Pak daders cybercrime actief aan
22-06-2013

Pak daders cybercrime actief aan


Om cybercrime effectief te bestrijden is het nodig de daders actief aan te pakken. De manier waarop het nu gebeurt schiet echter ernstig tekort. Arend Jan Boekestijn, historicus verbonden aan de Universiteit Utrecht, kijkt hier met de frisse blik van een buitenstaander naar. Zo confronteerde hij bij de laatste CIO Summit van VNU Exhibitions de aanwezige CIO´s onder meer met hun afwachtende houding. Executive-People sprak met hem over zijn visie op internet en veiligheid.

Online bedreigingen zijn nieuw, maar dat wil niet zeggen dat er bij het nadenken over dit verschijnsel geen historische parallellen getrokken kunnen worden. Arend Jan Boekestijn, oud Tweede Kamer-lid voor de VVD en Consultant Strategic Policy plaatst cybercrime in het bredere kader van veiligheidsvraagstukken. 

“Het veiligheidsparadigma verandert. Dat is enigszins vergelijkbaar met de situatie zoals die bestond rond kernwapens. De komst van kernwapens heeft de situatie rond veiligheid volledig veranderd. Plotseling was alles radicaal anders dan bij conventionele wapens. Want kenmerkend voor kernwapens is dat ze zo verwoestend en zo verschrikkelijk zijn, dat ze niet zomaar even worden ingezet door regeringsleiders.” 

“Het lijkt er paradoxaal genoeg dus op dat kernwapens uiteindelijk hebben bijgedragen aan een meer stabiele situatie. Tenminste, voor zover het gaat om de grote kernwapens. Want als één land kernwapens zou inzetten, zou het andere land een even verwoestende tegenaanval kunnen uitvoeren.” 

“Bij kleinere kernwapens is die situatie anders. Wanneer je een meer beperkte aanval kunt uitvoeren is de drempel om ertoe over te gaan een stuk lager geworden. Maar dat neemt niet weg dat in de geschiedenis die grotere kernwapens behoorlijk wat oorlogen voorkomen hebben. Amerika en Rusland zijn uiteindelijk niet direct met elkaar in oorlog geraakt.”

Zoeken naar antwoorden Volgens Boekestijn zijn er op het gebied van veiligheid parallellen te trekken met de huidige ontwikkelingen rond het internet. “Nu is er weer iets gekomen dat volledig nieuw is en zorgt voor een geheel nieuwe situatie: cybercrime, met in het verlengde daarvan cyber warfare. Omdat dit zo nieuw is zijn we nog volop aan het zoeken naar antwoorden.” 

Zijn eerste observatie is dat structuur in de aanpak van cybercrime ontbreekt. “China en Amerika bestoken elkaar voortdurend via internet. Amerikaanse multinationals doen aan spionage, Chinese bedrijven ook. Dat gaat over en weer. Het zou goed zijn wanneer die multinationals en de Amerikaanse overheid op dat gebied met elkaar zouden samenwerken. Iedereen houdt echter de kaarten tegen de borst. Het lijkt enigszins op de situatie met de geheime diensten, die zouden ook met elkaar moeten praten, maar dat gebeurt evenmin. Die werken notoir slecht samen en het is altijd ‘voor wat hoort wat’. Dat illustreert de chaos.”

Teruggrijpend op de parallellen met kernwapens is het volgens hem de moeite waard om te kijken of afschrikking effectief is. “Het interessante van afschrikking bij kernwapens is dat de kosten van een aanval gewoon te hoog zijn. Dus heb je vrede. Nu is de vraag bij cybercrime of afschrikking werkt. Veel CIO’s zeggen: als je niet weet waar de aanval vandaan komt kun je helemaal niet reageren. Daar hebben ze gelijk in. Maar er zijn experts die soms wel degelijk kunnen ontdekken waar het vandaan komt, daar zijn diverse voorbeelden van.” 

Attack attribution 
“In dat geval kun je terugslaan. Je zou dan iemand die een DDOS-aanval organiseert terug kunnen pakken met DDOS. We hebben inderdaad moeite om de dader te achterhalen, maar ik stel vast dat het soms wel mogelijk is. De vraag is of we die zogenaamde attack attribution kunnen verbeteren.” Hij erkent dat er ook juridische complicaties zijn. “Maar wanneer de computer van waterleidingbedrijven is gehackt en er gevaar dreigt voor de volksgezondheid speelt dat even een minder grote rol.” Bovendien hoeft de reactie zich volgens Boekestijn helemaal niet te beperken tot een digitale actie. “Wanneer het echt uit de hand loopt, bijvoorbeeld met een aanval op vitale sectoren als elektriciteit en water, dan komt het hele arsenaal aan mogelijkheden in beeld. Stel dat cyber warfare tussen twee landen helemaal uit de hand loopt. Dan escaleert het en komen conventionele reacties in beeld. Want als bijvoorbeeld een paar elektriciteitscentrales digitaal zijn platgelegd door een ander land is het niet ondenkbaar dat een conventionele inzet volgt.” 

Hij erkent dat de schade die cybercrime aanricht niet te vergelijken is met een kernwapen. “Inderdaad, kernwapens zijn de totale vernietiging. Maar eveneens is het waar dat alles wat ooit bedacht wordt, ooit ergens uitgevoerd zal worden. De kennis van kernwapens kun je niet vernietigen. Die zal er altijd blijven. De kennis van cybercrime kun je evenmin laten verdwijnen, sterker nog, die kennis is buitengewoon gedemocratiseerd. Dat is verontrustend, en betekent dat we nog van alles gaan meemaken. Hackers zijn er dagelijks mee bezig.” 

Hij pleit dan ook voor een meer actieve aanpak van cybercrime. “Waarom lok je geen DDOSaanvallen uit? Dat is een klassieke militaire strategie. Zo kun je attributie vaststellen. Welke technologie wordt gebruikt, uit welke landen komt het? Vervolgens kun je overwegen welke vorm van afschrikking het beste werkt. Want als je met een cyberoffensief niet zoveel kan doen, kun je ook fysiek in actie komen.” 

Schade 
Waar het volgens hem vooral op neerkomt is dat meer informatie nodig is. “Bij bedrijven die nu een DDOS-aanval ondergaan is de observatie nog lang niet in orde. Zo’n hinderlaag kan ervoor zorgen dat de observatie wordt geoptimaliseerd. En wanneer dat vervolgens lukt moet daar een heel hoge straf op staan. Ik ben ervan overtuigd dat er een aantal verslaafde hackers zijn die het doen omdat ze het leuk vinden. En die kun je aanpakken door er een hoge straf op te zetten.” 

En de schade die kan worden aangericht is groot. “Als je banken digitaal kunt overnemen hebben we een groot probleem. Dit betekent dat we offensieve capaciteit moeten ontwikkelen, maar die is er nu niet. Ook moet het recht zich op dat gebied nog ontwikkelen. Het cyberrecht staat in de kinderschoenen. Je kunt iemand pas veroordelen als de wetten erop zijn ingesteld. We moeten wetten krijgen die de strafbaarheid verhogen.” 

Voor de CIO’s die de CIO Summit bezochten was dit verhaal een verrassing. “Toen ik mijn verhaal hield ontstond er groot rumoer over mijn visie op de offensieve capaciteit, dat vonden ze maar niets. Ze wisten niet waar de aanvallen vandaan kwamen, en waren ook niet naar op zoek. De CIO’s waren niet geneigd om te leren van militaire strategie. En dat is jammer, want daar is veel inspiratie te halen. Ze houden zich echter voornamelijk bezig met de verdediging, en dat gaat tot op zekere hoogte goed.” 

Een deel van de aanwezigen reageerde zelfs verontwaardigd. “Maar toen stond een hoge functionaris van de overheid op, en die zei dat ik gelijk had. En toen veranderde plotseling de stemming in de zaal. Dat was psychologisch interessant. Want wanneer je als buitenstaander iets zegt dat afwijkend is, wordt dat als bedreigend ervaren. Maar als iemand van statuur in je eigen branche hetzelfde zegt is de reactie heel anders.” 

Volksaard 
Dat heeft deels te maken met de volkaard. “Nederland is geen martiaal volk, we zijn pacifisten. Wij willen diplomatie en op zich is dat mooi. Maar als je echt vrede wilt hebben moet je je voorbereiden op oorlog. En het leek wel of dat sentiment daar ook leefde. Ik kan me voorstellen dat er in Engeland en Frankrijk toch anders over wordt gedacht.” 

“CIO’s zijn mensen die werken in een keurige wereld, bij keurige bedrijven. Hackers daarentegen leven in een wereld van anarchie, waar het recht van de sterkste geldt. Ze zitten over de hele wereld, in China, Rusland, Afrika. Het gaat soms om volkomen criminele bendes. En wij zijn beschaafd, we zijn kwijt dat je meedoogenloos tegen dergelijke mensen moet optreden.” 

Dat is in feite een vorm van asymmetrische oorlogvoering. “Een Afrikaans land met heel weinig computers heeft geen last van cyberwarfare. Het lastige van een defensieve benadering is dat je alles moet afschermen. Asymmetrische oorlogvoering is moeilijk te winnen. Die asymmetrie zie je heel sterk bij cyberwarfare. Je kunt met betrekkelijk weinig middelen heel veel schade toebrengen.”

Terug naar nieuws overzicht