Steeds vaker worden cyberaanvallen niet enkel door individuele hackers uitgevoerd, maar door staten. Het risico is groot dat belangrijke infrastructuren, en dus ook burgers, slachtoffer worden. Daarom wordt aangedrongen op een Cyberconventie van Genève. Wat zou dat precies inhouden?
Door staten gesponsorde hacking neemt toe
Het hacken van computers kan vele vormen aannemen, met vele doeleinden. Er zijn natuurlijk de script-kiddies die computers of netwerken hacken, gewoon omdat het kan en zij een kick krijgen van de macht die zij over andere computers hebben. Maar vaker gaat het om geldelijke doeleinden - denk aan de ransomware Wanacry, dat verleden jaar vele slachtoffers maakte. In Groot-Brittannië moesten zelfs ziekenhuizen gesloten worden omdat verplegend personeel geen toegang meer had tot de data, die door cybercriminelen versleuteld waren. Rederij Maersk verloor 300 miljoen dollar door een gelijkaardige
malware
, NotPetya. Het is zelfs zo ver gekomen dat 74% van de bedrijven wereldwijd verwacht elk jaar gehackt te worden. Dit zou tegen 2020 tot een economische schade leiden van 3 biljoen dollar.
Maar er dreigt nog een ander gevaar: door staten gesponsorde aanvallen. Denk bijvoorbeeld aan de Sony-hack, uitgevoerd in 2014 door Noord-Korea, omwille van … een film, The Interview, waarin president Kim Jong-un ten tonele gevoerd werd. Andere voorbeelden van staat-gesponsorde hacks: een pro-Russische groep 'patriottische hackers' haalde overheidswebsites neer in Duitsland, Oekraïne en Polen, uit wraak voor de Duitse steun aan Kiev. Het aan de Syrische president Bassar al-Assad gelinkte hackerscollectief Syrian Electronic Army belaagt regelmatig websites van westerse media, zoals Le Monde.
Landen graven zich in cyberstellingen in
De overheden zijn zich bewust van het gevaar van cyberaanvallen - of die nu door 'gewone' cyberboeven of door staten uitgevoerd worden. Zo kondigde Duitsland onlangs aan dat het een cybermacht opgericht heeft, die deel uitmaakt van het leger, naast de land-, zee-, luchtmacht. Tegen 2021 moet die groep uit 13.500 soldaten en 1.500 burgers bestaan. Hun voornaamste taak: cruciale netwerken beschermen. In eigen land gaat de Algemene Dienst Inlichting en Veiligheid -in de volksmond Staatsveiligheid genoemd- dringend op zoek naar honderd experts, computernerds, om voor de dienst te komen werken. Zij moeten helpen ons land te beschermen tegen virtuele terroristen.
De traditionele militaire verdedigingssystemen zijn immers niet meer voldoende om een land te beschermen. Een vliegtuig zoals de Eurofighter bijvoorbeeld is niet meer zo gemakkelijk in de lucht neer te schieten, maar het zit wel vol met elektronische apparatuur. Hackers kunnen die apparatuur kraken en het vliegtuig laten neerstorten. Er is geen onderdeel van de belangrijke infrastructuren van een land, dat niet door computers bestuurd wordt. Denk aan elektriciteitsnetwerken, controlekamers in kerncentrales of op luchthavens, financiële netwerken. Allen zijn zij kwetsbaar voor hackers, al dan niet door een vijandige staat gesponsord. Met enorme schade tot gevolg: economisch, materieel, mogelijk ook mensenlevens.
De burger en privaatbedrijven als slachtoffer
Meer dan 30 landen hebben al toegegeven dat zij over offensieve cybermogelijkheden beschikken. Dat is moeilijk na te gaan, want cyberarsenalen zijn van nature geheim. Die clandestiniteit brengt overheden in de verleiding om hun cyberarsenaal uit te testen, en zo hun strategie bij te stellen. De vermoedelijke beïnvloeding van de Amerikaanse presidentsverkiezingen en het Britse Brexit-referendum zouden daarvan een voorbeeld kunnen zijn.
Deze nieuwe vorm van wapenwedloop bevat enkele aspecten die het moeilijk maken om zich tegen een cyberaanval te verdedigen. Om te beginnen is de cyberspace geen tastbaar begrip, maar iets dat zich over alle landen heen uitstrekt. Welke wetten zijn van toepassing? Wie heeft zeggenschap?
Verder wordt die cyberruimte gecreëerd, onderhouden, beveiligd, geëxploiteerd door privébedrijven, van onderzeese datakabels tot datacenters, tot servers, laptops en smartphones.
De overheid speelt hierbij natuurlijk een rol, maar de échte doelwitten van een cyberaanval zijn de private voorwerpen die eigendom zijn van burgers en bedrijven. Dit betekent ook dat een cyberaanval door een bepaald land niet meteen door een ander land, maar in de eerste plaats door de burger of de bedrijven beantwoord moet worden. Zij zijn de eerste slachtoffers.
Een Cyber-versie van de Conferentie van Genève nodig
In 1949 werden in de Vierde Conferentie van Genève regels overeengekomen om burgers te beschermen in tijden van oorlog. Door de staat-gesponsorde hacking leidt echter tot aanvallen op burgers in vredestijd.
Daarom klinkt de roep steeds luider om tot een nieuwe Conferentie van Genève te komen, die de burger moet beschermen tegen cyberaanvallen. Verschillende overheden, organisaties, maar ook privébedrijven scharen zich achter het initiatief. Stilaan begint zich een roadmap af te tekenen om die Conferentie te bereiken.
De roadmap
Al twee decennia geleden richtten de Verenigde Naties een orgaan op om te bepalen hoe om te gaan met de diverse aspecten van de informatietechnologie, in het bijzonder de cyberbeveiliging. In 2015 werd bevestigd dat de internationale wetten ook van toepassing zijn op de cyberspace. Dat klinkt triviaal, maar tot dan bestond die rechtszekerheid niet. Tevens werden 11 standaards voor cybersecurity vastgelegd.
20 landen, waaronder de VS, China, Rusland, Frankrijk en het VK schaarden zich achter deze consensus, en de G7 bevestigde dit nogmaals in april. Dit werd gevolgd door bilaterale cybersecurity verdragen tussen China en Rusland, de VS en China, de VS en India, China en het VK, en dit jaar tot een cybersecurity samenwerkingsverdrag tussen China en Australië.
Helaas zijn de termen van deze overeenkomsten vaag gebleven. Het World Economic Forum roept daarom op tot verdere stappen om tot een echte Digitale Conferentie van Genève te komen. Die zou, volgens deze paper van Microsoft, volgende doelstellingen moeten hebben:
- Overheden moeten zich ertoe verbinden geen cyberaanvallen uit te voeren die gericht zijn op de privésector of kritische infrastructuur, of het stelen van intellectuele eigendom via hacking. De overheid zou ook de privésector moeten bijstaan om aanvallen op te sporen, te beperken, erop te reageren en ervan te herstellen. Overheden van hun kant zouden fabrikanten ook op de hoogte moeten brengen wanneer er kwetsbare plekken in hun product ontdekt worden, in plaats van die geheim te houden voor spionage- of andere doeleinden.
- Er moet een onafhankelijke organisatie komen, samengesteld uit de publieke en privésector. Die moet eventueel bewijs dat een staat-gesponsorde aanval aan een bepaald land toe te schrijven valt, onderzoeken en het resultaat ervan publiek bekendmaken. Vergelijk dit met het Internationaal Atoomagentschap, dat een belangrijke rol gespeeld heeft bij nucleaire ontwapening.
- De eerste responslinie bij een cyberaanval zijn de technologiebedrijven. Zij moeten zich bereid verklaren om actief aanvallen af te wenden en erop te reageren. Net zoals men bij de Vierde Conferentie van Genève rekent op het Rode Kruis om burgers in oorlogstijd te helpen, moet de technologiesector actief helpen om te beschermen tegen staat-gesponsorde cyberaanvallen.
- Niet alleen moeten de overheden zelf de cybersecurity normen naleven, zij moeten ook andere naties ter verantwoording roepen als zij de normen overtreden. Met andere woorden: strafmaatregelen zoals economische sancties opleggen, of publiek veroordelen. Volgt dergelijke veroordeling niet, dan kunnen de andere landen hieruit concluderen dat hun gedrag toegelaten is, en heeft de Conferentie geen macht of kracht.
Technologiesector als neutraal Zwitserland
Als het aan Microsoft lag, zouden technologiebedrijven als het ware een neutraal digitaal Zwitserland moeten worden. Bedrijven zouden zich moeten verbinden om geen aanvalssoftware te produceren, of aan aanvallen deel te nemen. Patches voor zwakke plekken in software zouden voor àlle gebruikers beschikbaar gesteld moeten worden, ongeacht de hackers of hun motieven. En er zouden gezamenlijke praktijken afgesproken moeten worden over de manier waarop een kwetsbare plek in een dienst of product aan het publiek meegedeeld wordt.
Softwarebedrijven werken meestal over de landsgrenzen heen. Hun neutraliteit moet buiten kijf staan. Elk land moet, ongeacht zijn beleid, kunnen rekenen op een nationale én internationale IT-infrastructuur waarop het kan vertrouwen.
De Cyberconferentie van Genève is dus niet zomaar een nobel, utopisch concept, maar een broodnodig initiatief dat de burger moet beschermen tegen een reële dreiging. Het is aan de politiek én de technologiesector om dit concept om te zetten in concrete afspraken.