De Russische inval in Oekraïne op 24 februari 2022 had niet alleen catastrofale gevolgen voor de bevolking van Oekraïne, maar veroorzaakte ook een strategic shock in het westerse veiligheidsdenken: het vredesdividend was duidelijk uitgeput. De inval veranderde ook het denken over cyberconflict en ‘cyberoorlog’. De verwachting was immers dat, na grootschalige cyberoperaties zoals Stuxnet in 2010, de Russische beïnvloeding van de Amerikaanse verkiezingen in 2016 of de NotPetya-aanval op Oekraïne in 2017, de eerstvolgende ‘oorlog’ een cyberconflict zou zijn.

Met de Russische inval, maar ook met de aanval van Hamas op Israël van 7 oktober 2023, werd duidelijk dat (statelijke) actoren bij een gewapend conflict uiteindelijk toch vertrouwen op kinetische middelen. Met de Russische invasie – waarbij primair het militaire instrument van macht werd gebruikt, ondersteund door economische, diplomatieke en informatiemiddelen – lijkt het erop dat het conflict in cyberspace niet geëigend is voor oorlog.

Cyberwar is out

‘Cyberwar is out, but what is in?’, is dan ook de toepasselijke openingszin van het edited volume Deter, Disrupt, or Deceive onder regie van Robert Chesney en Max Smeets. Het duiden van aanvallen in of via cyberspace vormt een uitdaging. Cyberwetenschappers zijn er nog niet uit of operaties in het cyberdomein te analyseren zijn analoog aan operaties in het land-, zee- of luchtdomein, of – omdat cyberoperaties vooral onder het niveau van geweld plaatsvinden – dat het een soort informatie- of inlichtingenoperaties zijn. De centrale vraag van Chesney en Smeets haakt daarop aan: is het cyberconflict een intelligence contest, en zo niet, hoe is strategisch gedrag in cyberspace dan te duiden? De intelligence contest is te omschrijven als een strijd of competitie waarbij de staat mogelijkheden en middelen (state craft) aanwendt die belegd zijn bij de inlichtingendiensten (blz. 5). Denk daarbij aan de doctrine van Persistent Engagement van het Amerikaanse NSA/Cyber Command.[1] Joshua Rovner,[2] grondlegger van de intelligence contest-theorie kenschets vijf karakteristieken: (1) de intelligence contest is een politieke strijd voor de lange termijn, waarbij het verzamelen van meer en betere informatie een voordeel oplevert; (2) de verkregen informatie is een soort bibliotheek die je kunt uitbuiten indien dat opportuun is; (3) inlichtingenoperaties zijn te gebruiken om het moreel, de instituten en allianties van de opponent te ondermijnen; (4) de intelligence contest is in te zetten om de inlichtingencapaciteit van de opponent te saboteren; en (5) het is te gebruiken om inlichtingenmiddelen te prepositioneren, ofwel ‘it's all about access’.[3]

Door meerdere lenzen

Deter, Disrupt, or Deceive biedt een platform om dit thema van verschillende standpunten te beschouwen. Een daarvan is dat cyberconflict inderdaad een intelligence contest is. Rovner geeft dit helder aan en stelt dat het optreden in cyberspace een voortzetting is van eeuwenoud statelijk handelen op inlichtingenterrein. Een ander perspectief is dat operaties in cyberspace meer zijn dan enkel een intelligence contest. Cyberspace-operaties hebben strategische implicaties voor de grondvesten en soevereiniteit van een staat, denk aan de eerdergenoemde Amerikaanse verkiezingen. Een derde lens stelt dat cyberacties strategische effecten kunnen hebben beneden het niveau van geweld. Hierbij zijn niet concepten als coercion of cyberwar van belang, maar gaat het om het uitbuiten van mogelijkheden, denk aan de cryptodiefstal van Noord-Korea of het stelen van intellectueel eigendom door China. Deze actie is te zien als een fait accompli en creëert tevens een internationale gedragsnorm, zeker als andere staten niet adequaat ageren. De laatste lens stelt dat alle voorgaande een grote omissie vertonen, namelijk het onderschatten van de niet-statelijke actoren in cyberspace. Zeker met de oorlog in Oekraïne in gedachten zijn groeperingen als Anonymous, maar bovenal ondernemingen zoals Elon Musks Starlink, Amazon AWS en Microsoft Azure niet weg te denken in cyberspace – niet in de laatste plaats omdat zij de hard- en software van cyberspace bezitten en controleren. Aangezien deze lenzen veelal het Amerikaanse perspectief belichten, bevat het boek ook drie casestudies over China, Rusland en het Verenigd Koninkrijk.

Discussie

In de discussie vallen drie aspecten op. Ten eerste: de discussie of het cyberconflict te zien is als een intelligence contest of niet, is geframed als een dichotomie tussen de inlichtingengemeenschap en de krijgsmacht. Sommige auteurs ageren hier terecht tegen. Inlichtingenoperaties en acties van de krijgsmacht volgen soortgelijke principes, sterker nog, inlichtingen zijn integraal onderdeel van een militaire operatie. Ten tweede: veel lenzen bezien acties in cyberspace primair vanuit de staat als primaire actor. Dit is wellicht correct in het zee-, land- en luchtdomein, maar dat denken is niet een-op-een te hanteren in cyberspace, daar zijn niet-statelijke actoren en dan met name de grote ICT-bedrijven vaak machtiger, invloedrijker en hebben meer controle dan de staat. Tot slot wordt onvoldoende rekening gehouden met de context van het conflict. In menig West-Europees land is de krijgsmacht wettelijk niet bevoegd om, buiten het gewapende conflict, de vitale belangen van de staat te verdedigen. En gezien het leeuwendeel van de cyberoperaties onder het niveau van geweld plaatsvindt, zijn vaak alleen de inlichtingendiensten bevoegd om op te treden. Daar moeten we – zeker ook in Nederland – heel blij mee zijn, maar dat betekent niet dat cyberconflict een intelligence contest is.

Chesney en Smeets hebben met deze bundel niet tot doel gehad een oplossing te bieden in het discours, ‘but to bring it to the surface, in a way that might advance mutual understanding’ (blz. 273). Hierin zijn zij goed geslaagd, vooral omdat het boek duidelijk maakt dat de gekozen lenzen niet belangeloos zijn.

Kol dr. B.M.J. Pijpers, NLDA

Deter, Disrupt, or Deceive

Assessing Cyber Conflict as an Intelligence Contest

Door Robert Chesney en Max Smeets (red.)

Washington, D.C. (Georgetown University Press) 2023

336 blz. – ISBN 9781647123260