De diplomatie als oplossing voor cyberaanvallen?
Naast cybermisdadigers vormen cyberaanvallen en de productie van malware vandaag de snelst groeiende dreiging voor de internationale digitale leefwereld en economie. Wellicht is het tijd voor internationale verdragen en conventies naar analogie met andere wapenverdragen.
Op het jaarlijkse ‘BITS’-event van ESET bespreken securityspecialisten niet alleen hoe av- en antimalware software te testen op hun deugdelijkheid. De Slovaakse producent van antivirus (av) en andere securitysoftware, al 30 jaar actief, met vandaag een gamma producten voor Windows, MacOS en Android, weet immers dat voorkomen beter is dan genezen.
Tijd voor een verbod
Zo besprak Stephen Cobb, sr security researcher bij ESET, de mogelijkheden én moeilijkheden van internationale “conventies, verdragen en verboden om malware en cyber badness in te perken.” Denk daarbij aan de traditie van wapen- en ontwapeningsverdragen, zoals de multilaterale en bilaterale kernwapenverdragen. Maar is dat een zinvolle aanpak?
Internationale verdragen rond cyberwapens zijn zeker niet nieuw. Zo hebben al meer dan 50 staten de ‘Budapest convention on cybercrime’ (het ‘cybercrimeverdrag’, 2001) geratificeerd, voor een betere internationale samenwerking rond de aanpak en vervolging van cybermisdaad, evenals het harmoniseren van cybermisdaadwetgevingen. Ook hebben internationale politie-organisaties grensoverschrijdende initiatieven opgezet, zoals sinds 2013 het European Cybercrime Centre (EC3) van Europol. Begin dit jaar werd voorts een ‘Global Commission on the stability of cyberspace’ opgericht, met onder meer de steun van ISOC en Microsoft.
…op cyberwapens
Malware en andere cyberwapens met verdragen aanpakken stoot helaas wel op een groot aantal problemen. Zo zijn die wapens heel wat moeilijker op te sporen en te monitoren dan bijvoorbeeld tanks, kernwapens of gifgasvoorraden, laat staan dat agenten kunnen uitvissen waar ze vandaan komen en wie ze geproduceerd heeft. Voorts is het bijzonder moeilijk uit te maken wie die wapens heeft ingezet en van waar.
Het is zelfs moeilijk om te beslissen wanneer een stuk code echt een wapen is, en of het wel begeerlijk is om ze in te zetten. Zeker omdat cyberwapens inherent het gevaar lopen dat ze een groter ‘bereik’ hebben dan gepland of gewenst. Hoe kan men bijvoorbeeld voorkomen dat een cyberwapen een ziekenhuis aanvalt? Heel wat vragen werden al een eerste keer getoetst in de ‘Tallinn Manual on the International Law applicable to cyberwarfare’ uit 2013. Die studie probeert op te lijsten wat kan, wat is geoorloofd met betrekking tot proportionaliteit, militaire doelstellingen enzovoort.
Afdwingbaarheid
Feit is evenwel dat heel wat landen gewoon doorgaan met de uitbouw van militaire cyberdiensten. Hoe kan de naleving van een verdrag worden afgedwongen? Immers, dat vereist middelen tot controle, eventuele sancties en de wil van de betrokken partijen om eventuele veroordelingen te erkennen.
Mogelijkheden omvatten onder meer ‘taggants’ in code (een soort ‘markeringen’ in code, vergelijkbaar met spoorelementen in chemische stoffen) zoals voorgesteld door de IEEE. Het probleem hierbij is dat malware code vaak afkomstig is uit de samenwerking van (misdadige) groepen over landsgrenzen heen, of stiekem door naties werd ontwikkeld (en vervolgens ongewild ‘ontsnapte’, zoals dat met een rist NSA-‘tools gebeurde’). “Wellicht is het dan ook logischer om cyberwapens te verbieden op basis van hun werking, dan op basis van de code zelf,” aldus Cobb, “met duidelijkheid over wat aanvaardbaar is of niet.”
Overigens moet ook nagedacht worden over de actoren zelf. Bij digitale oorlogsvoering zijn per definitie ook ‘civiele’ partijen betrokken, zoals de bedrijven met delen van de kritieke nationale infrastructuur (zoals netwerken). Hoe kunnen (security-)bedrijven een (noodzakelijke) rol spelen? En wat zal het statuut zijn van hun werknemers in die oorlogsvoering? Tot en met ‘opeisbaarheid’ als dienstplichtigen?
Over cyberoorlog is het laatste verdrag nog niet ondertekend…
GUY KINDERMANS
Fout opgemerkt of meer nieuws? Meld het hier