Ernstige digitale aanvallen kunnen een gewapend conflict veroorzaken

17 januari 2012

ADVIESRAPPORT: ERNSTIGE DIGITALE AANVALLEN KUNNEN EEN GEWAPEND CONFLICT VEROORZAKEN

Den Haag, 17 januari 2012

Ernstige digitale aanvallen kunnen een gewapend conflict veroorzaken waarop het oorlogsrecht van toepassing is. Dat stellen de Adviesraad Internationale Vraagstukken (AIV) en de Commissie van Advies inzake Volkenrechtelijke Vraagstukken (CAVV) in het advies ‘Digitale Oorlogvoering’. Bij een digitale aanval wordt gebruik gemaakt van verschillende technieken, zoals het versturen van kwaadaardige software (malware). Hiermee kan bijvoorbeeld een militair communicatiesysteem of de procesbesturing van een fabriek worden beschadigd. Volgens het advies mag een staat zich met geweld verdedigen wanneer een digitale aanval een aanmerkelijk aantal dodelijke slachtoffers of een grootschalige vernietiging van of schade aan vitale civiele of militaire infrastructuur tot gevolg heeft. Het recht op zelfverdediging is ook toegestaan als een digitale aanval geen fysieke schade tot gevolg heeft, maar er wel sprake is van (een aanhoudende poging tot) ontwrichting van de staat of de samenleving. Het moet dan niet slechts gaan om een belemmering bij het normaal uitvoeren van taken. Het advies constateert met nadruk dat een aanval met deze gevolgen zich tot op heden nog niet heeft voorgedaan en dat te snel over een cyberwar wordt gesproken. Het advies is vandaag aangeboden aan de ministers van Defensie, Buitenlandse Zaken en Veiligheid en Justitie.

Digitale oorlogvoering
Het advies bepleit een nuchtere blik op het fenomeen cyber security. Het debat mag niet worden overheerst door militaire en technologische antwoorden op deze nieuwe dreiging. Volgens de AIV en de CAVV is een ‘cyberoorlog’, die uitsluitend met digitale middelen wordt uitgevochten en verwoestende gevolgen heeft, niet aannemelijk. Digitale capaciteiten zullen naar verwachting in elk toekomstig conflict wel een belangrijke rol spelen. Om adequaat te kunnen reageren op digitale dreigingen is een geïntegreerde overheidsbenadering nodig, waarbij zowel militaire als civiele organisaties betrokken zijn. De krijgsmacht levert daar een bijdrage aan door het ontwikkelen van digitale kennis en vaardigheden. Deze cybercapaciteit hoort thuis in de 'toolbox' van een technologisch hoogwaardige Nederlandse krijgsmacht. De opstellers van het advies menen dat bij de ontwikkeling van operationele cybercapaciteit voor de krijgsmacht enige bescheidenheid in acht moet worden genomen. De inzet van deze capaciteit wordt begrensd door de technische kenmerken van digitale wapens en de beschikbare kennis binnen de Nederlandse krijgsmacht. De schaarse defensiemiddelen zouden daarom vooralsnog slechts op beperkte schaal moeten worden ingezet voor het ontwikkelen van offensieve capaciteiten en de nadruk moet liggen op het verbeteren van de verdediging van de eigen defensienetwerken en het opbouwen van een inlichtingencapaciteit op digitaal gebied.

Internationaal recht
De meeste aanvallen op computernetwerken, zoals uitgevoerd door criminelen, zijn niet militair van aard. Dit soort aanvallen moet strafrechtelijk worden vervolgd. Indien blijkt dat een staat betrokken is bij het uitvoeren van aanvallen kunnen diplomatieke maatregelen worden overwogen. Indien de effecten van een digitale aanval overeenkomen met die van een ‘gewone’ militaire aanval, mag een land zich onder bepaalde voorwaarden met geweld verdedigen. Het gebruik van geweld naar aanleiding van een digitale aanval moet voldoen aan de vereisten van noodzakelijkheid (geen alternatief) en proportionaliteit (geen overreactie). Een digitale aanval die voldoet aan de voorwaarden van een gewapende aanval, waarop volgens het VN-Handvest het recht van zelfverdediging van toepassing is, kan een reactie met conventionele wapens rechtvaardigen. Zodra het een gewapend conflict betreft is, ook wanneer het gaat om digitale aanvallen, het humanitair oorlogsrecht van toepassing. Dit betekent dat er geen burgerdoelen mogen worden aangevallen, zoals het vernietigen van medische systemen in een ziekenhuis of grootschalige verstoring van het elektriciteitsnetwerk. Ook bij digitale oorlogsvoering is het verboden om een neutrale status voor te wenden, bijvoorbeeld door IP-adressen van beschermde organisaties als het Rode Kruis te misbruiken. Het advies gaat tot slot in op het belang van internationale samenwerking op het terrein van digitale veiligheid.