Conclusies en aanbevelingen
De definitiekwestie
1. De bedreiging van de digitale veiligheid kan voortkomen uit digitale oorlogvoering, digitale spionage, digitaal terrorisme, digitaal activisme en digitale criminaliteit. Definiëring
van deze verschijningsvormen is nodig om te voorkomen dat ze conceptueel met elkaar
worden vermengd. Dit betekent niet dat deze dreigingsvormen geen samenhang kunnen
vertonen. Vaak komen de gebruikte technieken overeen en verschilt alleen het beoogde
doel. Het onderscheiden van de doelstelling is echter van belang voor het bepalen van
de juiste nationale respons op specifieke dreigingen, bijvoorbeeld om het risico van een
overreactie te beperken.
2. De AIV/CAVV beveelt daarom aan dat de overheid gebruik maakt van duidelijke en uniforme begripsomschrijvingen. Op internationaal niveau is het eveneens noodzakelijk dat
overheden en organisaties tot eensluidende interpretaties komen, wil men in staat zijn om
internationale afspraken te maken over de aanpak van digitale dreigingen.
De digitale dreiging
3. De regering constateert dat de afhankelijkheid van het functioneren van digitale netwerken nieuwe veiligheidsrisico’s met zich meebrengt. Naast digitale criminaliteit, dat grotendeels buiten het bestek van dit advies valt, lijkt er sprake van een toename van digitale spionageactiviteiten. Er is echter meer systematisch en kwantitatief onderzoek nodig
naar de omvang van de verschillende digitale dreigingsvormen. Aangezien het bij uitstek
grensoverschrijdende problematiek betreft en omdat de aanwezige capaciteiten zo het
best gebundeld kunnen worden, beveelt de AIV/CAVV aan een dergelijk onafhankelijk
onderzoek in EU- en NAVO-verband te initiëren.
Het digitale domein wordt naast land, lucht, zee en ruimte beschouwd als de ‘vijfde
dimensie’ waarin sprake kan zijn van militair optreden. Op grond van welke politieke en
militaire doelstellingen moeten operationele cybercapaciteiten worden ontwikkeld en
kunnen worden ingezet? Wat is de aard en rol van operationele cybercapaciteiten bij
militaire operaties?
4. Het digitale domein zal naar verwachting in elk toekomstig conflict een belangrijke rol
spelen. Een ‘cyberoorlog’, die uitsluitend in het digitale domein wordt uitgevochten, en met
verwoestende gevolgen, is echter niet aannemelijk. Daarom wordt in dit advies de meer
afgebakende term ‘digitale oorlogvoering’ gebruikt, te beschouwen als onderdeel van een
militaire operatie die ook andere (niet digitale) dimensies kan omvatten.
5. Operationele cybercapaciteiten – deel uitmakend van militair vermogen – kunnen een
bijdrage leveren aan het bereiken van een politiek doel. Voor de inzet van deze capaciteiten
is een helder politiek kader essentieel. De bestaande nationale veiligheidsstrategie is
nationaal gericht. De AIV/CAVV beveelt aan dat operationele cybercapaciteiten en ontwikkelingen op dit gebied een plaats krijgen in een geïntegreerde strategie voor het binnenlands en buitenlands veiligheidsbeleid.
6. Naast de ontwikkeling van operationele cybercapaciteiten is het tevens van belang te
investeren in een samenhangende ‘cyberdiplomatie’, waarbij als reactie op concrete
dreigingen met kennis van zaken een breed palet aan maatregelen wordt overwogen,
variërend van politieke druk, de inzet van economische sancties, het aandringen op
strafrechtelijke maatregelen tot – in laatste instantie – het gebruik van gesanctioneerd
geweld.
7. De inzet van cybercapaciteiten dient ten dienste te staan van de hoofdtaken van de
krijgsmacht. Deze inzet kan betrekking hebben op de beveiliging van de eigen defensiesystemen, het vergaren van inlichtingen en digitale aanvallen gericht op het verstoren, beschadigen of vernietigen van computers en netwerken van de tegenstander.
8. Digitale wapens worden weliswaar gekenmerkt door geringe materiële instapkosten,
maar de ontwikkeling van een technisch complexe aanval vereist gespecialiseerde kennis.
Digitale wapens kennen een beperkte houdbaarheidsduur, de inzet ervan brengt
veelal indirecte effecten met zich mee en de aanvaller is moeilijk herleidbaar. Het kan
echter zeker mogelijk zijn om mede door het gebruik van niet-technische attributie de
identiteit van de aanvaller vast te stellen.
9. De AIV/CAVV beveelt aan dat – gezien de technologische ontwikkelingen – wordt bezien
of het huidige onderscheid in de Wet- op de Inlichtingen en Veiligheidsdiensten (WIV)
tussen kabelgebonden en niet-kabelgebonden data gehandhaafd moet blijven.
10. Het is om goede redenen op basis van de WIV niet toegestaan dat een inlichtingendienst
een geplaatste exploit gebruikt voor een netwerkaanval met een militair oogmerk,
die het wijzigen of beschadigen van een systeem tot doel heeft. Een dergelijke aanval
dient onder verantwoordelijkheid van de Commandant der Strijdkrachten (CDS) plaats
te vinden, na verkregen politieke toestemming. Het is noodzakelijk binnen de krijgsmacht
ook op digitaal terrein duidelijke procedurele afspraken te maken, die volgen uit deze
functiescheiding.
11. Bij het uitvoeren van militaire operaties kan er voor worden gekozen ook gebruik te maken van digitale aanvallen. In essentie gaat het om de inzet van een middel – digitale
capaciteit – uit de toolbox van militaire middelen die een bijdrage kunnen leveren aan
het bereiken van een politiek doel. De operationele inzet van cybercapaciteiten, die
overeenkomstig de juridische kaders dient plaats te vinden, wordt begrensd door de
technische kenmerken van digitale wapens en de beschikbare kennis binnen de krijgsmacht.
De AIV/CAVV beveelt daarom aan om vooralsnog de schaarse defensiemiddelen
slechts op beperkte schaal in te zetten voor het ontwikkelen van offensieve capaciteiten
en de nadruk te leggen op het verbeteren van de verdediging van de eigen netwerken
en het opbouwen van een adequate inlichtingencapaciteit op digitaal gebied.
12. Mede gezien de schaarse technische kennis en capaciteiten wordt een nog meer ontkokerde aanpak binnen het per januari 2012 operationele Nationaal Cyber Security
Centrum bepleit. Het centrum zou zich op termijn kunnen ontwikkelen tot een soort
nationale CERT die de geaggregeerde monitoring van vitale netwerken voor zijn rekening
neemt, meer gebruikmakend van capaciteit die nu aanwezig is bij GOVCERT.NL,
MIVD, AIVD, KLPD en soms wordt aangevuld door commerciële en wetenschappelijke
organisaties. Verder is ten aanzien van de inlichtingentaak verdergaande samenwerking
tussen de AIVD en de MIVD mogelijk. De AIV/CAVV beveelt aan om de beschikbare kapitaal- en kennisintensieve signals intelligence (SIGINT) en cybercapaciteiten in een gezamenlijke eenheid onder te brengen.
Onder welke omstandigheden kan een cyberdreiging worden beschouwd als het gebruik
van geweld of een dreiging hiermee, in de zin van artikel 2 lid 4 van het VN-Handvest?
Onder welke omstandigheden kan een cyberaanval worden beschouwd als een
gewapende aanval waartegen geweld mag worden gebruikt ter zelfverdediging op basis
van artikel 51 van het VN-Handvest?
13. Artikel 2 lid 4 van het Handvest van de Verenigde Naties verbiedt het gebruik of dreigen
met het gebruik van geweld in internationale betrekkingen. Onder het verbod valt gewapend geweld met een feitelijk of mogelijk fysiek effect op de staat die het doelwit is. Het
verbod heeft echter ook betrekking op andere vormen van geweld die hebben geleid of
hadden kunnen leiden tot dood, letsel of schade aan goederen of infrastructuur.
14. Het gebruik van geweld in het kader van zelfverdediging op basis van artikel 51 van het
VN Handvest is volgens het internationaal recht een uitzonderlijke maatregel, die bij
gewapende digitale aanvallen slechts gerechtvaardigd wordt in situaties die uitstijgen
boven de drempel van digitale criminaliteit of spionage. Voordat een digitale aanval het
recht tot zelfverdediging rechtvaardigt, moet deze gevolgen hebben die vergelijkbaar zijn
met die van een conventionele gewapende aanval. Wanneer een digitale aanval leidt
tot een aanmerkelijk aantal dodelijke slachtoffers of grootschalige vernietiging van of
schade aan vitale infrastructuur, militaire platforms of installaties of civiele goederen,
moet deze gelijk gesteld worden met een ‘gewapende aanval’.
15. Een georganiseerde digitale aanval op essentiële functies van de staat moet, ook wanneer
deze geen fysieke schade of letsel tot gevolg heeft, maar mogelijk of daadwerkelijk
leidt tot ernstige verstoring van het functioneren van de staat of ernstige en langdurige
gevolgen voor de stabiliteit van de staat, worden aangemerkt als een ‘gewapende
aanval’ in de zin van artikel 51 van het VN-Handvest. Hierbij moet dan sprake zijn van
een (aanhoudende poging tot) ontwrichting van de staat en/of de samenleving en niet
slechts een belemmering of vertraging bij het normaal uitvoeren van taken.
16. Het gebruik van geweld naar aanleiding van een digitale aanval moet voldoen aan de
vereisten van noodzakelijkheid en proportionaliteit ten aanzien van de uitoefening van
het recht tot zelfverdediging. De maatregelen moeten gericht zijn op het beëindigen van
de aanval en het voorkomen van herhaling ervan in de nabije toekomst en er moeten
geen bruikbare alternatieven zijn.
17. Het principe van proportionaliteit vereist niet dat een respons op een aanval van dezelfde
aard is als de aanval zelf. Een digitale aanval die voldoet aan de voorwaarden van een gewapende aanval kan een respons met conventionele gewapende middelen rechtvaardigen.
18. Het treffen van maatregelen tegen digitale agressie is voorts uitsluitend rechtmatig
indien er een voldoende mate van zekerheid bestaat omtrent de herkomst en bron van
de aanval.
Wanneer is er sprake van toepasselijkheid van het humanitair oorlogsrecht op gedragingen in het digitale domein? Moeten deze samenhangen met kinetisch geweldsgebruik? Hoe zou bij een dergelijke toepassing gestalte moeten worden gegeven aan de oorlogsrechtelijke principes van onderscheid en proportionaliteit, en aan de verplichting tot het nemen van voorzorgsmaatregelen?
19. Het humanitair oorlogsrecht is alleen van toepassing in de context van een gewapend
conflict, in internationaal of niet-internationaal verband. Cyberoperaties waarbij de
drempel van een gewapend conflict niet wordt overschreden, vallen derhalve
buiten het toepassingsveld van het humanitair oorlogsrecht.
20. Digitale aanvallen die meer zijn dan sporadische, geïsoleerde gewapende incidenten
en die resulteren in verlies van mensenlevens, letsel, vernietiging of langdurige schade
aan fysieke objecten tot gevolg (kunnen) hebben, kunnen worden gekwalificeerd als gewapend conflict in de zin van het humanitair oorlogsrecht. Dit is in de eerste plaats het
geval bij digitale aanvallen die in combinatie met een kinetische aanval worden uitgevoerd.
Dit geldt echter ook voor een digitale aanval die – zonder de inzet van kinetische
middelen van oorlogvoering – leidt tot vernietiging of langdurige en ernstige schade aan
computersystemen voor het beheer van kritieke militaire of civiele infrastructuur, of die
het vermogen van de staat om essentiële overheidsfuncties te vervullen ernstig aantast
en daarbij ernstige en langdurige schade toebrengt aan de economische of financiële
stabiliteit van de staat en zijn bevolking.
21. In ieder gewapend conflict, zowel in internationaal als niet-internationaal verband, zijn
de regels inzake het voeren van vijandelijkheden van toepassing op het gebruik van alle
soorten, middelen en methoden van oorlogvoering, inclusief middelen en methoden
van digitale aard. Deze regels betreffen onder meer de beginselen van onderscheid,
proportionaliteit en het nemen van voorzorgsmaatregelen. Verder geldt er een verbod
op het voorwenden van een beschermde of neutrale status met het oogmerk aanvallen
uit te voeren en het misbruiken van een dergelijke status, waaronder de IP-identiteit, als
schild tegen een aanval.
Hoe zou in het cyberdomein gestalte moeten worden gegeven aan de volkenrechtelijke
begrippen soevereiniteit, neutraliteit?
22. Het neutraliteitsrecht is van toepassing bij de inzet van digitale wapens en methoden
van oorlogvoering. Het belet in principe het gebruik door belligrente partijen van computers
of computersystemen die zich op neutraal grondgebied bevinden, voor zover dit
mogelijk is, evenals aanvallen op computernetwerken of informatiesystemen op neutraal
terrein. Het staat een neutrale staat toe een oorlogvoerende partij te verhinderen
gebruik te maken van computers en informatiesystemen die zich op zijn grondgebied
bevinden of onder zijn rechtsmacht vallen. De enkele doorgifte van gegevens via een op
neutraal grondgebied gelegen deel van internet levert echter geen schending of verlies
van de neutraliteit op.
In hoeverre kunnen internationale gedragsnormen over het gebruik van het digitale domein een effectieve bijdrage leveren aan het vergroten van cyber security? Kunnen we lering trekken uit ervaringen met bestaande gedragscodes, bijvoorbeeld op het gebied van nonproliferatie?
23. Gedragsnormen kunnen betrekking hebben op de bescherming van netwerken, strafrechtelijke samenwerking, de toepassing van het internationaal recht en wederzijdse
informatievoorziening. Het is van belang de bestaande afspraken binnen het kader
van de Raad van Europa Conventie inzake Cybercrime een bredere reikwijdte te geven.
Belangrijk is dat de conventie stelt dat landen dienen over te gaan tot vervolging of uitlevering van groepen of individuen die zich schuldig maken aan digitale criminaliteit in
derde landen vanaf het grondgebied van de staat in kwestie. Dit biedt aanknopingspunten
om illegale activiteiten, zoals grootschalige zwarte handel in malware en identiteits40
gegevens, aan te pakken. Hierboven is geconcludeerd dat het bestaande internationaal
recht van toepassing is op het digitale domein waar het gaat om de voorwaarden van
geweldsgebruik, het oorlogsrecht en principes van soevereiniteit en neutraliteit. Het
is daarom niet noodzakelijk hiervoor een speciaal ‘cyberverdrag’ op te stellen. Wel is
de AIV/CAVV van mening dat er een belangrijke versterkende werking vanuit zou gaan
indien staten aan deze principes door middel van een internationale gedragscode of
verklaring nadere uitwerking zouden geven.
24. In algemene zin zou de private sector meer verantwoordelijkheid kunnen nemen voor
de bescherming van de kritieke infrastructuur die het beheert. Dit zou kunnen worden
bevorderd door de (financiële) aansprakelijkheid van bedrijven op dit punt beter te regelen.
Ook dient te worden gewaarborgd dat een minimum aan dienstverlening is gegarandeerd
bij gedeeltelijke uitval van kritieke infrastructuur.
25. Het valt op dat waar de Nederlandse regering – met recht – erg actief is op het terrein
van de vrijheid van meningsuiting op internet, de Nederlandse betrokkenheid tot op
heden minder groot is bij mondiaal overleg gericht op het formuleren van normen met
als doel conflictbeheersing op digitaal gebied. De AIV/CAVV beveelt aan dat Nederland
zich als deelnemer aansluit bij initiatieven die het formuleren van normen op dit terrein
tot doel hebben zoals een wederom door de SGVN in te stellen Group of Governmental
Experts.
26. Er is noch de mogelijkheid noch de noodzaak tot het overeenkomen van een wereldwijd
non-proliferatieregime. Er zijn belangrijke verschillen tussen massavernietigingswapens
en digitale ‘wapens’. Er zijn evenmin voldoende aanknopingspunten voor het instellen
en afdwingen van beperkingen aan de uitvoer van bepaalde digitale technologie en software
ter bescherming van de eigen militaire en civiele digitale infrastructuur.
Hoe kunnen de NAVO en de EU concreet inhoud geven aan de principes van common
defence, deterrence en de solidariteitsclausule ten aanzien van cyberdreigingen? Hoe
kunnen de NAVO en de EU de informatie-uitwisseling ten behoeve van dreigingsanalyses
verbeteren?
27. De NAVO zal naar verwachting slechts bescheiden offensieve digitale capaciteiten kunnen ontwikkelen ter bescherming van de eigen systemen en netwerken, ofwel in het
kader van de actieve verdediging. Van de conventionele en nucleaire middelen waarover
afzonderlijke NAVO-landen beschikken gaat al een afschrikwekkende werking uit. Bij
toekomstige NAVO-operaties kunnen wel offensieve digitale capaciteiten van de afzonderlijke lidstaten worden ingezet.
28. Het is noodzakelijk dat er meer samenhang komt in de activiteiten op het terrein van digitale veiligheid van de verschillende directoraten-generaal van de Europese Commissie – waaronder Binnenlandse Zaken (HOME), Informatiemaatschappij en media (INFSO), Justitie (JUST) en Interne Markt en Diensten (MARKT) – evenals EDEO, door uitvoering te geven aan een gezamenlijke strategie.
29. Artikel 4 en 5 van het NAVO-verdrag kunnen betrekking hebben op aanvallen in het
digitale domein. Artikel 5 is dermate algemeen geformuleerd dat hier alle vormen van
gewapend geweld onder kunnen worden geschaard. Het minder verstrekkende artikel 4
kan van toepassing zijn op digitale aanvallen die raken aan de nationale veiligheid maar
nog niet de drempel van een gewapende aanval overschrijden. Naar verwachting zal er
in praktijk bij digitale aanvallen eerder een beroep op dit artikel 4 worden gedaan.
30. De bijstandsclausule van de EU (artikel 42.7 van het EU-Verdrag) zal waarschijnlijk vooral worden aangewend ten behoeve van politieke steunbetuigingen. De EU kan wel een
leidende rol vervullen bij het bevorderen van de digitale beveiliging in de private sector
van de lidstaten.
31. Informatie-uitwisseling tussen de EU en de NAVO op het terrein van digitale veiligheid
loopt tegen dezelfde bekende institutionele belemmeringen aan als de samenwerking
tussen beide organisaties op andere terreinen. Bijkomend probleem is dat mogelijke
informatievoorziening de eerstkomende periode vooral eenrichtingsverkeer zal blijken,
aangezien zowel de beleidsvorming als de capaciteiten van de EU op het terrein van het
GBVB en cyber beperkt zijn. Informele inlichtingenuitwisseling tussen de staven van de
EU en NAVO, met inachtneming van de privacyregels, moet vooralsnog zoveel als mogelijk
worden benut.
------------------------
Geen opmerkingen:
Een reactie posten