Digitale wapens: hoe groot is de kans op een cyberoorlog?
Wanneer cyberveiligheid in het nieuws komt, is dat doorgaans met verhalen over gevaarlijke bugs, grote datadiefstallen of circulerende phishingmails en virussen. Wie zich met het onderwerp bezighoudt, weet dat er achter het internet een dark web steekt, een soort van parallel universum waar hackers en cybercriminelen zich als een vis in het water voelen. Niet alleen criminelen zoeken de gaatjes van onze webwereld op. Ook staten hebben al heel snel geleerd dat er heel wat waardevols te rapen valt op onze informatiesnelwegen.
Digitaal arsenaal
Waar ik naar toe wil: cyberveiligheid gaat al lang niet meer alleen over het beschermen van je pc of je online bankrekening. Zonder al te veel ruchtbaarheid zijn cyberaanvallen toegevoegd aan het altijd groeiende arsenaal van militaire wapens. Dan bedoel ik niet alleen dat staten een netwerk kunnen platleggen of je bespioneren. Via digitale aanvallen kan men echte, fysieke schade aanrichten. De VS stuurde onlangs nog een officiële waarschuwing uit voor een hackcampagne die belangrijke sectoren binnen het eigen territorium en Europa in het vizier had. Behoorden volgens Amerika onder andere tot het doelwit: de energiesector, de watervoorziening, de luchtvaart en de nucleaire sector.
[related_article id=”213992″]Dat een cyberaanval op een van die doelwitten fysieke schade kan veroorzaken, is niet zo moeilijk in te beelden. Stel je maar eens een scenario voor waarbij een hacker zich toegang zou verschaffen tot een kerncentrale om daar het systeem dol te laten draaien. Of wacht, je hoeft je dat niet voorstellen – het is al gebeurd. In 2010 viel het voor in Iran. Dichter bij huis kreeg Oekraïne de afgelopen jaren verschillende keren te maken met een gedeeltelijke sabotage van zijn elektriciteitsnetwerk. Ik sprak met Kai Thomsen, een veiligheidsexpert van SANS Institute die zich toelegt op Industrial Control System (ICS) attacks, over de dreiging van dergelijke cyberwapens.
Stuxnet
2010 was het jaar van Stuxnet. “Voor ICS-aanvallen was dit het keerpunt,” zegt Thomsen. “Voorheen werd er ook al wel geëxperimenteerd met dergelijke cyber-demarches, maar Stuxnet veranderde de spelregels grondig.” Stuxnet was een computerworm ontwikkeld door de Amerikaanse intelligentiedienst NSA. Het programma was specifiek geschreven om een bepaalde elektronische component te saboteren die werd gebruikt in Iran om nucleair materiaal aan te maken. De NSA had zich echter misrekend in de virulentie van zijn worm, waardoor het programma wereldwijd op computers belandde en zo uiteindelijk werd ontmaskerd. “De worm demonstreerde dat ICS-aanvallen doenbaar en efficiënt waren,” zegt Thomsen, “Dat is verschillende landen toen niet ontgaan.”
Stuxnet markeerde de eerste keer dat een land de faciliteiten van een ander land probeerde te vernietigen via digitale weg, of toch de eerste keer dat er iemand op betrapt werd. Het was tevens het voorval dat Thomsen inspireerde om zich te verdiepen in de materie; hij kreeg rechtstreeks te maken met de Stuxnet-worm bij het bedrijf waar hij toen actief was. “Stuxnet was het startschot voor vele landen om zelf een eigen cyberarsenaal te ontwikkelen. De jaren nadien zien we duidelijk dat kennis over ICS zich sterk verspreidt en dat meer landen er zich op gaan toeleggen. Bovendien kwam daar ook nog bij dat we een heropleving van de koude oorlog meemaakten met de onlusten in Oekraïne en Syrië. Dat heeft ook tot een versnelling van die trend bijgedragen.”
Geduld
Zijn het alleen staten die zich bezighouden met ICS? Je zou denken dat ook cybercriminelen hier wel potentieel in zien. “Dit is niet zomaar iets dat je alleen kan opzetten, noch iets dat je van één dag op de andere beslist om te doen. Je kan als hacker niet op een ochtend wakker worden en denken ‘vandaag ga ik eens een energiecentrale platleggen’ en dat dan een paar dagen later doen. Wie zich met ICS bezighoudt, doet dat altijd met het oog op de lange termijn. Het voorbereiden van een ICS-aanval is een werk van lange adem. Je hebt voldoende financiële middelen nodig en de juiste knowhow.”
Voor criminelen bieden dergelijk hacks dus te weinig ‘return on investment’, maar dat betekent niet dat ze zich er niet mee bezighouden in opdracht van iemand anders. “We stellen vast dat er vaak een zorgwekkend amalgaam van groepen met elkaar samenwerkt: cybercriminelen, staatsgesponsorde hackers en overheidsorganisaties,” zegt Thomsen.
Voorbereiding bezig
We vroegen Thomsen hoe groot hij de kans inschat dat een ICS-aanval zich op korte termijn zou voordoen. Thomsen wikt zijn woorden: “Het is erg onwaarschijnlijk dat men een aanval buiten conflictzones zoals Oekraïne zou ondernemen. We merken wel duidelijk dat er achter de schermen iets beweegt en dat bepaalde organisaties bezig zijn met het infiltreren van netwerken om zo hun wapens in stelling te brengen. Voor zover we kunnen zien is dat enkel ter voorbereiding, niet om die ook effectief in te zetten. Wel kan je natuurlijk nooit uitsluiten dat een onberekenbare speler zoals Noord-Korea opeens een aanval lanceert.” Dat Noord-Korea niet vies is van digitale represailles bleek al uit de Sony-hack van 2014, toen het land gevoelige informatie van entertainmentbedrijf Sony Pictures online gooide omdat de organisatie een film uitbracht die de draak stak met Noord-Korea. Het land wordt door sommigen ook verdacht als aansteker van de WannaCry-epidemie.
Mondje toe
[related_article id=”219614″]Bij digitale wapens is het niet de slagkracht die vooropstaat. Ze moeten vooral voor een afschrikkingseffect bij de tegenstander zorgen. In dat opzicht lijken ICS-aanvallen een beetje op kernwapens: eens je ze hebt, is het niet echt de bedoeling dat je ze gebruikt, zeker niet wanneer je vermoedt dat je tegenstander over dezelfde capaciteiten beschikt. Maar er zijn natuurlijk ook belangrijke verschillen. Een raket is relatief eenvoudig terug te traceren tot zijn lanceerbasis, bij een digitale aanval liggen de kaarten heel anders. Het vraagt meer werk om uit te vogelen uit welke hoek een ICS-aanval komt, maar dat is niet het belangrijkste probleem. “Een land dat aangevallen is, zal zelf zeer terughoudend zijn om bekend te maken wie de dader is, want zo onthullen ze veel informatie over hun eigen spionage-capaciteiten.”
Internationale regels
Nu de geest uit de fles is, is het moeilijk om de tijd terug te draaien en de ontwikkeling van cyberwapens tegen te houden. Dat betekent niet dat er niets gedaan kan worden om het gebruik ervan in te perken, maar hier wringt het schoentje. Het stilzwijgen over de eigen digitale capaciteit werkt door op het globale toneel. “Op internationaal niveau bestaat er geen enkel raamwerk voor de omgang met cyberaanvallen,” zegt Thomsen. Dat terwijl cybersecurity ondertussen wel stilaan een vast onderdeel uitmaakt van het militaire arsenaal – de NAVO keurde niet al te lang geleden een herschikking van zijn structuur goed waardoor cybersecurity een grotere rol zal spelen.
Een wettelijk kader zou de aanvallen dan wel niet tegenhouden, het zou wel duidelijkheid scheppen over hoe men met een ICS-aanval moet omgaan en er ook officiële repercussies aan kunnen verbinden. Een dergelijke regeling is cruciaal om toch een beetje grip te krijgen op ICS-aanvallen en andere digitale offensieven. “Er zal een oplossing uit de bus moeten komen. Staten moeten een manier vinden om met elkaars digitale capaciteiten overweg te kunnen.”