helaas komt de Europese samenwerking slechts mondjesmaat op gang. In 2017 werd op het International Cyber Operations Symposium aangegeven dat het bespreken van offensieve cybercapaciteit bij de NAVO tot voor kort taboe was12. Het European Defense Agency begint ook meer in te zetten op Europese defensiesamenwerking in het cyberdomein. Zo werd in 2018 een eerste belangrijke mijlpaal behaald met een grootschalige oefening binnenhet zogenaamde ‘Cyber Range Federation’ project, waarmee cyberdefensie-trainingscapaciteiten van elf landen worden geïntegreerd. Toch lijkt er sindsdien een behoefte te zijn aan meer Europese aansturing en coördinatie. In onze visie is het hierbij essentieel dat er niet alleen sprake is van onderlinge defensiesamenwerking, maar dat er ook een brug wordt geslagen tussen het militaire en civiele domein. We zullen binnen Europa de volgende stap moeten zetten in publiek-private samenwerking en de bestaande capaciteiten in verschillende domeinen zoveel mogelijk moeten verenigen. Alleen op deze manier zal Europa in staat zijn om haar fysieke en digitale markt te beschermen.

Het Nederlandse veiligheidsdomein moet een voortrekker zijn van Europese civiel- militaire samenwerking
Samenwerking tussen defensie en private partijen, maar ook inlichtingendiensten, is cruciaal voor Europa om gezamenlijk sterk te staan. Kruisbestuiving is cruciaal aangezien de traditionele scheiding van domeinen voor het cyberdomein niet opgaat. We kunnen niet meer spreken van militair versus civiel, publiek versus privaat en nationaal versus internationaal; dichotomieën die niet meer opgaan. In onze visie ligt hier bij uitstek een kans en verantwoordelijkheid voor Nederland om op te treden als een voortrekker van deze ontwikkeling. Nederland is van oudsher sterk in civiel-militaire samenwerking en het bouwen van bruggen tussen verschillende werelden. We zullen ontwikkelingen die nationaal al in gang zijn gezet ook internationaal moeten agenderen. In Nederland zitten liaisons van de inlichtingendiensten bijvoorbeeld vaak aan tafel bij sectorale ISACs. Ook Defensie zet de laatste jaren steeds meer in op het betrekken van de private sector bij haar cybercapaciteit, bijvoorbeeld door professionals uit het bedrijfsleven als cyberreservist in te zetten. Dergelijke voorbeelden zijn ook toepasbaar op Europees niveau en zelfs broodnodig. Door onze eigen ervaringen en ‘best practices’ ook in Europees verband te adresseren kunnen wij er zorg voor dragen dat er niet alleen samenwerkingsinitiatieven binnen, maar juist ook over verschillende domeinen heen ontstaan. In de wetenschap dat Nederland alleen niet opgewassen is tegen de uitdagingen die voortkomen uit het internationale cyberdomein zullen wij civiel-militaire samenwerking moeten aanjagen om daarmee een gemeenschappelijke Europese digitale vuist te laten zien.