Gendo

Cyberoorlog: het Westen is begonnen

<Webwereld column>

The War Room, Dr. Strangelove - 1965

Een aantal jaren geleden ontwikkelden Israëlische en Amerikaanse inlichtingendiensten een computervirus met een specifiek militair doel: het beschadigen van Iraanse nucleaire installaties. Stuxnet werd via usb-sticks verspreid en nestelde zich stilletjes op Windows pc’s om van daaruit op zoek te gaan naar specifieke industriële centrifuges die via Siemens SCADA-apparatuur worden aangestuurd.

Iran heeft, net als veel andere landen, een nucleair programma voor energieopwekking en de productie van isotopen voor onder meer medische toepassingen. De meeste landen kopen medische isotopen van specialist Nederland, die ze in de reactor in Petten bij ECN maakt. Door de westerse boycot van Iran is het voor dat land echter niet mogelijk isotopen voor medisch gebruik op de wereldmarkt aan te schaffen. Zelf maken is verre van ideaal, maar de enige optie die overblijft als import onmogelijk wordt gemaakt.

Waarom die boycot? Officieel omdat Iran volgens de VS niet voldoende openheid wil geven over zijn wapenprogramma’s. Met name militaire toepassingen van het nucleaire programma is een officiële bron van zorg. Deze zorg is echter een vrij recent gegeven die om een of andere reden opnieuw leven is ingeblazen na de aanval op Irak (een aantal van de installaties is geleverd door Amerikaanse en Duitse bedrijven met financiering van de Wereldbank voor de revolutie van 1979). Het meest curieuze aan alle beschuldigingen van westerse overheden aan het adres van Iran is dat het nooit meer dan vage verdachtmakingen zijn. Toen 16 Amerikaanse inlichtingendiensten in 2007 een gezamenlijke studie deden naar de feiten achter deze beschuldigingen was de glasheldere conclusie: Iran is niet bezig met de ontwikkeling van een kernwapen.

En dat is dus vreemd.

Want als de Amerikaanse 16 inlichtingendiensten en hun Israëlische collega’s, de befaamde Mossad, het er allemaal over eens zijn dat Iran geen kernwapens aan het maken is, hoe rechtvaardig je dan een aanval tegen een civiele industriële infrastructuur? En dat het een equivalent van een militaire aanval is wordt duidelijk als je bedenkt wat er zou gebeuren als Iran betrapt zou worden op een cyberaanval op ‘onze’ installaties in Borssele of Indian Point.

Zoals gezegd; Stuxnet is ontworpen voor één enkel doel: het beschadigen van nucleaire verrijkings- installaties in Iran. Dat is een land dat deze activiteiten gewoon mag uitvoeren volgens de internationale afspraken vastgelegd in het Non Proliferatie Verdrag. Iran is, net als de meeste andere landen in de wereld (behalve Israël, India, Pakistan, Z-Sudan en N-Korea) ondertekenaar van dit verdrag. Civiele nucleaire industrie mag, kernwapens niet, een detail dat nog wel eens aan de aandacht van redacties ontglipt. Net als de reden waarom Iran geen democratie is. Waarmee ik niet zeg dat de Iraanse regering lieverdjes zijn, maar het land heeft in de afgelopen 200 jaar niemand aangevallen, dit in tegenstelling tot diverse van onze NAVO-partners.

Maar Stuxnet heeft aan Iran en de rest van de niet-westerse wereld heel duidelijk gemaakt hoe de praktijk werkt. Het maakt niet uit dat je je aan gemaakte afspraken houdt. Het maakt niet uit dat je geen bedreiging voor het Westen bent. Het maakt niet uit dat de landen die je het hardst beschuldigingen van het schenden van non-proliferatie afspraken (de VS en Israël) zelf in het geheim dat verdrag schenden. De VS door plutonium aan Israël te leveren en Israël door zelfs niet eens het verdrag te ondertekenen en stiekem 100-200 atoombommen in de kelder te bewaren.

Er is dus geen enkele reden om je aan afspraken te houden want dat biedt geen garantie dat partijen aan de andere kant dat ook zullen doen en het biedt mogelijk een strategisch nadeel. En als je toch al de nadelen van vermeend gedrag moet ondergaan (boycots, bedreigingen van bombardementen) is het logisch dat je ook de voordelen wilt. Het wordt bijna rationeel voor Iran om alsnog een kernwapenprogramma op te zetten, Noord-Korea komt er immers ook mooi mee weg. Als bonus heeft dat dus een kernwapen en dat is nog steeds de beste garantie dat de VS niet ongevraagd ‘democratie’ komt brengen (hoewel een gebrek aan oliebronnen ook schijnt te helpen).

Net als de aanval op Irak, die werd uitgevoerd op basis van bewuste leugens (men wist dat Saddam geen massavernietigingswapens had) houdt de VS zich dus niet aan de normen die het graag aan andere oplegt. Met als gevolg dat niemand die normen meer serieus neemt en het een free-for-all wildwest wordt.

En dat is dus precies wat je niet wil in een wereld waarin een handvol boze Chinezen/Russen/Iraniërs/Irakezen/ volstrekt anoniem en ongrijpbaar de vitale infrastructuur van moderne landen kapot kunnen hacken. Westerse landen zijn door hun hoge graad van automatisering veel kwetsbaarder dan landen die pas net hun derde wereld-status zijn ontgroeid. Cyberwapens zijn relatief goedkoop en het ontwikkelen ervan is een stuk lastiger te detecteren dan de bouw van raketten en vliegdekschepen. De beste verdediging ertegen is dus het voorkomen van een wapenwedloop. Net als een kernoorlog verliest bij een cyberoorlog waarschijnlijk iedereen. Veiligheid creëer je in zo’n context door moreel leiderschap (beginnende bij: je aan je eigen regels houden) en actief werken aan de-escalatie. En dat is dus precies wat de VS en Israël niet gedaan hebben.

Met zulke vrienden zijn we verzekerd van een permanente stroom nieuwe vijanden in landen die vooral met rust gelaten willen worden, maar die zich bewapenen om terug te kunnen slaan als het ‘vrije Westen’ weer eens op rooftocht wil.

Een Nederlands Cyberleger opzetten terwijl de sluizen en gemalen voorzien zijn van factory-default wachtwoorden in hun SCADA controllers lijkt me vrij stupide. Als je in een glazen huis woont is het slimmer om niet met stenen te gooien (of andere te motiveren dat te doen).

Update: een onderzoeksteam van de NAVO heeft bepaald dat de Stuxnet ‘aanval’ op de Iran een ‘Act of Force‘ was (en dus geen ‘Act of War). Benieuwd of we die beoordeling vasthouden als een niet-NAVO land bewijsbaar zoiets doet tegen een NAVO land.