Defensie zet de komende jaren flink in op "cyber" wat het als een onmisbaar element van de krijgsmacht beschouwt, toch is het niet de firewall van Nederland. Dat zeggen brigade-generaal Paul Ducheine, Hoogleraar Cyber Operaties aan de Nederlandse Defensie Academie, en kolonel Hans Folmer, commandant Defensie Cyber Commando, in een interview met Security.NL.

In 2012 presenteerde Defensieminister Hans Hillen de Defensie Cyber Strategie, die verschillende speerpunten bevat hoe internet door Defensie zal worden gebruikt. Het gaat onder andere om het gebruik van cyberspace voor defensieve, offensieve en inlichtingenmiddelen. Voor het offensieve deel wordt vaak gedacht aan de inzet van zero day-exploits, om zo via onbekende kwetsbaarheden toegang tot de systemen van de vijand te krijgen.

Defensie zegt op dit moment geen "cyberwapens" op de plank te hebben liggen. Toch is dit volgens Folmer geen probleem mocht er opeens een situatie zich voordoen waarbij er een exploit benodigd is. "In het algemeen houden we goed in de gaten wat de cybercapaciteit is van potentiële tegenstanders. En anderzijds is dit precies waarom we goede mensen nodig hebben", merkt hij op. Folmer laat verder weten dat onbekende kwetsbaarheden niet altijd nodig zijn. "Je kunt ook gebruik maken van bekende kwetsbaarheden in software, bijvoorbeeld in software die nog niet geupdate is."

Om ervoor te zorgen dat Defensie effectief is in het vinden van kwetsbaarheden is het belangrijk dat kennis en capaciteiten op peil blijven, merkt de commandant op. "We leren van elkaar en van anderen. En door goed personeel te werven, personeel goed op te leiden en veel te oefenen en trainen. Ook maken we gebruik van cyberreservisten, die hun kennis uit de burgermaatschappij meenemen naar Defensie."

Collateral damage

Het gebruik van malware en exploits in een conflict of voor een operatie is niet zonder risico's, zoals Stuxnet liet zien. De worm, die ontwikkeld was om de Iraanse uraniumverrijkingscentrale in Natanz te saboteren, verspreidde zich in de centrale via verschillende zero day-lekken. De infecties waren echter niet beperkt tot Natanz en wereldwijd werden tienduizenden computers door de worm geïnfecteerd.

Bij de inzet van cyberwapens moet Defensie "collateral damage" beperken, net als het bij reguliere operaties doet laat Ducheine weten. Zo wordt vooraf niet alleen het doel maar ook de omgeving goed in de gaten gehouden en in kaart gebracht. "Daarbij moeten we goed ontwerpen, beveiligingen inbouwen en een cyberwapen vooraf testen in een cyberlaboratorium. Collateral damage moet beperkt worden, bijvoorbeeld door de keuze van het doelwit en de 'wapens' of aanvalsmethode." Volgens Ducheine moet er van tevoren sowieso een 'collateral damage assessment' worden uitgevoerd om te zien of de verwachte nevenschade niet disproportioneel is ten opzichte van het verwachte militaire voordeel.

Onlangs riep minister Koenders van Buitenlandse Zaken nog op om in een gewapend cyberconflict bepaalde doelen niet aan te vallen. Het gaat dan onder andere om Computer Emergency Response Teams, die voor de vitale infrastructuur verantwoordelijk zijn en de status van non-combattant zouden moeten krijgen. Ducheine merkt op dat operaties in cyberspace wat dit betreft niet van operaties in het fysieke domein verschillen. "Aanvallen zijn strikt beperkt tot militaire doelen. Alles (mens of ding) wat niet aan de definitie van een "militair doel" uit het oorlogsrecht voldoet mag niet direct worden aangevallen."

Firewall

In tegenstelling tot wat vaak gedacht wordt is Defensie niet belast met de verdediging van de digitale grenzen van Nederland. "Iedereen, individu, bedrijf of departement, is zelf verantwoordelijk voor de bescherming van zijn eigen netwerken", zegt Ducheine. Defensie komt pas offensief in actie na een besluit van de regering. "En zo’n reactie is mogelijk als er sprake is van een cyberaanval vergelijkbaar met een gewapende aanval tegen Nederland. Defensie is niet de firewall van Nederland", benadrukt de hoogleraar.

Defensie houdt zich wel bezig met het verdedigen van de eigen netwerken, iets dat door het Defensie Computer Emergency Response Team (DefCERT) wordt gedaan. Daartoe monitort en analyseert de eenheid digitale kwetsbaarheden en adviseert en ondersteunt bij cyberincidenten. Van april 2013 tot maart 2014 werden zo'n 22.000 stuks malware door DefCERT op ongeclassificeerde en Departementaal Vertrouwelijke computersystemen afgevangen. Meer dan 600 hiervan werden als incident in behandeling genomen. Daaronder bevonden zich meerdere malwarebesmettingen waarbij (Defensie- en privé-)computers probeerden deel uit te maken van een botnet.

Bewustzijn

Net als bij andere bedrijven en organisatie speelt bewustzijn van het personeel een grote rol, laat Folmer weten. Op de vraag welke 'best practices' Defensie voor de beveiliging van de eigen systemen aan andere partijen zou adviseren noemt de commandant het vergroten van het cyberbewustzijn van het personeel door trainingen. Ook pleit hij voor het meenemen van cyberincidenten in (crisis)oefeningen, het invoeren van een digitaal rijbewijs en het opnemen van cyberbewustzijn in het onderwijs.

Het bewustzijn heeft niet alleen betrekking op het personeel, maar ook de rol die cyberspace voor Defensie speelt en die is de afgelopen jaren steeds groter geworden. Toch zet Defensie niet alleen in op cybermiddelen, aangezien het digitale domein afhankelijk van de andere domeinen is merkt Folmer op. "Geen enkel domein kan zonder het andere domein. Het gaat niet om meerwaarde; wie niet present is in cyberspace, kan nooit overwicht behalen in de andere domeinen."