Deze voorstellen van het East West Institute (EWI) zijn voor oorlogsregels (rules of engagement) bij digitale oorlogvoering. Ze omvatten een soort ‘Rode Kruis’-etiket voor sommige kritieke infrastructuren. Zo moeten civiele systemen beschermd worden tegen cyberwar, maar moet ook humanitaire hulp mogelijk blijven.

Slecht beveiligd

“Tegenwoordig is nagenoeg alle kritieke burgerlijke infrastructuur online. Van de electriciteitsnetwerken waar ziekenhuizen afhankelijk van zijn, tot de vluchtcontrolesystemen voor burgerluchtvaart”, zegt EWI-cto Karl Rauscher die mede-auteur is van de voorstellen. Volgens het EWI zijn die burgersystemen relatief slecht of zelfs niet beveiligd volgens internationale normen.

De Amerikaanse en Russische experts, op het gebied van zowel traditionele beveiliging als cybersecurity, hebben de Geneefse en Haagse conventies geanalyseerd en daar een cyberequivalent uit gedestilleerd. Die twee conventies voor ‘analoge’ oorlogvoering zijn internationale verdragen die landen verplichten tot een reeks protocollen voor onder meer medische en menselijke zorg, schipbreukelingen, krijgsgevangenen en burgerbescherming.

Voorgelegd aan wereldleiders

Het EWI-rapport ‘Working Towards Rules for Governing Cyber Conflict: Rendering the Geneva and Hague Conventions in Cyberspace’ (ingebed onderaan dit artikel) bevat 5 voorstellen. Het is afgelopen weekend gepresenteerd aan wereldleiders op een internationaal topoverleg in München.

Op dat jaarlijkse veiligheidscongres waren politici aanwezig als de Amerikaanse minister van Buitenlandse Zaken Hillary Clinton, haar Russische tegenhanger Sergei Lavrov, de Britse premier David Cameron, de Duitse bondskanselier Angela Merkel, de Franse president Nicolas Sarkozy en secretaris-generaal Ban Ki-moon van de Verenigde Naties.

Dit jaar is er voor het eerst op die Münich Security Conference aandacht voor cybersecurity, meldt BBC Newsnight. Ook twee wetenschappers van een Duitse denktank hebben daar gepleit voor maatregelen om cyberwar - en de impact daarvan - te beperken. Zij pleiten net als de Amerikaans-Russische teams van EWI voor een duidelijke definiëring van verschillende soorten cyberoorlog en de schade daarvan. Anders dreigt er een wapenwedloop waarbij defensieve maatregelen geïnterpreteerd worden als agressie, waarschuwen zij.

Definitie en onderscheid

Naast een definiëring van ‘cyberoorlogshandelingen’ is er een onderscheid nodig aan de hand van de motivatie of intentie van de aanvallers. Niet elke succesvolle cyberaanval is namelijk echt een oorlogsdaad, stellen de twee wetenschappers. Zij benadrukken de verschillen - vooral in politieke zin - tussen cyberwar, cyberterrorisme, cybercrime en cybervandalisme. Laatstgenoemde zou slaan op de DDoS-aanvallen van Anonymous op websites van ‘Wikileaks-vijanden’.

Een dergelijk onderscheid is echter minder eenvoudig te maken dan bij traditionele oorlogvoering. Bovendien is de bijkomende schade (collateral damage) moeilijk te overzien en die kan groot zijn. Zo heeft de beruchte Stuxnet-worm, een waarschijnlijk op maat gemaakt stuk malware om het nucleaire overheidsprogramma in Iran te saboteren, wereldwijd voor infecties en ophef gezorgd. Recent nog was er de dreiging van een Iraans Tsjernobyl door Stuxnet.

Struikelblokken

De experts van EWI stellen in hun rapport dan ook de vraag of kritieke ‘humanitaire’ infrastructuur wel is te onderscheiden van gewone, onbeschermde zaken in cyberspace. Mogelijk dat speciale tekens zoals het Rode Kruis in de fysieke wereld beschermde zones aan kunnen geven. Ook komen zij met de vraag of bepaalde cyberwapens gelijk zijn te stellen aan verboden wapens op de lijst van het Genève Protocol. Hoe dergelijke maatregelen moeten werken, is echter nog niet duidelijk.

Een bijkomend probleem is dat veel cyberwarriors niet per definitie aan een land gebonden soldaten zijn, erkennen de experts in hun voorstellen. Cyberkrijgers zijn veelal zelfstandig opererende aanvallers of groeperingen. Dat zou volgens de Chinese overheid ook het geval zijn bij de geruchtmakende cyberinbraak bij Google, die eind 2009 is gepleegd. Google en de VS verdenken echter de regering van China.

Anonymous

Daarnaast kunnen cyberwarriors zelfs spontaan werkende individuen zijn, zoals het Anonymous-hackerscollectief, die ook zeker grote schade kunnen aanrichten. Een verdrag tussen landen heeft daarbij maar een beperkt nut. Het EWI hoopt met de voorstellen in ieder geval een breed, international debat aan te zwengelen over het hete hangijzer van cyberconflicten in alle vormen.

Het EWI-rapport met voorstellen voor Genève- en Haagse conventies voor cyberwar: US-Russia