Oorlog zonder bommen en granaten
Uit: Vrij Nederland, 19 februari 2000, p. 10-14.
De volgende oorlog waar de Verenigde Staten bij betrokken zijn, zal vanachter het toetsenbord worden gevoerd. Volgens het Pentagon is de eenentwintigste eeuw de eeuw van de cyberwar, de cyberkrijg. President Clinton heeft in de State of the Union al alarm geslagen. In een cyberwar wordt informatie elektronisch gemanipuleerd, worden cruciale sites van banken, valutamarkten, overheidsorganen en telefoonnetwerken met virussen lamgelegd door militaire hackers. Een bericht uit de wereld van Control, Alt, Delete.
door Paul Rusman
'Tijdens de Golfoorlog,' zegt generaal professor J.M.J. Bosch, 'hebben hackers uit Eindhoven ingebroken in Amerikaanse defensiecomputers. Ze pikten informatie op over de transportcapaciteit en over het verloop van de opbouw van de operatie in de Golf. De Amerikanen zagen het gebeuren, maar konden er niets aan doen. Het was alleen te stoppen als ze de computers zouden uitzetten. En vervolgens was er een Britse officier wiens laptop - met de operatieplannen op de harde schijf - uit zijn auto werd gestolen. Het had geen consequenties, maar die twee geleurtenissen hebben de Amerikanen aan het denken gezet. Sindsdien nemen ze de zaak bloedserieus.' We zitten in een kamer in het Instituut defensieleergangen in Rijswijk. Van hieruit redigeert de KMA-hoogleraar, meer het type van een opgewekte intellectueel dan een houwdegen, een militair vakblad. Kort ervoor, op 7 januari, heeft Clinton in zijn laatste State of the Union maatregelen aangekondigd om de kwetsbare informatiemaatschappij te beschermen. Het Pentagon gaf onlangs het Space Command de coördinatie van informatieoperaties in handen. De afgelopen maand deden zich een paar opvallende gebeurtenissen voor. China maakte bekend dat het land internet ging screenen. Chinese hackers kraakten elf websites van de Japanse overheid om te protesteren tegen de Japanse ontkenning van het bloedbad van Nanjing in 1937 (niet de eerste de beste sites.- de centrale bank, de ministeries van Financiën en Defensie, het Hooggerechtshof) En hackers legden verschillende internetproviders in de Verenigde Staten plat. Is de cyberwar al begonnen, zoals de Amerikaanse onderminister van Defensie John Hamre het uitdrukt? Staan de Amerikanen voor een 'elektronische Pearl Harbor', zoals een geschrokken commissievoorzitter van het Huis van afgevaardigden regelmatig beweert?
In Kosovo vochten militairen voor het eerst vanachter hun toetsenbord. De tekenen waren subtiel, maar het was te merken als je keek naar de doelen waar de Navo geen bommen op gooide. Zoals het Joegoslavische telefoon-, draagbare telefoon-, computer- en internetsysteem, met uitzondering van een paar knooppunten die naar Kosovo liepen. Europa had het Joegoslavische telefoonverkeer via de Eutelsat-satellieten stilgelegd. Het meeste nationale telefoonverkeer loopt via ketens van zendmasten die met schotels microgolfsignalen verzenden. Door de kromming van de de aarde verdwijnen de signalen voor het grootste deel in de ruimte, en daar kunnen ze worden opgepikt door Amerikaanse Rhyolite-satellieten. Supercomputers in Engeland en de Verenigde Staten analyseren die signalen met speciale software, waarmee miljoenen telefoongesprekken per dag op bepaalde 'zoektermen' worden gefilterd. Zo luisteren de Amerikanen al tientallen jaren Het Europese telefoon verkeer naar het Midden-Oosten af. En tijdens de Kosovo-oorlog braken ze via dat telefoonnet in in de luchtverdedigingscomputers van Milosevic. Ze veranderden de informatie die van de Joegoslavische radars naar de raketinstallaties liep, en zorgden er zo voor dat de tegenstander niet een paar, maar wel honderd vliegtuigen op het radarscherm zag, zodat hij niet meer wist waarop hij de luchtafweerraketten moest richten. Het middel was zo nieuw, dat de geheime diensten het zonde vonden dat het geheime wapen nu bekend zou worden. Het mocht pas worden ingezet nadat de Joegoslaven een voor de radar 'onzichtbaar' F-117A Stealth-vliegtuig hadden neergehaald. Uit het feit dat Milosevic' cameralieden wel erg snel ter plaatse waren, hadden de Amerikanen afgeleid dat het geen gelukstreffer was geweest en dat de Stealth extra bescherming nodig had.
Dat kwam hard aan bij de US Air Force. Al in de Golfoorlog van 1991 dook het toetsenbord op als concurrent van de bommenwerper. De CIA had toen Iraakse luchtafweercomputers op doorreis in Jordanië onderschept en van aftappunten voorzien. Door ze te voeden met foute informatie wilde de CIA de Iraakse luchtafweer ontregelen. Maar de Air Force trok zich er niets van aan en bombardeerde bij de eerste de beste gelegenheid het gebouwtje waarin de gemanipuleerde computers stonden opgeslagen. De CIA was razend. Inmiddels heeft de Air Force zich neergelegd bij de nieuwe tijd en zich aangemeld als cyberwarrior. In 1999 zijn de eerste twee information warfare flights operationeel geworden, waaronder een in Zuid-Korea. Mocht Kim Jong-Il dit jaar aanvallen, dan worden zijn computers gehackt door beeldschermpiloten in USAF-uniform.
In cyberwar is de sky de limit. Het Pentagon besteedt nu al drieenveertig miljard dollar per jaar aan informatie en communicatiemiddelen, een bedrag dat hoger is dan de marinebegroting. De Amerikanen beperken zich niet tot hacking. Ze willen ook met niet-militaire computermanipulaties de weerstand van de tegenstander breken. Sandy Berger, Clintons veiligheidsadviseur, stelde dit voorjaar een soort pluk-ze-actie voor. Wil Milosevic niet toegeven, dan moet je hem in zijn portemonnee raken, vond hij. Volgens dit plan moest de CIA binnendringen in de computersystemen van banken in Rusland, Griekenland en Cyprus waar de familie Milosevic miljoenenrekeningen had. Slobodans vrouw Marjana had bijvoorbeeld 1,4 miljoen dollar op de Cypriotische bank staan. En dat geld kon er met een paar toetsaanslagen worden afgehaald. Nu nog uitzoeken welke toetsaanslagen. De CIA zou volgens het plan rekeningen openen bij die banken, en zou dan het dataverkeer afluisteren om te weten te komen hoe de systemen van de banken werkten en waar de zwakke plekken zaten in de firewails en de geheime codes. Maar het Congres kwam in verzet, uit angst dat de positie van de Amerikaanse banken zou worden gecompromitteerd en dat zo'n staaltje Amerikaans staatsterrorisme vriend en vijand op stang zou jagen. Of er ook nog tijdig is bedacht dat de banken voor het verlies zouden opdraaien, niet Marjana en Slobodan, is niet bekend. Andere, iets ouderwetsere militaire middelen bleken minder controversieel. Zoals speciale grafietconfetti, die al in de Golfoorlog was ingezet tegen Iraakse elektriciteitsmasten en waarmee de luchtmacht het Servische hoogspanningsnet kon lamleggen zonder het te vernietigen. Het Pentagon liet uitlekken dat dit nodig was om de luchtafweer buiten gevecht te stellen, maar de gevolgen van de actie bleven daar natuurlijk niet toe beperkt. Kraamafdelingen, stadsverlichting en verwarming van particulieren woningen werden ook platgelegd. De oorlog tegen de burgers was begonnen. En zij antwoordden met niet-militaire middelen: optredens van rockmusici, burgers die op de bruggen bleven staan, maar ook hackers die het tegen de Navo opnamen. Zo'n honderd Servische studenten vielen onder leiding van hun hoogleraar zes Navo-computercentra aan. Dagelijks bombardeerden ze de Navo-website met duizenden e-mails en veranderden een aantal webpagina's in Brussel. Hackers uit Kosovo sloegen terug door in vijf Servische sites in te breken. De Nederlandse hackgroep Dutch Threat verving de anti-Navo website Zeri i Kosoves door een Help Kosovo-site en voorzagen hem van de tekst: welkom op de website van de grootste leugenaars van de wereld.'
De Navo werd tegelijkertijd besmet met computervirussen, onder andere de Melissa-worm en het gekke-koeien-virus. De geallieerde communicatie op de Balkan ondervond daar zware hinder van. Melissa legde volgens een Amerikaans Rekenkamerrapport een logistieke basis voor de Amerikaanse militaire opbouw in Kosovo plat. Volgens een andere bron kwam de worm terecht in de e-mailaccounts van het commandoschip van de Zevende vloot USS Blue Ridge en maakte hij de communicatie per e-mail tussen mariniersbases onmogelijk. Na panisch zoeken kwam de FBI erachter dat de aanval het werk was geweest van de Amerikaan Donald Smith. Ook die ontdekking had zijn prijs. Tegen Smith hadden de feds het zwaarste kaliber opsporingsmiddelen ingezet. Microsoft heeft in opdracht van de Amerikaanse overheid Windows 98 voorzien van een privacy bug. Elke Word-file wordt daardoor automatisch gemerkt met het identificatienummer van de PC. De FBI vroeg de oorspronkelijke, met Melissa besmette files op bij de webserver, en vergeleek het geheime nummer met dat van andere Word-files op het internet. Zo werd de dader gevonden, maar het gefoezel door Microsoft kwam er uiteindelijk ook door in de openbaarheid. De inlichtingendiensten zuchtten bijna hoorbaar. Alweer een diep geheim verkwanseld. En dat was nog niet alles. In een rapport voor het Europees Parlement werd onthuld dat er nog veel meer soft- en hardware door de Amerikanen was gemerkt, waardoor de CIA onder meer kan kijken in de post van de Zweedse kamerleden, die Lotus Notes gebruiken. Ook werd ontdekt dat de sleutels voor commerciële cryptofiles voor een deel zijn gedeponeerd bij de Amerikaanse overheid, waardoor de Amerikaanse inlichtingendiensten zonder enig probleem overal ter wereld zwaar versleutelde files kunnen lezen. Het gaat daarbij niet alleen om de geschriften van foute dictators, maar ook om die van Airbus Industries, dat er door concurrent Boeing al jaren van wordt beschuldigd subsidies aan te nemen. En om het Franse wapenelektronikabedrijf Thomson-CSF (waartoe het Nederlandse Signaal te Hengelo behoort), dat door de Amerikaanse defensie-industrie in Saoedie-Arabië reqelmatig onder de duiven wordt geschoten en dat vorige week aankondigde bij de rechter schadevergoeding te gaan eisen. Ook het e-mail- en internetverkeer via de browsers van Netscape en Microsoft schiet weinig op met de bijgeleverde versleuteling, want de National Security Agency heeft als enige een deel van die sleutel en kan geheime berichten in een paar seconden ontcijferen. Aangezien een groot deel van het Europese internetverkeer vanwege het tijdsverschil met de Verenigde Staten overdag via Amerikaanse kabels wordt geleid (die dan lichter bezet zijn), kan het daar zonder moeite worden onderschept. Daar heeft de NSA niet eens de Rhyolite-satelliet voor nodig. Het begrip informaticaoorlog loopt kortom net als oude camembert alle kanten op. De een denkt aan spionage, de ander aan het belang van de privacy. Een derde maakt zich ongerust over de kwetsbaarheid van de moderne netwerksamenleving, of de bedreiging nu bestaat uit terroristen, oorlogszuchtige dictators, Chinezen die hun afschrikking willen vergroten, idealistische actievoerders, of misdadigers die ook wel eens rijk willen worden van het internet.
De Amerikaanse almacht op het gebied van informatie is veel groter dan wordt beseft. Ook het bombardement van de Chinese arnbassade in Belgrado was er het gevolg van. Na de aanval op een villa van Milosevic namen de Amerikanen een daglang radiostilte waar op een belangrijk militair segment. Daarna begonnen de uitzendingen weer. Ze konden worden getraceerd als afkomstig van de Chinese ambassade. Kennelijk hielpen de Chinezen Milosevic een handje door de rol van zijn 'villa' als schakelkast voor het leger over te nemen. Zo nauwkeurig was de Amerikaanse aanval die daarop volgde, dat de slimme bommen de kamer raakten van waaruit het verbindingspersoneel van de Chinese geheime dienst de apparatuur bediende. Daarmee namen ze en passant voor insiders de illusie weg dat de Navo het bij de aanval op de villa op Milosevic zelf had gemunt. Luitenant-generaal b.d. P. Huysman, voormalig planner van Sfor en Kfor: 'Als ze Milosevic hadden willen pakken, dan hadden ze dat gekund.'
In het puur militaire segment is de sky helemaal de limit. Volgens de meer avontuurlijke strategen moet Amerika 'informatieoverwicht' bereiken. Daarbij gaat het niet alleen om het verzamelen van informatie, maar ook om het manipuleren ervan. Zelfs militaire microgolfzendmasten te velde kunnen nu al worden afgeluisterd met EC-130 Compass Call-vliegtuigen. Maar de Amerikanen willen met de verkregen informatie ook offensief te werk gaan. De signalen moeten op den duur kunnen worden vervangen door andere, zonder dat de vijand het merkt. Het militair-strategische belang hiervan is duidelijk. Alleen al het feit dat de vijand niet meer kan vertrouwen op zijn verbindingen zet hem op achterstand.
Maar het Pentagon mikt hoger. Het wil langs deze weg ook psychologische oorlogvoering gaan bedrijven. Met spraakmanipulatiesoftware van het defensie elektronicabedrijf Raytheon kunnen in principe de stemmen van bestaande omroeppresentatoren natuurgetrouw worden nagebootst, zodat het nog maar een kwestie van tijd is voordat de bevolking van het volgende land waar het Westen ingrijpt, wordt misleid door haar geliefde anchormen. Ook het klonen van videobeelden staat namelijk op het Amerikaanse lijstje. Het Pentagon gaat definitief bij Disney in de leer. Werd de Vietnamoorlog volgens de gevestigde opinie in de huiskamers in de voorsteden verloren, de eenentwintigste eeuwse variant moet voor een belangrijk deel op de tv-schermen worden beslecht. De nieuwe generatie Amerikaanse militairen is wakker geworden toen de Verenigde Staten in 1993 uit Mogadishu werden weggepest nadat ze een veldslagje met krijgsheer Aldid dik hadden gewonnen. CNN zond opnamen uit van de naakte lijken (de redactie in Atlanta tekende digitaal zelfs groene legeronderbroekjes in, om de beelden zonder probleem in prime time te kunnen uitzenden) van neergeschoten Amerikaanse helikopterpiloten, die door de straten werden gesleept. De Verenigde Staten waren toen snel weg uit Somalië. Een zege in de informatieoorlog. De Navo weet er sinds Kosovo alles van. Het rokende F-117A-vliegtuigwrak op CNN leverde de Serviërs volgens deze redenering meer op dan een gewonnen veldslag.
De meer conventionele informatieoorlogvoering was in Kosovo nog niet eens uit de kinderziekten. Maar ze was daar volgens het Pentagon al wel verder mee dan de meesten denken. De oorlog had volgens generaal Wesley Clark de helft korter kunnen duren met beter gebruik van dezelfde middelen. De Navo-chef legde niet uit waarop hij precies doelde. Het bombarderen onder slechte weersomstandigheden, in Kosovo een pain in the ass voor de Navo-planners, is met de huidige technologie al goed mogelijk. Onbemande vliegtuigjes met videocamera's kunnen onder de wolken vliegend een doel opsporen, en een B-2 kan van ver weg zijn nauwkeurige SADM-bommen erop loslaten. Het had gescheeld als men die techniek in april 1999 al voor elkaar had gehad. Maar ook de cyberwarriors werkten onder hun kunnen. Clark baseerde zich voor zover bekend op een rapport van het Amerikaanse marinehoofdkwartier in La Spezia, dat onder meer vond dat de planners geen rekening hadden gehouden met een langdurige oorlog. Daardoor hadden ze te weinig gekeken naar aanvallen op computernetwerken. Een verrassende conclusie was ook dat de beslissers over cyberwar te laag in rang waren. Dan vallen er geen besluiten, omdat de voorstellen sneuvelen voordat ze de hogere rangen bereiken. Misschien komt dit verwijt neer op het gegeven, dat de hoge militairen te weinig snapten van computeroorlogvoering.
Ook waar oorlogen het meest voorkomen, tussen lokale partijen in de derde wereld, worden conflicten tegenwoordig over het internet uitgevochten. De Mexicaanse Zapatistas-rebellen maakten in 1995 gebruik van het net om uit een hopeloze omsingelingspositie te raken. Per e-mail verspreidden ze de boodschap dat hun leider was ontsnapt. Hun buitenlandse contacten, die opereerden onder de naam Electronic Disruption Theater (sic!), waren zo vriendelijk de Mexicaanse regering te bombarderen met duizenden e-mails, waardoor overheidssites bezweken. De internationale aandacht voor Mexico en de vermeende ontsnapping van de leider maakten de regering zenuwachtig en de omsingeling werd afgebroken.
Opstandelingen gebruiken het net niet alleen defensief. De Internet Black Tigers, die zich uitgeven voor opstandige Tamils, ondernamen in augustus 1997 een aanval op de websites van de Sri Lankaanse ambassades in het buitenland. Ramos Horta dreigde in september 1999 met een aanval van hackers op Indonesische banken, beurzen, regerings-, militaire en luchtvaartsystemen als het land de belofte over het referendum op Oost-Timor zou intrekken. Het was niet het eerste incident in de internetoorlog rond Timor. Indonesië viel in 1998 de Ierse website van onafhankelijk Oost-Timor aan. En de hackersgroep Kaotik Team uit Portugal, een land dat als ex-koloniale macht traditioneel de Oost-Timorese onafhankelijkheid steunt, brak in op vijfenveertig Indonesische overheidssites en plaatste daar oproepen voor volledige autonomie.
De grens met 'echte' oorlog is steeds moeilijker te trekken. Idealisten zijn de huidige hackers vaak wel, en van grenzen tussen landen en tussen oorlog en niet-oorlog trekken zij zich niets meer aan. De groep MilwOrn brak in 1998 in op de website van het Indiase Bhabha Atomic Research Center, waar aan de kernbom werd gewerkt. Vanuit Canada, waar veel immigranten (en spijtoptanten) uit Hongkong wonen, wordt China bestookt door The HongKong Blondes en The Yellow Pages, 'hacktivisten' voor de mensenrechten in China. Maar ook voor de dagelijkse politieke strijd zet de hacker zich agressief in. Vlak voor het Australische referendum over de vraag of Elizabeth II staatshoofd mocht blijven, vond een aanval plaats op de telefoonsystemen en de computers van het kantoor van de Australian Republican Movement. China en Taiwan, die officieel nog altijd elkaars opstandige bewegingen zijn, leveren geregeld slag via het net. Chinese hackers haalden in 1999 de website van het Taiwanese parlement drie dagen uit de lucht, en legden een keer heel Taiwan plat, waarna Taiwanese hackers wraak namen door Chinese overheidssites te overschrijven, zodat Peking zijn computers van het net moest halen tot er een nieuwe firewall was geinstalleerd.
Inbraken op websites zien de meeste militairen als propaganda-oorlogvoering, kwajongensstreken of kleine misdaad. Maar de beter geinformeerden vinden de kwetsbaarheid van websites voor info-aanvallen op zijn minst zorgwekkend. Hun sytemen leunen steeds meer op kwetsbare satelliet- en internetverbindingen.
Het overgrote deel van de Amerikaanse militaire communicatie, zelfs tijdens de Golfoorlog, loopt over commerciële satellieten. Daarnaast zijn de militaire computers slecht beveiligd. In 1997 hield het Pentagon de oefening Eligible Receiver, waarbij een Red Team van hackers moest inbreken in de Pentagoncomputers. Het team mocht zich alleen baseren op kennis uit de literatuur en op informatie die met elektronische spionage was te verkrijgen. De resultaten waren schokkend. Websites bleken gevoelige informatie te bevatten. Wachtwoorden lagen zowat op straat. De opzet van de sites deugde niet. En als klap op de vuurpijl bleek dat de webmasters er in verreweg de meeste gevallen niet eens achter kwamen dat er was ingebroken. Dat laatste geldt eveneens voor het Nederlandse zusterministerie. Externe Red Teams lieten zien dat Defensie geen zicht heeft op activiteiten die in zijn netwerken niet thuishoren. En er is nog geen organisatie die dergelijke aanvallen moet signaleren en tegengaan. Dat is voor een deel te wijten aan een tekort aan goede oplossingen. Het ministerie kan in dit geval geen cd-rom uit de verpakking halen en in de D-drive duwen. Je kunt bijvoorbeeld alles in geheimschrift zetten, maar daar schiet je maar in vijftien procent van de gevallen iets mee op, zegt het Computer Emergency Response Team van Carnegie Mellon University. Een andere maatregel zou zijn om de meest gevoelige defensiecomputers helemaal los te koppelen van het internet. In Nederland wordt het Defensie-intranet te onveilig geacht voor het verzenden van geclassificeerde informatie, zegt mr. F. Herman de Groot, beveiligingsautoriteit op het ministerie van Defensie. Maar dan gaat wel het voordeel van netwerken verloren, en zonder de niet-geclassificeerde informatie kan de krijgsmacht niet functioneren. Het aanbrengen van firewalls, waterdichte schotten tussen de verschillende compartimenten, lijkt ook een beter idee dan het is. De firewall die gegarandeerd onneembaar is, moet nog worden uitgevonden en zo'n barriere geeft al gauw een vals gevoel van veiligheid. In elk geval is speciale software nodig om de inbraken in de computers op te sporen. Maar daarmee ben je er nog niet.
Militairen lopen nergens, ook in Nederland niet, vooraan bij pogingen om identiteitsvervagende taken op zich te nemen. Maar er zijn uitzonderingen. Drie jaar geleden leek het de Duits-Nederlandse defensietop nuttig om het probleem eens samen in kaart te brengen.Nadat het rapport in juli 1999 af was, bleef het lang in de la. Daar zou het misschien nog liggen als Clinton niet op 7 januari jongstleden zijn alarmerende uitspraken had gedaan. Nu de Amerikaanse president cyberwar tot nationale bedreiging had uitgeroepen, kon Nederland niet achterblijven. De chef Defensiestaf, admiraal Luc Kroon, die het enthousiasme van zijn voorganger voor het Duits-Nederlandse rapport niet deelde, nam de aanbevelingen toen over. Binnenkort begint een werkgroep van defensie met het in kaart brengen van de kwetsbaarheid van onze krijgsmacht voor infowar-aanvallen. Nederland loopt inmiddels niet meer voorop. In het Londense ministerie van Defensie is op 1 februari al een Information Warfare Cell aan het werk gegaan, die dag en nacht open is en netwerkmanagers moet adviseren over de beveiliging. Beveiligen is mooi, maar duur. Defensie heeft de afgelopen jaren toch al grote bedragen moeten uittrekken om milleniumproof te worden. Hoe kan dat geld een beetje worden terugverdiend? In Nederland loopt veel militair dataverkeer over het eigen glasvezelnetwerk van Defensie, Nafin. Dat is veilig. Maar het is ook duur. Kan dat niet worden geprivatiseerd? was de vraag die ook de Tweede Kamer stelde. Een mogelijke verkoop is, althans voorlopig, van tafel. Volgens mr. Herman de Groot wil het ministerie de diensten van de Defensie Telematica Organisatie, waaronder Nafin valt, wel uitbesteden als dat de efficiency ten goede komt, maar waarschijnlijk niet als eerste dienst. Toch wordt er wel gepraat, en wel over de mogelijkheid om het net te delen met de politie. Dat levert geld op, maar door eventueel medegebruik komen er andere risico's op het netwerk af, zegt ir. H.A.M. Luiijf, verbonden aan het Fysisch-Elektronisch Laboratorium van TNO. 'Als ze alle twee op hetzelfde net zitten voor hun kritische verbindingen en het net valt uit, dan is er geen alternatieve structuur om op terug te vallen. En als iemand de politie iets wil aandoen en het netwerk opgraaft, dan heeft Defensie daar ook last van.'
Wat betreft de verdediging tegen cyberaanvallen is er een kentering, maar dat betekent nog niet dat onze militairen nu ook plannen maken om computernetwerken aan te vallen. In Duitsland lag dat onderwerp onder de regering-Kohl nog te gevoelig. Totdat in 1998 de SPD aan de macht kwam en zich erover verbaasde dat de Duits-Nederlandse schrijvers van het rapport dit onderwerp links lieten liggen. Maar ook Den Haag lijkt geen ambitie te hebben om binnenkort informatiestoottroepers te gaan werven. 'Daar moet de Navo zich maar op bezinnen,' zegt generaal Bosch diplomatiek. Hij ziet 'geen reden waarom Nederland actief zou moeten zijn in het ontwikkelen van een offensieve component'. Wie zich afvraagt wat daarachter steekt, moet kijken naar het gedrag van de Amerikanen tijdens de oorlog om Kosovo. Zelfs zij deinsden uiteindelijk terug voor de geplande inbraak in computers van de bank van Cyprus en van andere banken. Nog afgezien van de diplomatie en de belangen van de bankwereld, maakt hun enorme afhankelijkheid van computers de Verenigde Staten te kwetsbaar voor een tegenaanval. De informatiestructaur dringt zo diep door in het civiele leven, dat de gevolgen van een enigszins massale cyberaanval onvoorspelbaar zijn. Ziekenhuizen kunnen ontregeld raken, waardoor patiënten kunnen doodgaan. De voedseldistributie kan stilvallen. Zo'n wapen kun je moreel gesproken alleen in het uiterste geval inzetten. Elders bestaan minder scrupules. De Chinese strategen Qiau liang en Wang propageren de laatste jaren de totale oorlogvoering, waarmee China een eventuele agressie moet beantwoorden. Zij onderscheiden wel 'vierentwintig verschillende typen vuile oorlog waarmee China het de vijand knap lastig kan maken. Bijvoorbeeld aanvallen op het internet, op andere informatiestructuren en op militaire elektronica, maar ook op valutamarkten, en het gebruik van verboden middelen als biologische en chemische wapens. Met die dreiging moeten landen als de Verenigde Staten, Groot-Brittannië en Frankrijk van hun volgende humanitaire interventie worden afgehouden.
Rusland vertrouwt minder op de afschrikking en heeft al opgeroepen tot onderhandelingen over wapenbeheersing, die de Amerikaanse voorsprong op cyberspace aan banden moet leggen. De Verenigde Staten noemden deze oproep, weinig verrassend, 'prematuur'. Maar er is duidelijk huiver in Washington om cyberaanvallen te overwegen zo lang de juridische haken en ogen niet helemaal bekend zijn. Kun je bijvoorbeeld een aanval afstraffen door zelf met virtuele logische bommen te gaan gooien? Ondanks de terughoudendheid is er in de praktijk al wel een grijze zone, zegt generaal Bosch. Hackers die het op Pentagon-computers hebben gemunt, moeten erop rekenen dat ze worden bestookt met hun eigen agressieve software, die hun eigen pc's onklaar maakt. Dat overkwam het Electronic Disturbance Theater, dat verantwoordelijk was voor de aanvallen op de Mexicaanse regering, maar ook de beurs van Frankfurt al eens platlegde. Toch werken tegenaanvallen maar zeer beperkt. Een levensgroot probleem is dat hackers computers van nietsvermoedende derde partijen kunnen gebruiken om hun aanval in te zetten. In de winter van 1999 stalen hackers veel belangrijke informatie uit de Pentagon-computers met aanvallen die ze via de computer van de de Russische Academie van Wetenschappen lieten lopen. De Amerikanen geloofden niet dat de Russen erachter zaten, maar waren wel kwaad op de Academie, die 'te weinig' meewerkte om de hackers te vangen. Aan het oplossen van dit soort juridische dilemma's wordt hard gewerkt. 'De sites van mij en mijn collega's worden regelmatig bezocht door organisaties als het Defense Intelligence Agency', zegt de Groningse informaticajurist dr. C. de Vey Mestdagh. 'Ze lezen kennelijk alles wat erop dat gebied (cyberwar, encryptie enzovoort) verschijnt.
De problemen van Defensie verbleken als je ze vergelijkt met de kwetsbaarheid van de Nederlandse informatiemaatschappij als geheel. Voor zover dat kan tenminste, want er is geen systematische studie gedaan naar de bevelliging van de Nederlandse infrastructuur. In een land als Australië, waar dat wel is gebeurd, kwam daaruit naar voren dat met een klein aantal welgemikte speldeprikken de Australische economie op zijn gat te krijgen is. Zo lopen de landelijke radio-, tv-, telefoon-, fax-, internetverkeer, maar ook de bediening op afstand van allerlei essentiele pijpleidingen, over een satellietnetwerk dat maar twee knooppunten op de grond kent. De besturing van een deel van die satellieten is niet eens beveiligd, zodat elke hacker die over de juiste apparatuur beschikt vanachter zijn toetsenbord de baan en de stand ervan kan wijzigen. En het Australische electriciteitsnet kan op een aantal plaatsen met een of twee welgemikte bomaanslagen geheel worden lamgelegd.
Australië is geen uitzondering. Nederland is ook kwetsbaar en mischien zelfs een voor de hand liggend doelwit voor aanvallen op de infrastructuur. Ir. Luiijf: ' Voor telecommunicatie is Amsterdam het knooppunt voor Europa, via onderzeese transatlantische kabels die over de duinen binnenkomen. Worldcom, MTI, alle grote telecombedrijven zitten daarbij. Bovendien worden bijna alle verbindingen tussen bijvoorbeeld Noord- en Zuid-Nederland, West-Nederland en België en Duitsland enzovoort over een klein aantal rivierkruisingen geleid, zeker het hogesnelheidsnetwerk.'Ook voor het internationale flitskapitaal vervult Nederland een onontbeerlijke functie. Ons land heeft de enige reservecomputer ter wereld in dienst van het internationale bancaire netwerk Swift, waar 4300 banken dagelijks twee miljoen berichten en 1,5 triljard dollar laten rondgaan. Swift is absoluut essentieel voor de banken om dagelijks hun onderlinge schuldposities te verrekenen, een karwei dat aan het begin van de nieuwe werkdag klaar moet zijn. Stel dat op zulke plaatsen een dragline verkeerd aan de gang gaat, om een onschuldige calamiteitsoorzaak te noemen. Omdat een studie ontbreekt kun je alleen met anekdoten laten zien hoe makkelijk het is de netwerkeconomie pootje te lichten. Neem bijvoorbeeld de e-mailbom die tussen donderdag 2O en dinsdagochtend 25 januari jongstleden veertigduizend Nederlandse gebruikers van de server Wanadoo problemen met hun e-mail gaf. Uiteraard was de helpdesk onmiddellijk buiten gevecht gesteld door de vloedgolf van telefoontjes. Of neem de sneeuwstorm in Washington van een paar weken geleden, toen de gebruikers werd gesmeekt wegens de congestie van het internet af te gaan. Ook misdaad is een bedreiging. In juli 1999 kraakten afpersers de broncode van de computers van creditcardgigant Visa, waardoor ze de geautomatiseerde betalingsafwikkeling (tien miljard gulden per dag, achthonderd miljoen klanten) konden lamleggen.
Computers sturen elektriciteitsnetwerken aan en zijn zelf weer afhankelijk van stroomvoorziening. Wat gebeurt er als de stroom uitvalt? Uit een onderzoek in 1994 naar aanleiding van zes grote stroomstoringen concludeerde het Rathenau Instituut, een onderafdeling van de Koninklijke Nederlandse Akademie van Wetenschappen in Amsterdam, dat er acht uur na een grote storing al een 'rampachtige situatie' kan ontstaan. De cv in flats is dan al uren uitgevallen. Het verkeer is een grote chaos door niet-werkende verkeerslichten, bruggen, treinen, trams, onderlopende tunnels enzovoort. Na vierentwintig uur dreigt er een ecologische ramp, bijvoorbeeld doordat de riolen overlopen naar het oppervlaktewater. Telefoons werken wel, maar de centrales liggen plat. Inmiddels is 1994 in een aantal opzichten prehistorie. Het Rathenau Instituut keek bijvoorbeeld nog niet naar mobiele telefoons of naar het intemet. Maar hun theorie bleek juist. De stroomuitval in Utrecht op 23 juni 1997 en de uitval van telefooncentrales in 1998 door de massale pogingen van voetballiefhebbers om aan kaartjes voor de WK in Franrijk te komen, lieten zien dat er vaak maar een betrekkelijk kleine verstoring nodig is om grote uitwaaierende effecten op te roepen. Luiijf van TNO: 'In de tijd van de grote aanslagen in Londen een paar jaar geleden werd ontdekt dat het Ira het plan had om zevenentwintig nepbommen zichtbaar neer te leggen bij de zes grote elektriciteitsknooppunten buiten de ring of steel die de politie om Londen had gelegd. Was dat doorgegaan, dan had men die knooppunten en dus de netwerken naar die knooppunten toe en daarmee de totale elektriciteits distributie van Londen afgeschakeld, om te voorkomen dat er kortsluiting zou ontstaan. De nabijgelegen centrales zouden dan namelijk het stroomtekort voor hun rekening nemen, op hun beurt overbelast raken en ook afgeschakeld worden. Door zulke cascade-effecten had heel Engeland zonder stroom kunnen komen te zitten. Gelukkig kwam het Ira niet op de gedachte om een telefoontje met een bommelding te plegen, want dat had hetzelfde effect gehad.' Luiijf verwijst naar die ene boomtak in de Verenigde Staten, die in de koude winter van 1998 door de ijzel topzwaar was geworden, op een elektriciteitskabel viel en kortsluiting veroorzaakte, waardoor het circuit overbelast raakte en via soortgelijke cascade-effecten de hele Amerikaanse oostkust en een deel van Canada zonder stroom kwamen te zitten. 'Niemand begreep op dat moment,' zei de Amerikaanse minister van Handel Bill Daley onlangs, 'hoe alles met alles samenhing aan de oostkust.' Zit de postmodeme netwerkeconomie eenmaal zonder stroom, dan is de aardigheid er gauw af. Een Zwitserse studie schat dat banken maximaal achtenveertig uur kunnen overleven zonder dat hun computers werken. Duurt het langer, dan zijn ze failliet. Verzekeringsmaatschappijen zijn robuuster. Die houden het wel vijf dagen vol. Intussen zit de dienstensector, die tachtig procent van de Nederlandse banen verzorgt, dan wel massaal met de armen over elkaar. Andere effecten bestaan vaak alleen als scenario. Als de geldautomaten niet werken, valt de voedseldistributie bijvoorbeeld stil, een gevolg van de aardschok in Kobe waar niemand aan gedacht had. Na een week treden nieuwe effecten op. Het publiek verliest zijn vertrouwen in de overheid. Wat er daarna gebeurt weet niemand.
Van deze kwetsbaarheden is men zich opvallend weinig bewust. Nederland functioneert te goed, en heeft daar dus te weinig oog voor, verzuchtte het Rathenau Instituut al. Men staat hier en daar ook naief tegenover de technologische ontwikkeling. Een kabelmaatschappij die op de internetmarkt opereert, zoals minister Jorritsma wil, kan echt niet meer acht uur uittrekken om een kabel over de dijk te leggen, zoals Eneco Kabeltv & Telecom onlangs deed; eigenlijk niet langer dan een minuut, zegt ir. Luiijf. En het idee van de Rotterdamse brandweercommandant Berghuis om een van de vijf mobiele telefoonnetten aan te wijzen als noodnet voor een grote millenniumstoring hield er volgens hem geen rekening mee dat de meeste gsm-antennes op spanningsbronnen in flats en bedrijven lopen en het bij een grote stroomstoring zelf ook niet meer doen.
De eerste stap in de goede richting is volgens de Amerikanen het bij elkaar brengen van overheid en particuliere sector. Een van de redenen voor Clinton om alarm te slaan was het gebrek aan animo bij de bedrijven. Die hangen inbraken in hun netwerken meestal niet aan de grote klok. Clinton had in 1998 gewist dat er in mei 1999 een rapport zou liggen over de kwetsbaarheid en de verdediging van de Amerikaanse infrastructuur, die voor vijfennegentig procent in particuliere handen is. Maar de besprekingen met het bedrijfsleven kostten acht maanden extra. De Amerikaanse regering zette bijvoorbeeld juristen aan het werk om uit te zoeken of zij zich kon onttrekken aan de Freedom of Information Act (Wet Openbaarheid van Bestuur). Anders zouden burgers misschien bedrijfsgevoelige informatie over cyberaanvallen bij de overheid kunnen opvragen, waardoor men de medewerking van de bedrijven wel zou kunnen vergeten. Een tweede reden voor Clinton om pas in januari 2000 de alarmklok te gaan luiden, was misschien het millenniumprobleem, dat de computernerds vorig jaar in zijn greep had. In Nederland was dat effect in ieder geval merkbaar. Nadat op Kerstmis 1998 het internet was uitgevallen, zijn de TU Delft en TNO bij Verkeer en Waterstaat gaan lobbyen om in actie te komen, maar dit ministerie reageerde even traag als Defensie. Een vergadering die voor mei 1999 was gepland, werd afgezegd, omdat de Nederlandse overheid zijn beleid nog niet had bepaald. In het toonaangevende project Infodrome werd de computerveiligheid tot voor zeer kort zelfs niet eens als een probleem gezien. Infodrome is een belangrijke informele discussiegroep over de netwerkmaatschappij, onder leiding van staatssecretaris Rick van der Ploeg. Het zet allerlei onderzoek uit bij topinstituten. Pas begin deze maand is besloten om ook daarover een studiegroep aan het werk te zetten.
© Vrij Nederland 2000