‘Cyber war has begun,’ stelde Richard Clarke, de eerste National Coordinator for Security, Infrastructure Protection, and Counter-terrorism (‘czar’), tien jaar geleden al: het slagveld wordt voorbereid. ‘..most future kinetic wars will be accompanied by cyber war; () other cyber wars will be conducted as ‘stand-alone’ activities…’ Cyber war verandert de militaire balans en de politieke en economische verhoudingen. ‘Today we are so vulne­rable to a devastating cyber war attack that U.S. leaders should walk cautiously.’ Mogelijk zijn de Vere­nig­de Staten offensief het sterkst; ze zijn zeker het meest kwetsbaar: een grote cyber war gap gaapt. In minuten kan cyber war ongeken­de schade toebrengen aan een stad zonder dat een terrorist of sol­daat er een stap zet. Zijn boek leest, ook als het om Oekraïne gaat, onverminderd actueel.

Vitale infrastructuur

De vitale civie­le infra­structuur van een land kan op afstand worden stil­gelegd en vernie­tigd en ‘(m)uch of our intellectual property as a nation has been copied and sent over­seas.’ Elk interes­sant laboratorium, be­drijf en onder­zoeks­instituut in de VS wordt systematisch leeg­gezogen (China’s Cleptocracy is ‘with­out precedent in the history of espionage’) maar de alarmbellen gaan niet af en weinigen kunnen zich er iets bij voorstellen, ook niet de militaire leiders, die aannemen dat hun ge­hei­me en zeer geheime internet, SIPRNET en JWICS, veilig is.

Internet wordt gezien als een militaire uitvinding (en het wordt gebruikt als met geheimen omgeven wapen) maar ‘it is really the product of now aging hippies on the campuses of MIT, Stanford, and Berke­ley,’ ontworpen voor duizen­den wetenschappers, niet voor miljarden gebruikers: één groot netwerk met een decen­traal ont­werp, wat controle van regeringen voorkwam maar beveiliging nu problematisch maakt. Het inter­net is vrijwel volledig open en unencrypted. Hardware en software bevatten openingen die elke compu­ter tegelijk slacht­offer en dader kunnen ma­ken van cyber war­fare. Logic bombs worden achtergelaten met desastreuze op­drach­ten. En steeds meer kritische syste­men zijn online, ook als dat niet de bedoeling is en onbekend bij de gebruiker.

Goedkoop massaproduct

Het Amerikaanse Cyber Com­mand be­schermt, niet per se met succes, de Amerikaanse defensie maar plannen of mogelijk­heden om de civiele infra­structuur te bescher­men ontbreken: presidenten wachten (vergeefs) op zelf­regu­lering in de priva­te sector, ook Obama, wiens campagne werd gehackt door China. Niemand toont leadership en ‘…no one is defending the likely tar­gets in a cyber war, at least not in the U.S.’ Er is onwe­tend­­heid, onwil en onbe­grip en voor het goedkope massaproduct van Micro­soft komt geen (duurder) alter­natief dat voor­­komt dat een slag­schip dood in het water komt te liggen als Win­dows crasht.

Noord-Korea, schrijft hij, ’is the cyber equivalent of Afghanistan:’ er is niets te tref­fen maar het kan wel infrastructuur elders plat leggen. China heeft alles gedaan wat een land doet als het een aanval overweegt en denkt dat het zelf mikpunt kan worden. Het kan zich volledig afsluiten van cyber­space. Rusland, hierin bijna zo goed als Amerika, houdt zijn cyber wapens achter de hand voor als ze echt nodig zijn, want veel zijn een­malig (hoe Israël ‘owned’ de Syrische luchtverde­di­ging in 2007 is nog niet bekend). Veel blijft ondui­delijk. ‘In cyber war, we may never even know what hit us.’

Digitale afschrikking

Clarke onderzoekt de risico’s van escalatie, vergroot door de kwetsbaarheid van de systemen, ziet maar weinig mogelijkheden voor afschrikking zoals bij kernwapens (asymmetrie geeft landen en groe­pen kan­sen) en pleit, zoals in SALT, voor arms control, Cyber War Limitation Treaty en toezicht. Cyber war valt buiten bestaande verdragen, terwijl het juist burgers hard kan treffen. Hij introduceert zijn De­fen­­­sive Triad Strategy. Die veronderstelt regulering: de backbone van het internet van een zestal grote providers moet beschermd, waarmee de meeste aanvallen worden gestopt. De electriciteitsnetwerken moeten veilig­gesteld: ‘…why the hell is the power grid connected to cyberspace at all, anyway?’

En de defensie­netwerken moeten serieus beveiligd: nu zijn veel terminals vanuit een onbegrensd vertrouwen in de ge­hei­­me netwerken, minder beveiligd dan de gemiddelde particuliere pc, terwijl enkele minuten toegang tot één van de meer dan 100.000 SIPRNET terminals in de wereld genoeg is om malware te up­loaden of verbinding te maken met het internet. Clarke verloochent zijn loopbaan niet: hij schrijft zelfs een verkla­ring voor de Amerikaanse president: ‘Suggesting the response might be incommensurate … adds to deterrence.… It is an option the President must have, whether or not he uses it.’

© Anjo Roorda

Richard A. Clarke: Cyber War. The Next Threat to National Security and What to do About It. New York 2010