Niet-statelijke cyberaanvallers: ongrijpbare huurlingen?
Analysis Conflict and Fragility

Niet-statelijke cyberaanvallers: ongrijpbare huurlingen?

02 Sep 2020 - 14:48
Photo: Pixabay
Back to archive

Terwijl staten reeds moeite genoeg hebben met het aanpakken van andere landen die digitale aanvallen uitvoeren, is sinds enkele jaren een nieuwe trend zichtbaar: landen besteden cyberaanvallen steeds vaker uit aan niet-statelijke actoren om nog ongrijpbaarder te opereren. Toch zijn er diverse mogelijkheden om zulke aanvallers aan te pakken.1

De overgrote meerderheid van alle digitale aanvallen in de wereld wordt uitgevoerd door niet-statelijke actoren, vooral criminelen op zoek naar geld. Toch worden staten meestal als de gevaarlijkste spelers op dit vlak beschouwd.

Alleen staten kunnen enorm veel geld, menskracht en tijd investeren in het ontwikkelen van de grootschalige cyberaanvallen die maatschappijen kunnen ontwrichten.2  Denk bijvoorbeeld aan het toebrengen van schade aan kritieke digitale systemen in een land, het stelen van belangrijke informatie of het beïnvloeden van verkiezingen.

Het grote ‘voordeel’ van cyberaanvallen is dat ze vrijwel onzichtbaar zijn en het lastig is om daders overtuigend aan te wijzen. Daders kunnen hun betrokkenheid vrij eenvoudig ontkennen.

Chaos Communication Camp in Berlijn, 2015. Een internationaal evenement voor hackers - Flickr - Robert Anders
Chaos Communication Camp in Berlijn, 2015. Een internationaal evenement voor hackers. © Flickr / Robert Anders

Nu de technologische mogelijkheden om daders aan te wijzen echter toenemen, kiezen sommige landen ervoor om hun cyberaanvallen uit te besteden. Als ‘cyberhuurlingen’ door slachtoffers worden beschuldigd, kan de opdrachtgevende overheid nog steeds volhouden er niets vanaf te weten. Het uitvoeren van cyberaanvallen wordt daardoor minder risicovol.3

Ongrijpbaar?
Terwijl landen sowieso worstelen met het aanpakken van cyberaanvallers, is het verantwoordelijk houden van niet-statelijke cyberhuurlingen nog lastiger. Deels komt dat door onduidelijkheid over het juridische begrip ‘due diligence’ in het digitale domein.

Due diligence verwijst – eenvoudig gezegd – naar de verantwoordelijkheid van een land om ervoor te zorgen dat vanuit dat land geen schadelijke activiteiten tegen andere landen worden uitgevoerd.4  Voor bijvoorbeeld terroristische groeperingen die vanuit het ene land een ander land aanvallen, is dit helder, maar hoe zit het met cyberaanvallers die vanuit een bepaald land computers en servers in een ander land hacken en vandaaruit een derde land aanvallen?

Hoewel een belangrijke werkgroep van de Verenigde Naties, de ‘UN Group of Governmental Experts’, in 2015 heeft aangegeven dat due diligence ook gewoon in ‘cyberspace’ geldt, is er nog veel onduidelijk over hoe dat in de praktijk moet werken.5  Vooral sterk gedigitaliseerde landen houden die onduidelijkheid deels in stand, omdat zij het grootste risico lopen dat digitale infrastructuur in hun land wordt misbruikt door hackers in andere landen.

Grootschalig
Als er overtuigend bewijs is wie achter een grootschalige cyberaanval schuilt, hebben landen diverse beleidsopties voorhanden als dit een niet-statelijke actor is.6  Het begrip ‘grootschalig’ is van belang, omdat cybercriminaliteit (hoe veelvuldig voorkomend ook) op andere manieren moet worden aangepakt.

Amerikaanse soldaten krijgen les in digitale veiligheid. © - Wikicommons - Georgia National Guard
Amerikaanse soldaten worden getraind in digitale veiligheid. © Wikicommons / Georgia National Guard

Bij grootschalige cyberaanvallen wordt maatschappelijke schade aangericht, bijvoorbeeld door het aantasten van de veiligheid, de economische slagkracht, politieke besluitvorming of democratische processen in een land. Hieronder volgen zeven beleidsopties om op zulke aanvallen te reageren.

Optie 1: Het ‘gastland’ om hulp vragen
De meest eenvoudige optie om een niet-statelijke cyberaanvaller aan te pakken, is het land van waaruit deze opereert om assistentie te vragen. Als overtuigend bewijs kan worden getoond, zal dit ‘gastland’ in veel gevallen maatregelen kunnen nemen om de cyberaanvallers te stoppen en te vervolgen (als ze niet zijn ingehuurd door diezelfde overheid).

Eventueel kunnen ook diplomaten uit het betreffende land worden uitgewezen

Het voordeel van deze optie is dat het weinig escalatierisico met zich meebrengt; het gastland wordt niet beschuldigd van betrokkenheid bij de cyberaanval (zelfs als dat wel zo is) en heeft dus weinig reden om moeilijkheden te veroorzaken.

Anderzijds is het voor het gastland eenvoudig om hulp toe te zeggen maar in de praktijk niets te doen, of zelfs hulp te weigeren. Een voorbeeld is de cyberaanval op Estland in 2007, vaak genoemd als de eerste grootschalige cyberaanval in de geschiedenis, waarbij Rusland een hulpverzoek van de Estse opsporingsautoriteiten weigerde wegens “procedurele problemen”.7

Optie 2: Capaciteitsopbouw
Als een land om assistentie wordt gevraagd (zoals hierboven besproken), maar vervolgens geen effectieve actie onderneemt om de cyberaanvallers aan te pakken, dan kan dit twee redenen hebben. Of het land heeft niet de capaciteit om effectief op te treden, of het wil niet optreden.

Als de inschatting gemaakt wordt dat de eerste reden het geval is, dan kan het land geholpen worden om de ontbrekende capaciteit op te bouwen. Dit kan korte-termijnhulp zijn, bijvoorbeeld het sturen van technische of opsporingsdeskundigen om alleen deze cyberaanvallers aan te pakken.

Het is echter effectiever om langdurige hulp te bieden en het land zodanig te helpen dat er in de toekomst niet nog meer grootschalige cyberaanvallen uit het land worden uitgevoerd. Zulke hulp kan ook verlopen via multilaterale samenwerkingsverbanden, zoals via het vanuit Nederland opererende Global Forum on Cyber Expertise (GFCE).

Optie 3: Diplomatieke actie
Indien een land niet effectief meewerkt aan een verzoek om assistentie terwijl het dat qua capaciteit wel zou moeten kunnen, zou er onwil in het spel kunnen zijn. In dat geval kan het helpen om diplomatiek protest aan te tekenen tegen het uitblijven van hulp om de cyberaanvallers aan te pakken.

Diplomatiek protest kan binnenskamers worden aangetekend, maar om het extra kracht bij te zetten, kan het ook publiekelijk worden gedaan. Eventueel kunnen ook diplomaten uit het betreffende land worden uitgewezen. Zo zetten de Verenigde Staten in 2016 bijvoorbeeld 35 Russische diplomaten het land uit als vergelding voor cyberaanvallen met als doel de presidentsverkiezingen te beïnvloeden.8

Diplomatiek protest dwingt een overheid weliswaar niet enorm dringend om alsnog actie tegen de niet-statelijke cyberaanvallers op zijn grondgebied te ondernemen, maar het kan wel degelijk reputatieschade veroorzaken. Zeker publiekelijk protest kan een internationaal signaal afgeven dat het land bewust cyberaanvallers beschermt. Mogelijk kiest het land dan alsnog eieren voor zijn geld en stopt het de cyberaanvallers.

Optie 4: Juridische maatregelen
Juridische maatregelen direct gericht tegen de niet-statelijke cyberaanvallers behoren ook tot de mogelijkheden. Het aanklagen van de organisatie en/of de personen achter een cyberaanval kan een afschrikwekkende werking hebben: het toont dat het aangevallen land zulke goede attributiecapaciteit heeft dat cyberaanvallers er niet zo anoniem en onzichtbaar te werk kunnen gaan als ze zouden willen.

The Venetian Hotel and Casino in Las Vegas, geraakt door een digitale aanval in 2014. © Flickr / Friscocali
Het 'Venetian Hotel and Casino' in Las Vegas, doelwit van een digitale aanval in 2014. © Flickr / Friscocali

Een nadeel is dat juridische aanklachten vaak onder nationaal strafrecht zullen worden ingediend. Dit betekent dat de hackers pas gearresteerd kunnen worden als zij het betreffende land – of bondgenoten – bezoeken (ervan uitgaande dat hun gastland ze niet zal uitleveren, anders had het al eerder actie ondernomen).

Een internationaal opsporingsbevel via Interpol of Europol kan het reizen in elk geval lastig maken. Vooral de Verenigde Staten hebben diverse rechtszaken tegen buitenlandse hackers (statelijk en niet-statelijk) gevoerd, maar in de meeste gevallen in afwezigheid van de aangeklaagden.

Het publiekelijk melden van betrokkenheid van de overheid bij (het niet optreden tegen) de cyberaanvallers kan ook richting die overheid een afschrikwekkend effect hebben vanwege reputatieschade.   

Effectiever is het om de computersystemen ongemerkt binnen te dringen om de hackactiviteiten te monitoren

Theoretisch zijn zelfs juridische stappen via bijvoorbeeld het Internationaal Strafhof of het Internationaal Gerechtshof denkbaar, maar in veel gevallen van een niet-statelijke cyberaanval lijkt dat niet de meest realistische optie.

Optie 5: Sancties
Ook sancties zijn een beleidsinstrument om niet-statelijke cyberaanvallers aan te pakken. Betrokken organisaties en personen kunnen bijvoorbeeld op een ‘zwarte lijst’ worden gezet, die het voor hen moeilijker maakt om internationaal te reizen en/of internationale financiële transacties te doen.

Een dergelijke straf kan toekomstige cyberaanvallen tot op bepaalde hoogte afschrikken. Een voorbeeld zijn de sancties die de Europese Unie in juli 2020 oplegde aan diverse personen en organisaties wegens betrokkenheid bij verschillende cyberaanvallen.9

Het is ook mogelijk om het gastland van de cyberaanvallers te sanctioneren omdat het niet tegen de aanvallers wil optreden en (wellicht) betrokken is bij de aanval. Zeker als sancties de import, export en/of financiële transacties van belangrijke economische sectoren treffen, kunnen ze flink effect hebben. Het moet echter wel altijd duidelijk worden gemaakt wat het land moet doen om de sancties te laten beëindigen; als dat onduidelijk is, is de kans op gedragsverandering kleiner.

Optie 6: Vergelding in cyberspace
Een stap die verder gaat dan diplomatieke actie, is vergelding. Het meest logisch is om dat eveneens digitaal te doen, bijvoorbeeld door een cyberaanval uit te voeren die de computers van de niet-statelijke organisatie beschadigt. Hoewel dit wellicht enige afschrikkende werking heeft, is het is vrij eenvoudig voor de organisatie om de computers te vervangen en de kwalijke activiteiten voort te zetten.

Effectiever is het om de computersystemen ongemerkt binnen te dringen om de hackactiviteiten te monitoren en te kunnen ingrijpen voordat er werkelijk schade wordt aangericht, bijvoorbeeld door het snel dichten van de kwetsbaarheden in computerprogramma’s waar de hackers zich op richten.

De nucleaire installatie in Natanz, Iran. In 2010 werd de installatie getroffen door een westerse digitale aanval. © Wikicommons / Hamed Saber
De nucleaire installatie in Natanz, Iran. In 2010 werd de installatie getroffen door een westerse digitale aanval. © Wikicommons / Hamed Saber

Een stuk verdergaand is het uitvoeren van een cyberaanval op de overheid die de hackers de hand boven het hoofd houdt of zelfs aanstuurt. Te denken valt aan het lamleggen van bepaalde digitale infrastructuur als signaal dat cyberaanvallen vanuit dat land niet worden getolereerd.

Dit brengt echter wel risico op escalatie met zich mee, wat hieronder zal worden behandeld. Een voorbeeld is de (niet officieel erkende) cyberaanval op een Iraanse haven in mei 2020 waarmee Israël een eerdere Iraanse cyberaanval op een watersysteem vergold.10

Optie 7: Conventionele militaire vergelding
De meest robuuste beleidsoptie is om te vergelden met conventionele militaire middelen, bijvoorbeeld met een precisiebombardement op een locatie van waaruit de hackers opereren. Zulke krachtige vergelding geeft een kraakhelder signaal dat cyberaanvallen niet worden getolereerd en schrikt toekomstige hackpogingen wellicht af.

Deze optie draagt echter ook het grootste escalatierisico met zich mee en lijkt alleen aan de orde in het geval van werkelijk grootschalige cyberaanvallen waarbij aanzienlijke schade wordt aangericht en wellicht zelfs slachtoffers vallen.

Er is vooralsnog slechts één geval bekend waarbij een land op een dergelijke manier terugsloeg, en dat was niet eens als vergelding maar als preventie: in 2019 bombardeerde Israël een gebouw in de Gazastrook waar volgens de Israëlische overheid hackers van Hamas een cyberaanval op Israëlische doelen voorbereidden.11

Voor- en nadelen
Welke beleidsoptie wordt gekozen als reactie op een grootschalige cyberaanval, is bovenal een politieke afweging. Aan alle opties kleven voor- en nadelen.

Het voordeel van alle opties is dat cyberaanvallers wordt getoond dat hun activiteiten niet zonder gevolgen blijven. Als zij merken dat ze niet anoniem kunnen blijven en zelfs nadelige gevolgen ondervinden, zullen ze wellicht hun cyberaanvallen stoppen of op andere slachtoffers richten. Ook andere actoren worden mogelijk afgeschrikt van cyberaanvallen op het land dat toont dat hackers niet ongestraft wegkomen.

De dader van de aanvankelijke cyberaanval wordt internationaal ineens als slachtoffer gezien, en vice versa

De nadelen verschillen per beleidsoptie. Het nadeel van de eerste, minst zware beleidsopties is dat de daders zich er mogelijk weinig van zullen aantrekken omdat ze niet zo veel ‘pijn’ doen dat ze hun kosten-batenafweging voor het uitvoeren van cyberaanvallen zullen aanpassen.

Voor bijna alle opties, behalve de eerste twee (hulp vragen en capaciteitsopbouw), geldt het nadeel van escalatierisico. De overheid waartegen de maatregelen direct of indirect zijn gericht, kan alle betrokkenheid bij de cyberaanval ontkennen, de tegenmaatregel als onterecht kenmerken, en deze vervolgens vergelden. Zo kan een tegenmaatregel een escalatiecyclus veroorzaken die alleen maar meer problemen creëert. 

Algemeen gesteld, vermindert het escalatierisico naarmate de attributie van een cyberaanval overtuigender is. Hoe meer bewijs publiekelijk te delen is, hoe minder makkelijk de tegenpartij betrokkenheid kan ontkennen en een vergeldingsactie op haar beurt kan vergelden. Dit betekent ook dat bij zwaardere tegenmaatregelen bij voorkeur meer bewijs moet worden geopenbaard dan bij lichtere tegenmaatregelen.

NSA graffiti in Stockholm. © Wikicommons / Needpix.com
NSA-graffiti in Stockholm. © Wikicommons / Needpix.com

Uiteraard dient een tegenmaatregel ook proportioneel te zijn en dient nevenschade te worden vermeden. Stel dat een tegenmaatregel veel meer schade aanbrengt dan de oorspronkelijke cyberaanval, dan ontstaat het risico dat de rolverdeling wordt omgedraaid; de dader van de aanvankelijke cyberaanval wordt internationaal ineens als slachtoffer gezien, en vice versa.

Experimenteren 
De opkomst van niet-statelijke actoren die grootschalige cyber-aanvallen uitvoeren, al dan niet in opdracht van staten, is een nieuwe uitdaging voor overheden die al genoeg moeite hebben met het tegengaan van zulke aanvallen door statelijke actoren. Toch staan aangevallen landen niet met lege handen om niet-statelijke aanvallers aan te pakken, zoals uit bovenstaande beleidsopties blijkt.

Gezien het risico op escalatie, is het aan te bevelen om niet te gemakkelijk te grijpen naar zwaardere vormen van maatregelen zoals vergelding door tegenaanvallen. Aan de andere kant is het de vraag of de minder zware opties genoeg invloed hebben op het land van waaruit de aanval plaatsvond om toekomstige aanvallen te voorkomen. Het blijft, zoals zo veel veiligheidsbeleid in het relatief nieuwe cyberdomein, experimenteren om de effecten van verschillende beleidsopties beter te kunnen inschatten.

Ten slotte is het belangrijk om de werking van het juridische concept van due diligence in cyberspace helderder te krijgen. Dit verdient vooral aandacht in multilaterale context, zoals in de Verenigde Naties. De momenteel lopende VN-processen van de ‘UN Group of Governmental Experts’ en de ‘UN Open Ended Working Group’ inzake cybersecurity zijn hiervoor uitstekende gelegenheden.12

Authors

Sico van der Meer
Research Fellow at the Clingendael Institute