Deze column stond in Het Financieele Dagblad van 22 februari 2018. Volg deze link voor mijn eerdere FD columns.
Sportief spektakel en geopolitiek theater gaan zoals altijd hand in hand bij de Olympische Spelen. Ook in Pyeongchang. Waar de historische toenadering voor de bühne tussen Zuid- en Noord-Korea niemand ontgaat, voltrekt zich achter de schermen een digitaal drama via cyberaanvallen aan het adres van Zuid-Korea en het IOC. In bredere zin is een mondiale neerwaartse spiraal van digitale oorlogsvoering tussen alles en iedereen een tragisch feit — of het nu het organiseren van nationale verkiezingen of vredelievende sportevenementen betreft. Vooral omdat het Westen momenteel geen enkel leiderschap toont, is continue digitale oorlogsvoering de nieuwe geopolitieke realiteit geworden.
Volgens IT-beveiligers van Trend Micro heeft het IOC al sinds 2016 te kampen met cyberaanvallen van hackersbende Fancy Bear. Deze aan de Russische overheid gelieerde groep kennen wij ook in Nederland, van de spionage rondom het MH-17-onderzoek en hun hack van de campagne van Hillary Clinton.
In de maanden voorafgaand aan de huidige Spelen openbaarde Fancy Bear allerlei documenten die het IOC en vooral de Wereld Anti-Doping Autoriteit (WADA) in de verlegenheid brachten. Rusland doet alle betrokkenheid af als nepnieuws, maar de aanvallen zijn erop gericht de geloofwaardigheid van het IOC en WADA aan te tasten nadat Rusland niet meer mocht meedoen aan de Spelen.
Beveiligingsbedrijf McAfee ontdekte daarnaast een klassieke phishing-aanval gericht op 300 bij de Spelen betrokken organisaties en leveranciers, skigebieden en reisorganisaties. De e-mail lijkt afkomstig van de Zuid-Koreaanse antiterrorisme eenheid en herbergt slim verstopte computercode die, als de ontvanger op ‘enable content’ klikt, volledige toegang tot de computer verschaft. McAfee stelt dat ‘Operation GoldDragon’ sterk lijkt op eerdere aanvallen die aan Noord-Korea zijn gelinkt. Waarschijnlijk heeft Noord-Korea zich in de aanloop naar de Spelen alvast voorbereid op een minder succesvolle diplomatieke uitkomst.
Dankzij klokkenluider Snowden weten we dat het Westen, met de Verenigde Staten en het Verenigd Koninkrijk voorop, juist volop meehackt
Lost dit probleem zichzelf op? De analyse in het geniale artikel The Timing of Cyber Conflict van beroemd speltheoreticus Robert Axelrod, die eerder bijdroeg aan nucleaire de-escalatie, is weinig hoopgevend. Kort gezegd voorspelt het artikel dat landen blijven aanvallen zo lang ze niet worden ontmaskerd. Juist op het internet is het ontmaskeren van daders (attributie) complex, bijvoorbeeld omdat daders via andermans computer kunnen aanvallen. En dat landen kwetsbaarheden in IT-systemen meteen exploiteren, voordat een doelwit de systemen updatet en een beoogde aanval niet meer werkt.
Iedere aanpak vergt dus het stimuleren van zowel beveiliging als attributie, hand in hand. Een deel van het mantra is al jaren bekend: geen achterdeurtjes in software, bekende kwetsbaarheden direct online publiceren. Dat belemmert de eigen spionage, maar beschermt de hele wereld tegen cybercriminelen en spionnen. Daarnaast is het tijd voor originele oplossingen. Het vorige Kabinet nam de visionaire stap voor een habbekrats de ontwikkeling van encryptie-protocol OpenSSL te subsidiëren, met mondiale erkenning als gevolg. Beleidsmakers kunnen ook de zo geroemde wisdom of the crowd beter mobiliseren — de actieve en deskundige internetgemeenschap van duizenden IT-beveiligingsbedrijven, ethische hackers en journalisten. Publiceer na een aanval bijvoorbeeld meer technische data (uiteraard met privacywaarborgen). Zo kan de crowd zichzelf beveiligen en bevestigen wie er achter een aanval zit. En beschuldigt Rusland de wereld niet steeds van nepnieuws.
Eigenlijk is ‘het Westen’ het enige geopolitieke blok dat de huidige trend kan doorbreken. Maar dankzij klokkenluider Edward Snowden weten wij dat het Westen, met de Verenigde Staten en het Verenigd Koninkrijk voorop, juist volop meehackt. Van de oorlogszuchtige Trump en de weifelende May hoeven wij niets te verwachten.
De EU heeft nauwelijks mandaat zodra een dossier nationale veiligheidspolitiek raakt. En lidstaten zijn individueel te zwak gehoord te worden op het geopolitieke podium. Naast hopen op visionaire leiders, zit er voor mensen die de Spelen, verkiezingen of multinationals runnen niet veel anders op dan uitstekende technische, organisatorische en juridische voorbereidingen te treffen. Voor het onvermijdelijke moment dat een Fancy Bear of GoldDragon ten tonele verschijnt.