Deze week hebben vertegenwoordigers van landen uit de hele wereld in Den Haag over cybersecurity gesproken. Nederland investeert fors in cyberveiligheid en Defensie noemt cyberoperaties expliciet in haar beleid. Hierin komt een conventionele aanpak naar voren. De vraag is echter of we cyber wel als traditionele capaciteit moeten zien.
De Global Conference on CyberSpace 2015 in Den Haag.
In de steeds verder digitaliserende wereld is steeds meer te beschermen; naast land, zee, lucht en ruimte ontwikkelt het digitale domein zich in rap tempo tot de vijfde militaire dimensie. Traditionele militaire operaties worden ingezet als machtsmiddel wanneer andere middelen van buitenlandse politiek geen gewenst effect hebben, zijn voorbehouden aan de overheid en aan strenge regels gebonden. Kenmerkend voor de huidige cyberaanvallen is dat ze niet door duidelijk aanwijsbare statelijke militaire eenheden worden uitgevoerd en dat er geen (openlijke) parlementaire goedkeuring is. Cyberaanvallen leiden bovendien zelden tot een aantasting van militaire capaciteit of bedreiging van de soevereiniteit van het aangevallen land.
Toch kunnen cyberaanvallen een grote impact op de politieke situatie hebben omdat ze de machtsbasis van een land ondermijnen, denk bijvoorbeeld aan de cyberaanval op het nucleaire programma van Iran in 2010. En niet alleen statelijke entiteiten vormen een mogelijk doelwit, ook het bedrijfsleven of een economie kan worden aangevallen zoals bijvoorbeeld is gebeurd bij de cyberaanval op de staatsoliemaatschappij Saudi Aramco in 2012 en zeer recentelijk nog claimden aanhangers van Islamitische Staat de hack op de Franse televisiezender TV5 Monde. Deze aanvallen kunnen niet los worden gezien van de geopolitieke verhoudingen in het Midden Oosten, bovendien was er in de eerste gevallen niet alleen sprake van digitale schade, maar ook fysieke.
Kaders
Offensieve cyberoperaties zijn al met al een extra trede in de diplomatieke escalatieladder aan het worden. Het is vanuit dit oogpunt interessant als de Nederlandse overheid offensieve cyber-capaciteiten ontwikkelt en zo nodig inzet om de algemene buitenlandse politieke positie en de (inter)nationale veiligheid te versterken, zonder naar fysieke wapens te hoeven grijpen. De vraag is of we ons daarbij moeten laten beperken door traditionele militaire kaders of dat we dat ook in een ander kader moeten doen. Hoewel omstreden, lijkt het erop dat Noord-Korea eind 2014 iets dergelijks heeft gedaan (of laten doen) jegens Sony, om een aan het regime onwelgevallige film te publiceren.
Uiteraard dient deze optie te worden voorzien van politieke controle en in overeenstemming met bondgenoten te gebeuren. Ook is het belangrijk dat de uitvoering onder strenge, controleerbare eisen gebeurt. Bewandelen van deze weg zal ongetwijfeld gevolgen hebben voor de doctrine en de uitwerking van de cyberstrategie, en uiteindelijk misschien ook wel voor de vraag of offensieve cyberoperaties wel een taak is die enkel bij Defensie thuishoort.
