Digitale oorlogsvoering, de aanval als beste verdediging?

Digitale oorlogsvoering klinkt als iets waar alleen landen als China, Rusland, Iran en de Verenigde Staten zich mee bezighouden. Maar ook Nederland heeft sinds kort bij de Landmacht het ‘Defensie Cyber Commando’. Digitale dreigingen gaan dus nu ook mainstream in de defensiesector. Wat kunnen we in het bedrijfsleven leren van de digitale oorlogsvoering van het leger?

Op 10 juni organiseerde de Dutch Cyber Warfare Community een roundtable bij de Nederlandse Defensie Academie in Breda. Daarbij waren diverse cyberexperts van het leger aanwezig. Het thema van deze avond was “Why hack when you can troll?”

Trollen in plaats van hacken

Dit thema leek vooral betrekking te hebben op de eerste sessie. Luitenant Jelle van Haaster (P.h.D. candidate Cyber Operations) nam ons mee naar militair ‘trollen’ in plaats van hacken. In deze context is trollen het aanvallen of onbruikbaar maken van iemands virtuele identiteit. Dit kan bijvoorbeeld door een account te overladen met berichten of heel vaak als te blokkeren account aan te melden bij de eigenaar van de site. Online plagen is natuurlijk niets nieuws, maar binnen digitale oorlogsvoering geeft dit naar mijn mening direct een uitdaging: je moet je doelwit dermate goed kennen dat je al weet welke online identiteit je moet trollen. Hoe je dat weet, daar ging de sessie niet op in. Gelukkig heeft Van Haaster samen met security expert Ricky Gevers het boek ‘Cyber Guerrilla’ geschreven. Het staat inmiddels klaar op mijn digitale boekenplank om te lezen. Wellicht geeft dat meer inzicht over het leren kennen van je tegenstander? Of begrip van zijn strategie?

Terughacken en militaire cyberoperaties

Maar als je dan toevallig wél je tegenstander kent, is ‘terughacken’ dan überhaupt een optie? Daarover sprak Tim Grant in de tweede sessie ("Hacking Back? Is it feasible? Desirable? Legal? Practical? Effective?").

Joost Cyber

Uit zijn academische beschouwing op het fenomeen terughacken bleek vooral dat de hacker als ‘ongereguleerde partij’ toch wel in het voordeel is. Ik interpreteer dit als ‘al weet je wie je moet hebben, je mag geen eigen rechter spelen’. En als je dit het geval van het leger wel mag, ben je alsnog gebonden aan de regels voor oorlogsvoering en de structuur waarlangs het leger een aanval voorbereidt. Dit was dan ook het bruggetje naar de sessie van brigadegeneraal Paul Ducheine (militair jurist, bijzonder hoogleraar Military Law of Cyber Operations & Cyber Security aan de Universiteit van Amsterdam en hoogleraar Cyber Warfare aan de Faculteit Militaire Wetenschappen van de Nederlandse Defensie Academie). Hij gaf uitleg over besluitvorming over cyberoperaties. Dit gaf een interessant blik in de wijze waarop bestuurlijk wordt besloten om tot een cyberoperatie over te gaan, inclusief het proces dat binnen de operatie wordt gevolgd om het beoogde effect te bereiken. Het leger beschouwt een zelf uit te voeren cyberoperatie dus op dezelfde wijze als een operatie met conventionele wapens. Dat betekent een voorspelbare uitwerking, die ook vooraf getest moet worden. Het beoogde effect moet bereikt worden, maar niet-beoogde effecten moeten geminimaliseerd worden. Dit beeld is strijdig met het beeld dat ik heb van hoe digitale aanvallen verlopen in het bedrijfsleven. Een hacker gaat met creativiteit aan de slag, zoekt naar openingen, omzeilt maatregelen (ook als deze real time genomen worden). De roundtable bood niet direct de ruimte om daar uitgebreid op in te gaan, maar het is wel een stukje nieuwsgierigheid dat bij mij gewekt is.

De aanval is (nog) geen verdediging

De roundtable was naar mijn mening een interessante avond. Ik vind het erg positief om te zien hoe het leger nu ook inzet op digitale defensie door de oprichting van het cyber commando binnen de landmacht. Het Nederlandse leger acht digitale veiligheid net zo belangrijk als de politieke, maatschappelijke, sociale en economische stabiliteit. Tijdens de verschillende sessies lag de nadruk vooral op de offensieve aspecten. De realiteit is voor meeste organisaties echter dat het meer een kwestie van verdedigen tegen hackers is dan ‘de aanval als beste verdediging’. Daarom vind ik het minstens zo belangrijk dat de digitale verdedigingslinie óók op orde komt, al dan niet met hulp van defensie. Gelukkig kunnen wij van i-to-i daar bij helpen. Door je informatiesystemen en je processen slim veilig in te richten met aandacht voor de belangrijkste risico’s, kan een hoop ellende voorkomen worden en optimale continuïteit bereikt worden. Wil je daar met mij over praten, dan kan dit bij een lekker biertje. Of heb je liever pizza met cola?

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten