Cyberspace dreigt een slagveld te worden; staten worden steeds assertiever. Rusland rommelt actief in de databases van de Democratische Partij in de V.S, Mexicaanse lokale autoriteiten gebruiken Israëlische software om activisten te bespioneren en in Nederland gaan we op 15 maart met pen en papier stemmen om te voorkomen dat iemand onze verkiezingen zou kunnen hacken.
Spionage, sabotage en andere pogingen om het beleid van een land te beïnvloeden zijn natuurlijk oud nieuws. Maar de afgelopen decennia hebben de meeste landen spelregels aanvaard die ervoor moeten zorgen dat zulke activiteiten niet de spuigaten uitlopen. Het oorlogsrecht maakt bijvoorbeeld duidelijk wat legitieme doelwitten zijn in tijden van oorlog. Een militaire basis is wel, maar een ziekenhuis geen geoorloofd doelwit. Wie die regels schendt kan veroordeeld worden voor oorlogsmisdaden.
In cyberspace gelden nog geen duidelijke regels, of worden bestaande normen nog niet goed vertaald. Het is bovendien moeilijk om met 100% zekerheid te zeggen wie er achter een hack zit, of wat een prikkel is voor bepaalde landen om online veel verder te gaan dan wat ze ooit offline zouden doen. Met een vliegtuig een bom gooien op een elektriciteitscentrale is een oorlogsdaad waarop altijd een reactie zou komen. Maar complexe malware inschakelen waarvan de eigenaar moeilijk te achterhalen is kan hetzelfde resultaat bereiken, zonder dat daar misschien een reactie op komt. Aanvallen op burgerdoelwitten in tijden van vrede worden daardoor steeds meer plausibel, waardoor de wereld minder stabiel wordt. Het vervagen van de grenzen tussen oorlog en vrede, en de inzet van nieuwe middelen, leidt tot hybride oorlogsvoering.
Om ontsporing te voorkomen wordt gestreefd naar nieuwe afspraken tussen landen. Vorige week werd de nieuwe Tallinn Manual 2.0 on the International Law of Cyber Operations gepresenteerd, waarin experts een aanzet geven om het gedrag van staten online in goede banen te leiden. Maar landen zelf zijn nog altijd huiverig om te zeggen welke regels van toepassing zijn online en welke niet. Ook heeft bijna elke staat wel boter op zijn hoofd, dus echte rolmodellen zijn ver te zoeken.
Komend weekend wordt over het gedrag van staten druk gedebatteerd op de internationale veiligheidsconferentie in München, waaraan tal van staatshoofden, regeringsleiders en ministers deelnemen. Op de conferentie wordt de Global Commission on the Stability of Cyberspace gelanceerd, die verder onderzoek gaat doen en het debat over online normen van staten weer politieker wil maken. Zelf wil ik daar graag kijken of er bijvoorbeeld nieuwe regels nodig zijn waardoor materiaal dat nodig is om verkiezingen te organiseren, bijvoorbeeld databases van stemmers of verkiezingssoftware, beschouwd kan worden als kritische infrastructuur. Inmenging in verkiezingen is namelijk een aanval op de democratie zelf, die met het oog op 15 maart dringend voorkomen moet worden. In Nederland stemmen we met potlood en papier, wel zo veilig. Maar de belangrijkste oplossingen om hacks, manipulatie en digitale oorlogsvoering te voorkomen bevinden zich ook nog in het pre-internet tijdperk, en hebben een stevige upgrade nodig.
