Digitale Oorlogvoering

17 januari 2012 - nr.77
Samenvatting

Conclusies en aanbevelingen

De definitiekwestie

  1. De bedreiging van de digitale veiligheid kan voortkomen uit digitale oorlogvoering, digitale spionage, digitaal terrorisme, digitaal activisme en digitale criminaliteit. Definiëring van deze verschijningsvormen is nodig om te voorkomen dat ze conceptueel met elkaar worden vermengd. Dit betekent niet dat deze dreigingsvormen geen samenhang kunnen vertonen. Vaak komen de gebruikte technieken overeen en verschilt alleen het beoogde doel. Het onderscheiden van de doelstelling is echter van belang voor het bepalen van de juiste nationale respons op specifieke dreigingen, bijvoorbeeld om het risico van een overreactie te beperken.
     
  2. De AIV/CAVV beveelt daarom aan dat de overheid gebruik maakt van duidelijke en uniforme begripsomschrijvingen. Op internationaal niveau is het eveneens noodzakelijk dat overheden en organisaties tot eensluidende interpretaties komen, wil men in staat zijn om internationale afspraken te maken over de aanpak van digitale dreigingen.

De digitale dreiging

  1. De regering constateert dat de afhankelijkheid van het functioneren van digitale netwerken nieuwe veiligheidsrisico’s met zich meebrengt. Naast digitale criminaliteit, dat grotendeels buiten het bestek van dit advies valt, lijkt er sprake van een toename van digitale spionageactiviteiten. Er is echter meer systematisch en kwantitatief onderzoek nodig naar de omvang van de verschillende digitale dreigingsvormen. Aangezien het bij uitstek grensoverschrijdende problematiek betreft en omdat de aanwezige capaciteiten zo het best gebundeld kunnen worden, beveelt de AIV/CAVV aan een dergelijk onafhankelijk onderzoek in EU- en NAVO-verband te initiëren.

Het digitale domein wordt naast land, lucht, zee en ruimte beschouwd als de ‘vijfde dimensie’ waarin sprake kan zijn van militair optreden. Op grond van welke politieke en militaire doelstellingen moeten operationele cybercapaciteiten worden ontwikkeld en kunnen worden ingezet? Wat is de aard en rol van operationele cybercapaciteiten bij militaire operaties?

  1. Het digitale domein zal naar verwachting in elk toekomstig conflict een belangrijke rol spelen. Een ‘cyberoorlog’, die uitsluitend in het digitale domein wordt uitgevochten, en met verwoestende gevolgen, is echter niet aannemelijk. Daarom wordt in dit advies de meer afgebakende term ‘digitale oorlogvoering’ gebruikt, te beschouwen als onderdeel van een militaire operatie die ook andere (niet digitale) dimensies kan omvatten.
     
  2. Operationele cybercapaciteiten – deel uitmakend van militair vermogen – kunnen een bijdrage leveren aan het bereiken van een politiek doel. Voor de inzet van deze capaciteiten is een helder politiek kader essentieel. De bestaande nationale veiligheidsstrategie is nationaal gericht. De AIV/CAVV beveelt aan dat operationele cybercapaciteiten en ontwikkelingen op dit gebied een plaats krijgen in een geïntegreerde strategie voor het binnenlands en buitenlands veiligheidsbeleid.
     
  3. Naast de ontwikkeling van operationele cybercapaciteiten is het tevens van belang te investeren in een samenhangende ‘cyberdiplomatie’, waarbij als reactie op concrete dreigingen met kennis van zaken een breed palet aan maatregelen wordt overwogen, variërend van politieke druk, de inzet van economische sancties, het aandringen op strafrechtelijke maatregelen tot – in laatste instantie – het gebruik van gesanctioneerd geweld.
     
  4. De inzet van cybercapaciteiten dient ten dienste te staan van de hoofdtaken van de krijgsmacht. Deze inzet kan betrekking hebben op de beveiliging van de eigen defensiesystemen, het vergaren van inlichtingen en digitale aanvallen gericht op het verstoren, beschadigen of vernietigen van computers en netwerken van de tegenstander.
     
  5. Digitale wapens worden weliswaar gekenmerkt door geringe materiële instapkosten, maar de ontwikkeling van een technisch complexe aanval vereist gespecialiseerde kennis. Digitale wapens kennen een beperkte houdbaarheidsduur, de inzet ervan brengt veelal indirecte effecten met zich mee en de aanvaller is moeilijk herleidbaar. Het kan echter zeker mogelijk zijn om mede door het gebruik van niet-technische attributie de identiteit van de aanvaller vast te stellen.
     
  6. De AIV/CAVV beveelt aan dat – gezien de technologische ontwikkelingen – wordt bezien of het huidige onderscheid in de Wet- op de Inlichtingen en Veiligheidsdiensten (WIV) tussen kabelgebonden en niet-kabelgebonden data gehandhaafd moet blijven.
     
  7. Het is om goede redenen op basis van de WIV niet toegestaan dat een inlichtingendienst een geplaatste exploit gebruikt voor een netwerkaanval met een militair oogmerk, die het wijzigen of beschadigen van een systeem tot doel heeft. Een dergelijke aanval dient onder verantwoordelijkheid van de Commandant der Strijdkrachten (CDS) plaats te vinden, na verkregen politieke toestemming. Het is noodzakelijk binnen de krijgsmacht ook op digitaal terrein duidelijke procedurele afspraken te maken, die volgen uit deze functiescheiding.
     
  8. Bij het uitvoeren van militaire operaties kan er voor worden gekozen ook gebruik te maken van digitale aanvallen. In essentie gaat het om de inzet van een middel – digitale capaciteit – uit de toolbox van militaire middelen die een bijdrage kunnen leveren aan het bereiken van een politiek doel. De operationele inzet van cybercapaciteiten, die overeenkomstig de juridische kaders dient plaats te vinden, wordt begrensd door de technische kenmerken van digitale wapens en de beschikbare kennis binnen de krijgsmacht. De AIV/CAVV beveelt daarom aan om vooralsnog de schaarse defensiemiddelen slechts op beperkte schaal in te zetten voor het ontwikkelen van offensieve capaciteiten en de nadruk te leggen op het verbeteren van de verdediging van de eigen netwerken en het opbouwen van een adequate inlichtingencapaciteit op digitaal gebied.
     
  9. Mede gezien de schaarse technische kennis en capaciteiten wordt een nog meer ontkokerde aanpak binnen het per januari 2012 operationele Nationaal Cyber Security Centrum bepleit. Het centrum zou zich op termijn kunnen ontwikkelen tot een soort nationale CERT die de geaggregeerde monitoring van vitale netwerken voor zijn rekening neemt, meer gebruikmakend van capaciteit die nu aanwezig is bij GOVCERT.NL, MIVD, AIVD, KLPD en soms wordt aangevuld door commerciële en wetenschappelijke organisaties. Verder is ten aanzien van de inlichtingentaak verdergaande samenwerking tussen de AIVD en de MIVD mogelijk. De AIV/CAVV beveelt aan om de beschikbare kapitaal- en kennisintensieve signals intelligence (SIGINT) en cybercapaciteiten in een gezamenlijke eenheid onder te brengen.

Onder welke omstandigheden kan een cyberdreiging worden beschouwd als het gebruik van geweld of een dreiging hiermee, in de zin van artikel 2 lid 4 van het VN-Handvest? Onder welke omstandigheden kan een cyberaanval worden beschouwd als een gewapende aanval waartegen geweld mag worden gebruikt ter zelfverdediging op basis van artikel 51 van het VN-Handvest?
 

  1. Artikel 2 lid 4 van het Handvest van de Verenigde Naties verbiedt het gebruik of dreigen met het gebruik van geweld in internationale betrekkingen. Onder het verbod valt gewapend geweld met een feitelijk of mogelijk fysiek effect op de staat die het doelwit is. Het verbod heeft echter ook betrekking op andere vormen van geweld die hebben geleid of hadden kunnen leiden tot dood, letsel of schade aan goederen of infrastructuur.
     
  2. Het gebruik van geweld in het kader van zelfverdediging op basis van artikel 51 van het VN Handvest is volgens het internationaal recht een uitzonderlijke maatregel, die bij gewapende digitale aanvallen slechts gerechtvaardigd wordt in situaties die uitstijgen boven de drempel van digitale criminaliteit of spionage. Voordat een digitale aanval het recht tot zelfverdediging rechtvaardigt, moet deze gevolgen hebben die vergelijkbaar zijn met die van een conventionele gewapende aanval. Wanneer een digitale aanval leidt tot een aanmerkelijk aantal dodelijke slachtoffers of grootschalige vernietiging van of schade aan vitale infrastructuur, militaire platforms of installaties of civiele goederen, moet deze gelijk gesteld worden met een ‘gewapende aanval’.
     
  3. Een georganiseerde digitale aanval op essentiële functies van de staat moet, ook wanneer deze geen fysieke schade of letsel tot gevolg heeft, maar mogelijk of daadwerkelijk leidt tot ernstige verstoring van het functioneren van de staat of ernstige en langdurige gevolgen voor de stabiliteit van de staat, worden aangemerkt als een ‘gewapende aanval’ in de zin van artikel 51 van het VN-Handvest. Hierbij moet dan sprake zijn van een (aanhoudende poging tot) ontwrichting van de staat en/of de samenleving en niet slechts een belemmering of vertraging bij het normaal uitvoeren van taken.
     
  4. Het gebruik van geweld naar aanleiding van een digitale aanval moet voldoen aan de vereisten van noodzakelijkheid en proportionaliteit ten aanzien van de uitoefening van het recht tot zelfverdediging. De maatregelen moeten gericht zijn op het beëindigen van de aanval en het voorkomen van herhaling ervan in de nabije toekomst en er moeten geen bruikbare alternatieven zijn.
     
  5. Het principe van proportionaliteit vereist niet dat een respons op een aanval van dezelfde aard is als de aanval zelf. Een digitale aanval die voldoet aan de voorwaarden van een gewapende aanval kan een respons met conventionele gewapende middelen rechtvaardigen.
     
  6. Het treffen van maatregelen tegen digitale agressie is voorts uitsluitend rechtmatig indien er een voldoende mate van zekerheid bestaat omtrent de herkomst en bron van de aanval.

Wanneer is er sprake van toepasselijkheid van het humanitair oorlogsrecht op gedragingen in het digitale domein? Moeten deze samenhangen met kinetisch geweldsgebruik? Hoe zou bij een dergelijke toepassing gestalte moeten worden gegeven aan de oorlogsrechtelijke principes van onderscheid en proportionaliteit, en aan de verplichting tot het nemen van voorzorgsmaatregelen?

  1. Het humanitair oorlogsrecht is alleen van toepassing in de context van een gewapend conflict, in internationaal of niet-internationaal verband. Cyberoperaties waarbij de drempel van een gewapend conflict niet wordt overschreden, vallen derhalve buiten het toepassingsveld van het humanitair oorlogsrecht.
     
  2. Digitale aanvallen die meer zijn dan sporadische, geïsoleerde gewapende incidenten en die resulteren in verlies van mensenlevens, letsel, vernietiging of langdurige schade aan fysieke objecten tot gevolg (kunnen) hebben, kunnen worden gekwalificeerd als gewapend conflict in de zin van het humanitair oorlogsrecht. Dit is in de eerste plaats het geval bij digitale aanvallen die in combinatie met een kinetische aanval worden uitgevoerd. Dit geldt echter ook voor een digitale aanval die – zonder de inzet van kinetische middelen van oorlogvoering – leidt tot vernietiging of langdurige en ernstige schade aan computersystemen voor het beheer van kritieke militaire of civiele infrastructuur, of die het vermogen van de staat om essentiële overheidsfuncties te vervullen ernstig aantast en daarbij ernstige en langdurige schade toebrengt aan de economische of financiële stabiliteit van de staat en zijn bevolking.
     
  3. In ieder gewapend conflict, zowel in internationaal als niet-internationaal verband, zijn de regels inzake het voeren van vijandelijkheden van toepassing op het gebruik van alle soorten, middelen en methoden van oorlogvoering, inclusief middelen en methoden van digitale aard. Deze regels betreffen onder meer de beginselen van onderscheid, proportionaliteit en het nemen van voorzorgsmaatregelen. Verder geldt er een verbod op het voorwenden van een beschermde of neutrale status met het oogmerk aanvallen uit te voeren en het misbruiken van een dergelijke status, waaronder de IP-identiteit, als schild tegen een aanval.

Hoe zou in het cyberdomein gestalte moeten worden gegeven aan de volkenrechtelijke begrippen soevereiniteit, neutraliteit?

  1. Het neutraliteitsrecht is van toepassing bij de inzet van digitale wapens en methoden van oorlogvoering. Het belet in principe het gebruik door belligrente partijen van computers of computersystemen die zich op neutraal grondgebied bevinden, voor zover dit mogelijk is, evenals aanvallen op computernetwerken of informatiesystemen op neutraal terrein. Het staat een neutrale staat toe een oorlogvoerende partij te verhinderen gebruik te maken van computers en informatiesystemen die zich op zijn grondgebied bevinden of onder zijn rechtsmacht vallen. De enkele doorgifte van gegevens via een op neutraal grondgebied gelegen deel van internet levert echter geen schending of verlies van de neutraliteit op.

In hoeverre kunnen internationale gedragsnormen over het gebruik van het digitale domein een effectieve bijdrage leveren aan het vergroten van cyber security? Kunnen we lering trekken uit ervaringen met bestaande gedragscodes, bijvoorbeeld op het gebied van nonproliferatie?

  1. Gedragsnormen kunnen betrekking hebben op de bescherming van netwerken, strafrechtelijke samenwerking, de toepassing van het internationaal recht en wederzijdse informatievoorziening. Het is van belang de bestaande afspraken binnen het kader van de Raad van Europa Conventie inzake Cybercrime een bredere reikwijdte te geven. Belangrijk is dat de conventie stelt dat landen dienen over te gaan tot vervolging of uitlevering van groepen of individuen die zich schuldig maken aan digitale criminaliteit in derde landen vanaf het grondgebied van de staat in kwestie. Dit biedt aanknopingspunten om illegale activiteiten, zoals grootschalige zwarte handel in malware en identiteits gegevens, aan te pakken. Hierboven is geconcludeerd dat het bestaande internationaal recht van toepassing is op het digitale domein waar het gaat om de voorwaarden van geweldsgebruik, het oorlogsrecht en principes van soevereiniteit en neutraliteit. Het is daarom niet noodzakelijk hiervoor een speciaal ‘cyberverdrag’ op te stellen. Wel is de AIV/CAVV van mening dat er een belangrijke versterkende werking vanuit zou gaan indien staten aan deze principes door middel van een internationale gedragscode of verklaring nadere uitwerking zouden geven.
     
  2. In algemene zin zou de private sector meer verantwoordelijkheid kunnen nemen voor de bescherming van de kritieke infrastructuur die het beheert. Dit zou kunnen worden bevorderd door de (financiële) aansprakelijkheid van bedrijven op dit punt beter te regelen. Ook dient te worden gewaarborgd dat een minimum aan dienstverlening is gegarandeerd bij gedeeltelijke uitval van kritieke infrastructuur.
     
  3. Het valt op dat waar de Nederlandse regering – met recht – erg actief is op het terrein van de vrijheid van meningsuiting op internet, de Nederlandse betrokkenheid tot op heden minder groot is bij mondiaal overleg gericht op het formuleren van normen met als doel conflictbeheersing op digitaal gebied. De AIV/CAVV beveelt aan dat Nederland zich als deelnemer aansluit bij initiatieven die het formuleren van normen op dit terrein tot doel hebben zoals een wederom door de SGVN in te stellen Group of Governmental Experts.
     
  4. Er is noch de mogelijkheid noch de noodzaak tot het overeenkomen van een wereldwijd non-proliferatieregime. Er zijn belangrijke verschillen tussen massavernietigingswapens en digitale ‘wapens’. Er zijn evenmin voldoende aanknopingspunten voor het instellen en afdwingen van beperkingen aan de uitvoer van bepaalde digitale technologie en software ter bescherming van de eigen militaire en civiele digitale infrastructuur.

Hoe kunnen de NAVO en de EU concreet inhoud geven aan de principes van common defence, deterrence en de solidariteitsclausule ten aanzien van cyberdreigingen? Hoe kunnen de NAVO en de EU de informatie-uitwisseling ten behoeve van dreigingsanalyses verbeteren?

  1. De NAVO zal naar verwachting slechts bescheiden offensieve digitale capaciteiten kunnen ontwikkelen ter bescherming van de eigen systemen en netwerken, ofwel in het kader van de actieve verdediging. Van de conventionele en nucleaire middelen waarover afzonderlijke NAVO-landen beschikken gaat al een afschrikwekkende werking uit. Bij toekomstige NAVO-operaties kunnen wel offensieve digitale capaciteiten van de afzonderlijke lidstaten worden ingezet.
     
  2. Het is noodzakelijk dat er meer samenhang komt in de activiteiten op het terrein van digitale veiligheid van de verschillende directoraten-generaal van de Europese Commissie – waaronder Binnenlandse Zaken (HOME), Informatiemaatschappij en media (INFSO), Justitie (JUST) en Interne Markt en Diensten (MARKT) – evenals EDEO, door uitvoering te geven aan een gezamenlijke strategie.
     
  3. Artikel 4 en 5 van het NAVO-verdrag kunnen betrekking hebben op aanvallen in het digitale domein. Artikel 5 is dermate algemeen geformuleerd dat hier alle vormen van gewapend geweld onder kunnen worden geschaard. Het minder verstrekkende artikel 4 kan van toepassing zijn op digitale aanvallen die raken aan de nationale veiligheid maar nog niet de drempel van een gewapende aanval overschrijden. Naar verwachting zal er in praktijk bij digitale aanvallen eerder een beroep op dit artikel 4 worden gedaan.
     
  4. De bijstandsclausule van de EU (artikel 42.7 van het EU-Verdrag) zal waarschijnlijk vooral worden aangewend ten behoeve van politieke steunbetuigingen. De EU kan wel een leidende rol vervullen bij het bevorderen van de digitale beveiliging in de private sector van de lidstaten.
     
  5. Informatie-uitwisseling tussen de EU en de NAVO op het terrein van digitale veiligheid loopt tegen dezelfde bekende institutionele belemmeringen aan als de samenwerking tussen beide organisaties op andere terreinen. Bijkomend probleem is dat mogelijke informatievoorziening de eerstkomende periode vooral eenrichtingsverkeer zal blijken, aangezien zowel de beleidsvorming als de capaciteiten van de EU op het terrein van het GBVB en cyber beperkt zijn. Informele inlichtingenuitwisseling tussen de staven van de EU en NAVO, met inachtneming van de privacyregels, moet vooralsnog zoveel als mogelijk worden benut.
Adviesaanvraag

Aan de Voorzitters van de
Adviesraad Internationale Vraagstukken en de
Commissie van Advies voor Volkenrechtelijke Vraagstukken
Mr. F. Korthals Altes
Prof.dr. M.T. Kamminga
Postbus 20061
2500 EB Den Haag

Datum:   30 augustus 2011
Betreft:   Adviesaanvraag digitale veiligheid


Geachte heer Korthals Altes,
Geachte heer Kamminga,

Onze afhankelijkheid van het functioneren van digitale netwerken brengt nieuwe veiligheidsrisico’s mee. Dit wordt onder meer onderkend in het nieuwe strategisch concept van de NAVO en in het Cyber Security Beeld Nederland.

In februari jl. presenteerde het kabinet de Nationale Cyber Security Strategie. Overeenkomstig de beleidsbrief ‘Defensie na de kredietcrisis’ van 8 april jl. wordt extra geïnvesteerd in de digitale weerbaarheid van Defensie en de ontwikkeling van operationele cybercapaciteiten.

Tegen deze achtergrond willen wij, mede namens de minister van Veiligheid en Justitie, de volgende centrale vraag voorleggen aan de Adviesraad en de CAVV:

wat betekenen de ontwikkelingen op cybergebied voor het Nederlands buitenlands-, veiligheids- en defensiebeleid, en op welke wijze kan internationale samenwerking bijdragen tot de effectieve bescherming tegen de cyberdreiging?

Wij verzoeken u zich in het bijzonder te richten op de volgende vraagstukken:

  1. Het digitale domein wordt naast land, lucht, zee en ruimte beschouwd als de ‘vijfde dimensie’ waarin sprake kan zijn van militair optreden. Op grond van welke politieke en militaire doelstellingen moeten operationele cybercapaciteiten worden ontwikkeld en kunnen worden ingezet? Wat is de aard en rol van operationele cybercapaciteiten bij militaire operaties?
     
  2. In hoeverre en op welke wijze is het bestaande internationaalrechtelijk kader, relevant voor gedragingen in het cyberdomein, in het bijzonder cybergeweld?
    • [ad bellum] Onder welke omstandigheden kan een cyberdreiging worden beschouwd als het gebruik van geweld of een dreiging hiermee, in de zin van artikel 2 lid 4 van het VN-Handvest? Onder welke omstandigheden kan een cyberaanval worden beschouwd als een gewapende aanval waartegen geweld mag worden gebruikt ter zelfverdediging op basis van artikel 51 van het VN Handvest?
    • [in bello] Wanneer is er sprake van toepasselijkheid van het humanitair oorlogsrecht op gedragingen in het digitale domein? Moeten deze samenhangen met kinetisch geweldsgebruik? Hoe zou bij een dergelijke toepassing gestalte moeten worden gegeven aan de oorlogsrechtelijke principes van onderscheid en proportionaliteit, en aan de verplichting tot het nemen van voorzorgsmaatregelen?
    • Hoe zou in het cyberdomein gestalte moeten worden gegeven aan de volkenrechtelijke begrippen soevereiniteit, neutraliteit?
     
  3. Internationale samenwerking is onontbeerlijk voor het bevorderen van cyber security.
    • In hoeverre kunnen internationale gedragsnormen over het gebruik van het digitale domein een effectieve bijdrage leveren aan het vergroten van cyber security? Kunnen we lering trekken uit ervaringen met bestaande gedragscodes, bijvoorbeeld op het gebied van non-proliferatie?
    • Hoe kunnen de NAVO en de EU concreet inhoud geven aan de principes van common defence, deterrence en de solidariteitsclausule ten aanzien van cyberdreigingen? Hoe kunnen de NAVO en de EU de informatie-uitwisseling ten behoeve van dreigingsanalyses verbeteren?

Gegeven de snelheid waarmee ontwikkelingen op het gebied van cyber security zich voordoen, stellen wij een spoedig en kernachtig advies bijzonder op prijs.

 

De Minister van Buitenlandse Zaken,

(getekend)
Dr. U. Rosenthal
De Minister van Defensie,

(getekend)
Drs. J.S.J. Hillen


                          

Regeringsreacties

Aan de Voorzitter van de
Eerste Kamer der Staten-Generaal
Binnenhof 22
Den Haag

Datum:   6 april 2012
Betreft:  AIV/CAVV-advies over digitale oorlogvoering
Kenmerk: DVB/VD-39/12
 

Hierbij doen wij u, mede namens de minister van Veiligheid en Justitie, de kabinetsreactie toekomen inzake het gezamenlijk advies van de Adviesraad Internationale Vraagstukken (AIV) en de Commissie van Advies inzake Volkenrechtelijke vraagstukken (CAVV) over digitale oorlogvoering.

Deze kabinetsreactie is eveneens verzonden aan de voorzitter van de Tweede Kamer der Staten-Generaal.
 

De Minister van Buitenlandse Zaken,
Dr. U Rosenthal
De Minister van Defensie,
Drs. J.S.J. Hillen

 

 

 


Kabinetsreactie op het AIV/CAVV-advies Digitale Oorlogvoering
 

Op 17 januari heeft een gezamenlijke commissie van de Adviesraad voor Internationale Vraagstukken (AIV) en de Commissie van Advies inzake Volkenrechtelijke Vraagstukken (CAVV) het advies ‘Digitale oorlogvoering’ gepresenteerd. Het kabinet is de commissie erkentelijk voor het gedegen advies. Het levert een waardevolle bijdrage aan de discussie over digitale veiligheid en helpt het kabinet het beleid op dit terrein te verhelderen en te versterken. Het advies vormt een aanvulling op de Nationale Cyber Security Strategie, waarin de bescherming van de nationale veiligheid en de bestrijding van cybercrime centraal staan (Kamerstuk 26643, nr. 174). Het vormt tevens een aanvulling op het juridisch kader cyber security zoals dat op 23 december aan de Tweede Kamer is gezonden (Kamerstuk 26643, nr. 220).

1. Samenvatting

De hoofdpunten van de kabinetsreactie zijn als volgt:

  • De digitale dreiging vereist een integrale aanpak. Het advies betreft een aanvulling op de nationale aanpak. De huidige crisisbeheersingsstructuur zal hiertoe tegen het licht worden gehouden;
  • Het digitale domein is een nieuw operationeel domein voor de krijgsmacht. Defensie investeert om bestaande capaciteiten aanzienlijk te versterken en nieuwe (waaronder offensieve) te ontwikkelen;
  • Het recht op zelfverdediging is ook van toepassing op cyberaanvallen.
  • Het kabinet ziet geen noodzaak tot een nieuw wereldwijd cyberverdrag. Wel zal het kabinet inzetten op praktische uitwerking van de toepassing van internationaalrechtelijke bepalingen in het digitale domein;
  • Het NAVO cyberbeleid is defensief, maar op termijn is een discussie over het gebruik van offensieve capaciteiten nodig. Artikel 5 is ook van toepassing op cyberaanvallen.
  • Een integrale EU-aanpak is noodzakelijk.

2. De digitale dreiging

De toenemende dreiging tegen nationale belangen in het digitale domein en de stijging van het aantal (complexe) digitale aanvallen baren het kabinet zorgen. Spionage, sabotage, misdaad en terrorisme langs digitale weg vormen een directe bedreiging voor de nationale veiligheid. Dit werd onder meer geconstateerd in het eerste Cyber Security Beeld Nederland (CSBN) van december 2011 (Kamerstuk 26 643, nr. 220). Zonder af te doen aan de ernst van de dreiging, onderschrijft het kabinet de constatering van de commissie dat nader onderzoek naar de digitale dreiging wenselijk is. Het CSBN is hiervoor een belangrijk instrument, dat onder coördinatie van het Nationaal Cyber Security Centrum wordt opgesteld. Het CSBN zal de komende jaren verder worden ontwikkeld, waarbij nadrukkelijk wordt ingezet op een kwantitatieve en kwalitatieve verbetering van dit instrument.

Voor Nederland, met een open en internationaal georiënteerde economie en een sterke dienstensector, is een veilige en goed functionerende digitale infrastructuur essentieel. Uitgangspunt voor het kabinetsbeleid blijft de integrale benadering zoals vastgelegd in de Nationale Cyber Security Strategie. Op grond hiervan is onder andere het Nationaal Cyber Security Centrum opgericht, waarbinnen publieke en private partijen samenwerken. Een gezamenlijke, publiek-private en civiel-militaire aanpak is noodzakelijk aangezien niet altijd duidelijk zal zijn wat de aard van een digitale aanval is, hoe uitgebreid en geraffineerd deze is en wat het uiteindelijke doel van de aanvaller is (crimineel, ideologisch, militair of politiek). Dit maakt het moeilijk te bepalen op welke (juridische) grond en met welke middelen moet worden gereageerd. Bij het organiseren van een gezamenlijke aanpak is het van belang dat rollen, taken en verantwoordelijkheden helder zijn. In dit kader zal, op initiatief van de NCTV, worden bezien of de huidige crisisbeheersingsstructuur afdoende is voor het snel en effectief beheersbaar maken van een grootschalige digitale verstoring. Zoals de commissie terecht stelt, is het daarnaast van belang te investeren in een samenhangende cyberdiplomatie.

3. Operationeel domein voor de krijgsmacht

Het grootschalig gebruik van ICT stelt Defensie in staat haar taken effectiever en efficiënter uit te voeren maar zorgt ook voor een grotere kwetsbaarheid. Het digitale domein is derhalve van fundamenteel belang voor de krijgsmacht. Zonder goed functionerende ICT-infrastructuur kan de krijgsmacht haar taken eenvoudigweg niet meer uitvoeren. Vrijwel alle wapen- en sensorsystemen functioneren dankzij het gebruik van ICT-componenten en ook de commandovoering en de logistieke ondersteuning zijn afhankelijk van digitale systemen. Een verstoring van de ICT-infrastructuur van de krijgsmacht zal de slagkracht en het voorzettingsvermogen dan ook in gevaar brengen. In het digitale domein moet Defensie daarom de betrouwbaarheid van eigen netwerken, (wapen- en regel)systemen en informatie waarborgen en ontvreemding van informatie voorkomen.

Het digitale domein vormt tegelijkertijd een nieuw operationeel domein voor de krijgsmacht dat, zoals de commissie terecht constateert, “naar verwachting in elk toekomstig conflict een belangrijke rol zal spelen.” Aangezien niet alleen onze eigen netwerken kwetsbaar zijn maar ook die van potentiële tegenstanders kan het digitale domein ook worden gebruikt voor het versterken van de eigen inlichtingenpositie en het uitvoeren van militaire operaties. De opkomst van cyber space als operationeel domein versterkt de ontwikkeling waarbij klassieke oorlogvoering plaatsmaakt voor een meer hybride en veelvormig conflictmodel waar de inzet van ICT-middelen een steeds grotere rol speelt. Het beeld wordt verder gecompliceerd doordat bij digitale aanvallen moeilijk vast te stellen is waar deze vandaan komen en wie er achter zit. Daarnaast constateert de commissie terecht dat de kans op een zuivere ‘cyberoorlog’, die uitsluitend in het digitale domein wordt uitgevochten, momenteel gering is. Het is echter wel waarschijnlijk dat operationele cybercapaciteiten in de nabije toekomst veelvuldig zullen worden ingezet. Deze kunnen zowel zelfstandig als ter ondersteuning van het regulier optreden van krijgsmachten worden ingezet. Hiermee is het noodzakelijk dat operationele (offensieve) cybercapaciteiten onderdeel worden van het totale militaire vermogen van de Nederlandse krijgsmacht. De krijgsmacht moet daarbij over de capaciteiten beschikken om onder alle omstandigheden en tegen elke tegenstander doeltreffend en afdoende te kunnen reageren.

Inlichtingenpositie

Een uitstekende inlichtingenpositie is een randvoorwaarde voor het functioneren en opereren van Defensie in het digitale domein. Ten aanzien van het adresseren van de attributieproblematiek constateert de commissie terecht dat hier een belangrijke rol is weggelegd voor de inlichtingen- en veiligheidsdiensten. Het vergaren van inlichtingen en het uitvoeren van contra-inlichtingen activiteiten door de MIVD is geen offensieve activiteit. Het gaat hier om het, binnen de kaders van de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002), vergaren van inlichtingen uit gesloten bronnen.

De commissie is van mening dat de technologische ontwikkelingen het wenselijk maken dat wordt bezien of het onderscheid tussen kabelgebonden en niet-kabelgebonden interceptie gehandhaafd moet blijven. Deze constatering wordt onderschreven door de conclusie van de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) in het recente toezichtsrapport nr. 28 over SIGINT. Het kabinet is van mening dat dit onderscheid niet gehandhaafd kan blijven. Daartoe wordt een wijziging van de Wiv 2002 voorbereid, waarbij ook een zorgvuldige afweging gemaakt moet worden met betrekking tot de privacybescherming en rekening wordt gehouden met de effecten op de aanbieders van elektronische communicatienetwerken. In de loop van 2012 zal uw Kamer hieromtrent worden geïnformeerd.

Versterken digitale capaciteiten van Defensie

Naar aanleiding van het WGO-Materieel van 7 november 2011 is aan het lid Hernandez toegezegd in deze reactie in te gaan op de activiteiten van Defensie. Deze toezegging wordt hierbij gestand gedaan. De mate waarin invulling kan worden gegeven aan de beschreven activiteiten is afhankelijk van de beschikbare financiële ruimte. Teneinde richting te geven aan de beleidsontwikkeling wordt, in nauw overleg met nationale en internationale partners, een defensiestrategie voor cyber operations opgesteld. Deze wordt nog voor de zomer vastgesteld en aan de Kamer aangeboden.

Onder verantwoordelijkheid van de CDS is een programmamanager Cyber aangetreden en is de Taskforce Cyber opgericht. De programmamanager is verantwoordelijk voor de coördinatie van alle cybergerelateerde activiteiten binnen Defensie. Op korte termijn ligt de prioriteit van Defensie bij het versterken van de defensieve en inlichtingenvermogens. Op de middellange termijn gaat de aandacht uit naar het oprichten van een Defensie Cyber Expertise Centrum (DCEC) eind 2013 en een Defensie Cyber Commando (DCC) eind 2014. Het DCC coördineert cyber operations binnen Defensie en zorgt voor de verbinding tussen de verschillende cybervermogens van de defensieonderdelen. In het operationele domein is een belangrijke, uitvoerende rol weggelegd voor het Commando Landstrijdkrachten (CLAS).

Zoals ook de commissie constateert wordt het vinden en vasthouden van voldoende gekwalificeerd personeel een grote uitdaging voor Defensie. Gezien de algemene behoefte aan gekwalificeerde specialisten moet ook hier intensief worden samengewerkt met andere publieke en private partijen om gezamenlijk te komen tot een zo effectief mogelijke benutting van schaarse capaciteiten. Daartoe vindt overleg plaats tussen departementen en met bedrijfsleven en universiteiten. Ook wordt onderzocht welke mogelijkheden er zijn om een pool van cyberreservisten te creëren.

De defensieve maatregelen richten zich op het versterken van de bescherming van netwerken en wapen- en regelsystemen. Het Defensie Computer Emergency Response Team (DefCERT) is mede verantwoordelijk voor de beveiliging van deze netwerken en systemen en moet medio 2013 volledig operationeel zijn om 24 uur per dag, zeven dagen per week de meest kritieke defensienetwerken te beschermen. De capaciteit wordt in de periode tot 2016 verder uitgebreid naar de overige netwerken en wapen- en regelsystemen. DefCERT zal binnenkort een convenant afsluiten met het NCSC waarin de kaders voor intensieve samenwerking worden vastgelegd voor informatie-uitwisseling en ondersteuning bij calamiteiten.

Vanuit de Taskforce Cyber zal tevens vorm worden gegeven aan een offensieve capaciteit en wordt een Defensie cyberdoctrine opgesteld. De commissie constateert dat voor offensief optreden vaak dezelfde technieken worden gebruikt als voor inlichtingendoeleinden. Voor de realisatie van een offensieve capaciteit is een efficiënte inzet van alle schaarse cybercapaciteiten (waaronder inlichtingencapaciteiten) binnen Defensie dan ook noodzakelijk. Bij de vormgeving van offensieve capaciteit wordt rekening gehouden met de aanbeveling van de commissie over de functiescheiding tussen de CDS en de directeur van de MIVD.

De MIVD zal in de periode 2012-2015 de cyber inlichtingencapaciteit versterken. Een eerste stap is gezet door de uitbreiding van de capaciteit met negen vte’n per 1 januari 2012. Verder intensiveren de MIVD en de AIVD de samenwerking op het gebied van cyber en signals intelligence (SIGINT) wat moet leiden tot een gezamenlijke eenheid voor de verwerving van SIGINT en cyberinlichtingen.

Binnen Defensie zal de kennisontwikkeling en –borging primair vorm worden gegeven door het DCEC. In eerste instantie heeft het vergroten van de bewustwording bij het personeel over de cyberdreiging prioriteit. Een interactieve oefenomgeving bestaande uit e-learning modules, een simulatie en een kennisbank wordt binnenkort opgeleverd.

Ook wordt in onderzoek geïnvesteerd. In 2012 wordt aan de NLDA een Universitair Hoofddocent Cyber aangesteld en een onderzoeksgroep ingericht. Per 1 januari 2014 wordt een leerstoel cyber defence ingesteld. Bij TNO is in januari 2012 een breed cyber onderzoeksprogramma gestart. Het onderzoeksprogramma van Defensie is onderdeel van een nationale onderzoeksagenda cyber security die tot doel heeft de beschikbare onderzoeksbudgetten zo effectief mogelijk te besteden.

4. Het internationaalrechtelijk kader

Gebruik van geweld en recht op zelfverdediging (jus ad bellum)

De bevindingen van de commissie ten aanzien van het gebruik van geweld en het recht op zelfverdediging komen in grote lijnen overeen met het standpunt van het kabinet (jus ad bellum). De constatering van de commissie dat ten aanzien van digitale aanvallen geen ander regime geldt dan voor het gebruik van geweld in het fysieke domein, acht het kabinet van belang. In het advies worden de bestaande volkenrechtelijke regels inzake het gebruik van geweld strikt toegepast op digitale aanvallen, dit strookt met opvattingen van het kabinet. De commissie oordeelt dat, behalve Staten, ook niet-statelijke actoren een gewapende aanval in de zin van het VN Handvest kunnen plegen, waartegen geweld ter zelfverdediging mag worden aangewend. Het kabinet onderschrijft dit en benadrukt dat dit een belangrijke rechtsontwikkeling vormt.

Het kabinet onderschrijft tevens de constatering van de commissie dat attributie een belangrijke uitdaging vormt bij aanvallen in het digitale domein. Met de commissie is het kabinet van mening dat alleen gebruik mag worden gemaakt van geweld ter zelfverdediging indien de herkomst van de aanval en de identiteit van de aanvallers met een voldoende mate van zekerheid kan worden vastgesteld. Het kabinet onderschrijft tevens de bevinding van de commissie dat, bij gebruik van geweld in reactie op een gewapende digitale aanval, moet worden voldaan aan de volkenrechtelijke eisen van ‘noodzakelijkheid’ en ‘proportionaliteit’.

Humanitair oorlogsrecht (jus in bello)

Het kabinet deelt de conclusie van de commissie dat toepassing van de regels van het humanitair oorlogsrecht (jus in bello) op vijandelijkheden in het digitale domein “technisch gezien haalbaar en juridisch gezien ook een vereiste” is. Echter, met de commissie is het kabinet van mening dat digitale daden van geweld alleen onder het oorlogsrecht vallen wanneer ze worden gepleegd in de context van een gewapend conflict, door de partijen bij dat conflict. Dit vormt een belangrijke afbakening ten opzichte van andere daden van digitaal geweld. Het advies geeft nadere invulling aan het ontstaan van een ‘gewapend conflict’ door een digitale aanval, als ook een aantal nuttige voorbeelden van de praktische toepassing van de basisprincipes van het oorlogsrecht op digitale oorlogvoering.

Neutraliteit

Het kabinet beschouwt de uitwerking van de commissie van het begrip neutraliteit in relatie tot de inzet van digitale wapens als een nuttig startpunt voor nadere gedachtevorming op dit gebied. Nederland kan bij een gewapend conflict van andere partijen zijn neutraliteit beschermen door het verhinderen van het gebruik door deze partijen van infrastructuur en systemen (bijv. botnets) op Nederlands grondgebied. Hierbij is permanente waakzaamheid geboden. Een goede inlichtingenpositie en een permanente scanfunctie zijn hierbij noodzakelijk.

Cyberverdrag

Met de commissie ziet het kabinet op dit moment geen noodzaak tot een nieuw wereldwijd cyberverdrag. Het kabinet is van mening dat bestaande regels van internationaal en Europees recht voldoen ten aanzien van het gebruik van digitaal geweld. Het kabinet ondersteunt wel de aanbeveling van de commissie om door middel van een code of conduct meer politiek gewicht en praktische uitwerking te geven aan de toepassing van internationaal rechtelijke bepalingen in het digitale domein.

5. Internationale samenwerking

Door de wereldwijd verregaande onderlinge verbondenheid en wederzijdse afhankelijkheid van ICT-systemen, is internationale civiel-militaire en publiek-private samenwerking essentieel. Bilateraal vindt hiertoe intensief contact plaats met de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Australië en de Benelux-landen. Tevens worden mogelijkheden bezien voor geïntensiveerde samenwerking met o.a. de Scandinavische landen, Canada en Frankrijk.

Zoals de commissie opmerkt, neemt Nederland actief deel aan de discussie over gedragsnormen in het digitale domein, allereerst om een open en vrij internet te behouden en tegenwicht te bieden aan landen die het vrije gebruik van internet en media aan banden willen leggen in naam van veiligheid en bestrijden van cybercriminaliteit. Tegelijkertijd onderkent het kabinet het belang om potentiële conflicten tussen landen als gevolg van cyberincidenten te voorkomen. Nederland zal zich hiervoor via geëigende fora inzetten. Nederland acht het daarnaast van groot belang dat bedrijven hun verantwoordelijkheid nemen voor de uitvoer van technologie die zowel goed als kwaadschiks kan worden gebruikt door overheden. Omdat Nederland er ter bescherming van mensenrechten belang aan hecht dat bedrijven naast zelfrestrictie ook een kader hebben om besluiten te nemen over export van hun producten, zet Nederland zich er voor in om de dual-use verordening van de EU uit te breiden. Hierdoor zou het mogelijk worden een ad-hoc vergunningplicht op te leggen voor individuele gevallen indien er aanwijzingen zijn dat de goederen geheel of gedeeltelijk zullen worden gebruikt voor mensenrechtenschendingen.

NAVO

Het nieuwe strategisch concept van de NAVO heeft navolging gekregen in een in juni 2011 vastgesteld beleidsplan voor cyber defence. Zoals de commissie constateert, richt de NAVO zich vooral op het versterken van het defensieve vermogen ten aanzien van cyberdreigingen. Mede op aandringen van Nederland is de noodzaak van intensievere informatie-uitwisseling, het ontwikkelen van een gezamenlijke dreigingsanalyse en het belang van EU-NAVO samenwerking in het NAVO-beleid opgenomen. Het kabinet is daarnaast van mening dat de NAVO op termijn een doctrine voor de inzet van offensieve cybercapaciteiten zou moeten ontwikkelen. Ten aanzien van een eventuele collectieve reactie op een aanval geldt dat een beslissing hierover via de bestaande procedures genomen zal worden. Ook in het digitale domein is niet altijd eenduidig vast te stellen wanneer artikel 5 in werking treedt. Dit is altijd onderwerp van politieke besluitvorming.

Europese Unie

Het kabinet deelt de visie van de commissie dat de EU gebaat is bij een integrale, gecoördineerde aanpak van digitale veiligheid. Vorig jaar heeft de Europese Commissie haar interne veiligheidsstrategie gelanceerd, waarin het verhogen van het niveau van veiligheid voor burgers en bedrijfsleven in cyber space geïdentificeerd is als een van de vijf strategische doelen. Uw Kamer is hierover op 19 januari 2011 geïnformeerd (Kamerstuk 32317 nr. 32). Begin dit jaar heeft Eurocommissaris Kroes aangekondigd een voorstel te doen voor een Europese internetveiligheidsstrategie. Nederland steunt deze ontwikkelingen en zal haar expertise inbrengen, bijvoorbeeld op het gebied van dreigingsanalyse en publiek-private samenwerking. Daarnaast bepleit Nederland bij de Europese Commissie dat externe, geopolitieke aspecten een duidelijke plek krijgen bij de EU-aanpak van digitale veiligheid.

Persberichten

ADVIESRAPPORT: ERNSTIGE DIGITALE AANVALLEN KUNNEN EEN GEWAPEND CONFLICT VEROORZAKEN

Den Haag, 17 januari 2012
 

Ernstige digitale aanvallen kunnen een gewapend conflict veroorzaken waarop het oorlogsrecht van toepassing is. Dat stellen de Adviesraad Internationale Vraagstukken (AIV) en de Commissie van Advies inzake Volkenrechtelijke Vraagstukken (CAVV) in het advies ‘Digitale Oorlogvoering’. Bij een digitale aanval wordt gebruik gemaakt van verschillende technieken, zoals het versturen van kwaadaardige software (malware). Hiermee kan bijvoorbeeld een militair communicatiesysteem of de procesbesturing van een fabriek worden beschadigd. Volgens het advies mag een staat zich met geweld verdedigen wanneer een digitale aanval een aanmerkelijk aantal dodelijke slachtoffers of een grootschalige vernietiging van of schade aan vitale civiele of militaire infrastructuur tot gevolg heeft. Het recht op zelfverdediging is ook toegestaan als een digitale aanval geen fysieke schade tot gevolg heeft, maar er wel sprake is van (een aanhoudende poging tot) ontwrichting van de staat of de samenleving. Het moet dan niet slechts gaan om een belemmering bij het normaal uitvoeren van taken. Het advies constateert met nadruk dat een aanval met deze gevolgen zich tot op heden nog niet heeft voorgedaan en dat te snel over een cyberwar wordt gesproken. Het advies is vandaag aangeboden aan de ministers van Defensie, Buitenlandse Zaken en Veiligheid en Justitie.
 

Digitale oorlogvoering
Het advies bepleit een nuchtere blik op het fenomeen cyber security. Het debat mag niet worden overheerst door militaire en technologische antwoorden op deze nieuwe dreiging. Volgens de AIV en de CAVV is een ‘cyberoorlog’, die uitsluitend met digitale middelen wordt uitgevochten en verwoestende gevolgen heeft, niet aannemelijk. Digitale capaciteiten zullen naar verwachting in elk toekomstig conflict wel een belangrijke rol spelen. Om adequaat te kunnen reageren op digitale dreigingen is een geïntegreerde overheidsbenadering nodig, waarbij zowel militaire als civiele organisaties betrokken zijn. De krijgsmacht levert daar een bijdrage aan door het ontwikkelen van digitale kennis en vaardigheden. Deze cybercapaciteit hoort thuis in de 'toolbox' van een technologisch hoogwaardige Nederlandse krijgsmacht. De opstellers van het advies menen dat bij de ontwikkeling van operationele cybercapaciteit voor de krijgsmacht enige bescheidenheid in acht moet worden genomen. De inzet van deze capaciteit wordt begrensd door de technische kenmerken van digitale wapens en de beschikbare kennis binnen de Nederlandse krijgsmacht. De schaarse defensiemiddelen zouden daarom vooralsnog slechts op beperkte schaal moeten worden ingezet voor het ontwikkelen van offensieve capaciteiten en de nadruk moet liggen op het verbeteren van de verdediging van de eigen defensienetwerken en het opbouwen van een inlichtingencapaciteit op digitaal gebied.

Internationaal recht
De meeste aanvallen op computernetwerken, zoals uitgevoerd door criminelen, zijn niet militair van aard. Dit soort aanvallen moet strafrechtelijk worden vervolgd. Indien blijkt dat een staat betrokken is bij het uitvoeren van aanvallen kunnen diplomatieke maatregelen worden overwogen. Indien de effecten van een digitale aanval overeenkomen met die van een ‘gewone’ militaire aanval, mag een land zich onder bepaalde voorwaarden met geweld verdedigen. Het gebruik van geweld naar aanleiding van een digitale aanval moet voldoen aan de vereisten van noodzakelijkheid (geen alternatief) en proportionaliteit (geen overreactie). Een digitale aanval die voldoet aan de voorwaarden van een gewapende aanval, waarop volgens het VN-Handvest het recht van zelfverdediging van toepassing is, kan een reactie met conventionele wapens rechtvaardigen. Zodra het een gewapend conflict betreft is, ook wanneer het gaat om digitale aanvallen, het humanitair oorlogsrecht van toepassing. Dit betekent dat er geen burgerdoelen mogen worden aangevallen, zoals het vernietigen van medische systemen in een ziekenhuis of grootschalige verstoring van het elektriciteitsnetwerk. Ook bij digitale oorlogsvoering is het verboden om een neutrale status voor te wenden, bijvoorbeeld door IP-adressen van beschermde organisaties als het Rode Kruis te misbruiken. Het advies gaat tot slot in op het belang van internationale samenwerking op het terrein van digitale veiligheid.