De aanval is volgens oude wijsheid de beste vorm van verdediging. Voor cyber security lijkt dat in 2015 het thema te zijn. Overheden steken geld en moeite in offensieve cyber-mogelijkheden. Het is goedkoop en relatief veilig.
Over deze blogger
Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.
Hacking is een middel om op een ‘zachte manier’ conflicten aan te gaan. Het zou misschien ook wat voor Putin zijn, maar dat bedoel ik zeker niet als advies. Denemarken heeft nu het voortouw genomen en openlijk aangekondigd 75 miljoen dollar (zo’n 62,5 miljoen euro) te investeren in offensieve cyber-aanvalsmogelijkheden. Let wel: offensief hacken is niet hetzelfde als agressief! Maar het is niet meer alleen in je bunker zitten en een aanval afslaan of tot stopzetten dwingen.
Gespecialiseerde rol, voor Nederland?
Offensieve cyber is goedkoop en relatief veilig. Ik probeer dat bij het Nederlandse ministerie van Defensie ook aan te dragen. Dat ons leger zich niet meer alleen in de breedte moet proberen te ontwikkelen, maar dat het zich moet specialiseren. In cyber-defensie, wat dan ook het ontwikkelen van offensieve mogelijkheden met zich mee brengt.
Een land als Nederland kan zich prima ontpoppen tot cyber-specialist, om dan in bijvoorbeeld NAVO-operaties die gespecialiseerde rol te vervullen. Dat Nederland een klein land is, hoeft dan geen belemmering te vormen. Effectiviteit is een kwestie van expertise en niet mankracht. De digitale wereld komt niet neer op kwantiteit: een paar hackers kunnen al veel doen. Zie ook de Sony Pictures-inbraak, de Hackende Huisvrouwen en de hackersgroepering Syrian Electronic Army (SEA).
Offensief gaat samen met defensief
Denemarken is heus niet het enige land dat investeert in offensief hacken. De Verenigde Staten is er ook mee bezig. Frankrijk en Engeland steken er ook miljarden in. Nederland loopt achter: het besteedt 50 miljoen euro aan én offensief én defensief én inlichtingen. Die 75 miljoen dollar van Denemarken is alléén voor offensief.
Je kunt heel veel geld verbranden om je eigen infrastructuur veilig te stellen. Feit is dat de agressievere landen ook goed zijn in defensie. Het één hangt samen met het andere. Je moet dan ook beide doen. Én zorgen dat kennis - van offensief en defensief - over en weer gaat. Daar is Nederland juist goed in.
Low-tech, out-of-the-box en doordringend
Vergeet ook niet de low-tech aanpak. Dat gebruiken hackers ook, om bestaande structuren op hun kant te kunnen zetten. Zie maar de effectiviteit van simpele drones versus hoge, streng bewaakte hekken. Zo worden mobiele telefoons gedropt in gevangenissen. Zonder dat bewakers het zien; zij zouden dan het hele luchtruim in de gaten moeten houden op die kleine en stille drones. Dit soort out-of-the-box denken is wennen voor overheden en voor Defensie. Want terwijl Defensie wel een dynamische organisatie is, is het ook een organisatie die cyber ziet als apart, vijfde werkgebied: naast land, zee, lucht en de ruimte.
Defensie zou zich als organisatie moeten kantelen, om cyber overal in door te laten dringen. Nederland heeft de ambitie om in de komende jaren het meest digitale land te worden. Daarmee worden we ook meer afhankelijk van het digitale wat op zich niet verkeerd is want het brengt veel voordelen. Maar ik verwacht dan wel waarborgen voor het waardevolle waar we afhankelijk van zijn. Een land als Engeland heeft niet datzelfde streven om het meest digitale land te worden, maar het is nu beter met het borgen van het digitale.
Cyber-wapenwedloop
Dreigt er nu een cyber-wapenwedloop? Ja, dat kan. Maar misschien loopt die al enige tijd. Neem bijvoorbeeld het uitlekken van de geavanceerde Stuxnet-malware. Dat was een heel mooi gerichte aanval, die wellicht om strategische redenen is uitgelekt? Met conventionele wapens kun je de tegenstander imponeren door openlijke oefeningen of grootse parades te houden. Met cyber-wapens kan dat niet. Hoe laat je dan de tegenstander zien waartoe je in staat bent?