Defensie moet bezuinigen, maar investeert miljoenen in de opbouw van een heus cyberleger. Hoe reëel is het angstbeeld van een cyberoorlog?

Amsterdam, 13 april 2011. Hans Hillen staat 'enigszins verscheurd' voor zijn publiek in de Marinekazerne. Het zijn lastige dagen voor de minister van Defensie. 'Ik heb mensen van de marine, de luchtmacht, de landmacht in de ogen gekeken en de moeilijke beslissing doorgegeven die we vorige week in het kabinet hebben genomen.' Hillen moet één miljard bezuinigen. Ruim twaalfduizend defensiemedewerkers gaan hun baan verliezen. Materieel en wapens worden afgestoten, staffuncties geschrapt, bataljons opgeheven.

Nu, twee dagen later, brengt hij op een 'Cyber Operations'-symposium een blijere boodschap. 'Vandaag praat ik met u over de toekomst, en nieuwe investeringen en nieuwe kansen.' Die kansen liggen niet te land, ter zee of in de lucht, maar in een nieuw krijgsdomein: 'saiberspees', zoals de minister het nog een tikkeltje onwennig uitspreekt. Nederland gaat zich voorbereiden op de oorlog van de toekomst, die online wordt uitgevochten. En dus kondigt Hillen de opbouw van een heus cyberleger aan: een aparte militaire eenheid die zich puur en alleen met de dreigingen in cyberspace bezighoudt. Dat niet alleen aanvallen van vijandige staten moet kunnen afslaan, maar ook zelf digitale precisiebombardementen moet kunnen uitvoeren. Deze kabinetsperiode trekt hij er vijftig miljoen euro voor uit - boven op de miljoenen die Defensie al een aantal jaar in 'cyber' stopt. Daarna zal de nieuwe eenheid elk jaar structureel eenentwintig miljoen euro ontvangen.

Digitale spionage is een essentieel onderdeel van de oorlog van de toekomst, vindt de minister: de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) krijgt fors meer capaciteit om vijandige netwerken binnen te dringen en te achterhalen waar aanvallen vandaan komen. En voor het geval Nederland wordt bestookt en zich toch niet voldoende weet te weren, overweegt de minister zelfs een 'Cyber Reservisten Corps' op te richten. Lees: hackers die tijdelijk in camouflagepak worden gehesen.

Geen doden

Hans Hillens ambities sluiten naadloos aan bij de wereldwijde cyberwapenwedloop die sinds enige tijd in een versnelling is geraakt. Volgens computerbeveiligingsbedrijf McAfee bewapenen meer dan honderd landen zich tegen een cyberoorlog. Ook bij de Verenigde Naties en de NAVO is dat een topprioriteit. 'De volgende aanzienlijke aanval op het bondgenootschap kan best eens door een glasvezelkabel komen,' is te lezen in het nieuwe strategische NAVO-concept dat vorig jaar uitkwam.

Dé militaire supermacht is, ook in cyberspace, de VS: volgens onderzoeksjournalist Seymour Hersh gaat er jaarlijks vijftien miljard dollar naar onder andere het United States Cyber Command, waaronder uiteindelijk veertigduizend cybersoldaten zullen ressorteren.

De opbouw van cyberlegers lijkt onstuitbaar, maar hoe reëel zijn de bedreigingen waartegen ze ons moeten beschermen? Overheden - ook de Nederlandse - geven recente cyberaanvallen op Estland en Georgië als voorbeelden van digitale oorlogvoering. Na een conflict met Rusland over de verplaatsing van een standbeeld van Stalin, werden Estse overheidswebsites en banken 'gebombardeerd' door botnets - duizenden tot miljoenen 'gehackte' computers die tegelijkertijd datapakketjes afvuren op een computersysteem dat op die manier overbelast raakt of bezwijkt. Het Estse internet was onbereikbaar en elektronisch bankverkeer onmogelijk. Iets soortgelijks gebeurde in Georgië, vlak voor de uitbraak van het (offline) Russisch-Georgische conflict. Beide aanvallen zijn de boeken ingegaan als de eerste wapenfeiten van een cyberoorlog, met Rusland als vermeende agressor.

Estland en Georgië waren weliswaar behoorlijk ontregeld, maar ze herstelden ook weer vrij snel. Er vielen geen doden, er was geen sprake van grootschalige vernietiging of definitieve uitschakeling van kritische infrastructuur. Als cyberwar een oorlog is tussen twee staten, stelden critici, dan zijn dit wel erg zwakke voorbeelden. Dit is kinderspel van hobbyhackers, geen georkestreerde hightech aanval. Is cyberwar geen verzinsel van het militair-industriële complex? Bangmakerij van computerbeveiligingsbedrijven om overheden miljarden uit de zak te kloppen?

Het was de ontdekking van een computerworm, vorig jaar, die veel cyberoorlogsceptici overtuigde. De worm, Stuxnet gedoopt, manifesteerde zich in meerdere landen en in verschillende netwerken van vitale diensten als energiecentrales en olieraffinaderijen. Stuxnet was zo op maat gesneden dat het alleen de regie overnam van zeer zeldzame controlesystemen. Stuxnet is het eerste bekende digitale superwapen, daarover bestaat geen discussie. Doelwit was hoogstwaarschijnlijk de nucleaire opwekkingsfabriek in Natanz, Iran.

Schoenmaat van de operateur

Berlijn, 4 mei 2011. De Chaos Computer Club (CCC) zetelt in de chique Marienstraße in hartje Berlijn. Tussen advocatenkantoren en galeries in bevindt zich het thuishonk van de vermaarde Duitse hackersclub. Een marmeren gang leidt naar een binnenplaats, waar in een bijgebouw het kantoor van de club is gevestigd. Binnen is het donker. Hier en daar staat een bank, er is een flipperkast en een frisdrankautomaat waar gekke gele flesjes uitkomen. Het opmerkelijkst is de afwezigheid van computers. 'Die staan beneden,' zegt CCC'er Frank Rieger en hij wijst naar de keldertrap. 'Daar laten we geen pers toe.'

De leden van de CCC zijn niet het soort hackers dat de laatste tijd met digitale bankroven of het frustreren van websites van zich laat horen. De CCC is een idealistische club die strijdt voor privacy, overheidstransparantie en communicatievrijheid en wijst op het gevaar van feilbare technologische systemen, waarbij ze hightech kattenkwaad niet schuwt. Al in 1984 kraakte de CCC het systeem van de bank Hamburger Sparkasse zodat de bank 135.000 DM overmaakte naar de rekening van de CCC. De dag daarna werd het geld teruggestort; het punt was gemaakt. In 1998 liet de club zien hoe bepaalde simkaarten van gsm-telefoons waren na te maken. En in 2008, als protest tegen het gebruik van biometrie in paspoorten, maakte de CCC de vingerafdrukken van de Duitse minister van Binnenlandse Zaken publiek. De club printte de vingerafdruk ook op een stukje film waarmee vingerafdruklezers konden worden misleid.

Frank Rieger is de woordvoerder van de Chaos Computer Club. Hij schrijft boeken, publiceert regelmatig in de Frankfurter Allgemeine en is een belangrijke stem in het technologie- en privacydebat in Duitsland en daarbuiten. Toen in de zomer van 2010 in verschillende landen paniek uitbrak over de ontdekking van Stuxnet, belden onderzoekers en inlichtingendiensten hém voor advies.

Rieger geeft toe dat zijn hart sneller ging kloppen toen hij doorhad waar het om ging. 'Dat zo'n gerichte, efficiënte, professionele, precies op een specifiek probleem toegesneden worm kon bestaan, werd door geen expert voor mogelijk gehouden.' Ja, vertelt Rieger, op congressen werd wel gespeculeerd over zulke specialistische cyberwapens. Maar dat was theorie, sciencefiction. 'We namen altijd aan dat overheden ongeveer dezelfde dingen konden als gewone cybercriminelen en hackers. Maar een worm die langs alle beveiligingen komt en die het aangevallen systeem overneemt, dat is iets nieuws.' Het was duidelijk het werk van een staat of inlichtingendienst, zegt Rieger. 'De ontwikkeling van Stuxnet moet miljoenen hebben gekost. Maanden werk voor een hoop specialisten. En de makers wisten wat ze deden, ze waren zo gedetailleerd op de hoogte van het aangevallen systeem dat ze waarschijnlijk de schoenmaat van de operateur kenden. Dat vereist een machtige inlichtingendienst.'

Rieger ontdekte dat Stuxnet gericht was op bepaalde centrifugesystemen met een zeer hoge rotatiesnelheid, die voornamelijk gebruikt worden in nucleaire verrijkingsfabrieken. Stuxnet was in verschillende systemen gevonden, maar deed alleen daar zijn werk. Na uitvoerig onderzoek vermoedde Rieger wat het doelwit was: de verrijkingsfabriek van Natanz in Iran. Hij vergeleek de activiteit van Stuxnet met cijfers van het Internationaal Atoomenergie Agentschap en zag dat de uraniumproductie in Natanz precies op die momenten afnam dat Stuxnet actief was. Rieger: 'Dit laat zien hoe ver overheden gaan als ze een belangrijk doel voor ogen hebben. Dat maakt van Stuxnet een game changer.'

Er zijn aanwijzingen dat de cyberoperatie een samenwerking tussen de Verenigde Staten en Israël is. 'Maar,' zegt Rieger, 'dat zal waarschijnlijk nooit worden bewezen. Je kunt alleen een aantal vragen aflopen: wie beschikt over het geld, de technologie en de inlichtingendiensten om zoiets uit te voeren? En, heel belangrijk, wie heeft er belang bij?'

De ontdekking van Stuxnet bood overheden nieuwe argumenten om de cyberlegers fors te laten groeien. Rieger beziet het met grote argwaan. 'Overheden bouwen liever wapens dan betere verdediging. Het idee is dat de dreiging met wapens nodig is om een aanval van de tegenstander te voorkomen. Die militaire logica van mutual deterrence stamt uit de Koude Oorlog. Maar zo werkt het niet in cyberspace. Want als je niet weet wie jou aanvalt, hoe wil je dan terugslaan?'

We moeten volgens Rieger investeren om onze infrastructuur te verdedigen tegen aanvallen als die van Stuxnet. 'Je kunt twee dingen doen: je realiseren dat het hele systeem van beveiliging van vitale diensten herzien moet worden; of in paniek raken en de verkeerde keuzes maken. Ik vrees dat het laatste gebeurt, zeker nu de industrie "cyberwar" heeft geïdentificeerd als een inkomstenbron, inlichtingendiensten het gebruiken als excuus om het internet af te tappen en defensie het ziet als een manier om meer macht te krijgen. Het is een hype die gepaard gaat met heel grote onheilspellende woorden. Dat maakt het debat bij voorbaat nogal lastig.'

Geen incidenten

'We moeten met beide benen op de grond blijven,' zegt de Nationaal Coördinator Terrorismebestrijding (NCTb) Erik Akerboom. 'Maar de veiligheid van cyberspace wordt wel degelijk bedreigd.' Akerboom is vanaf 1 juli co-voorzitter van de Cyber Security Raad (CSR), een samenwerking tussen overheidsdiensten als de politie, de AIVD en MIVD, de FIOD en het bedrijfsleven. Akerbooms medevoorzitter is Eelco Blok, CEO van KPN. De raad is onderdeel van de Nationale Cyber Security Strategie (NCSS) die minister Opstelten van Veiligheid en Justitie namens meerdere ministeries in februari aan de Kamer presenteerde. Het doel van de strategie is om Nederland weerbaarder te maken tegen 'ICT-verstoringen en cyberaanvallen'.

Hoe kwetsbaar is Nederland eigenlijk? Erik Akerboom: 'We moeten beter zicht krijgen op de bedreigingen en daar een prioritering in maken. Recente incidenten als Stuxnet laten zien hoe nodig dat is. Een van de producten van de Raad moet een gedegen dreigingsanalyse zijn.' Want die ontbreekt op dit moment. Voor de beschikbare feiten verwijst Akerboom naar het Nationaal Trendrapport Cybercrime en Digitale Veiligheid van vorig jaar, opgesteld door het Cyber Security en Incident Response Team (GOVCERT). 'Dat is een belangrijk rapport, waarin voor het eerst publieke en private partijen een beeld van de bedreigingen neerzetten. Daar zit ontzettend veel expertise. Met elkaar gaan wij nu doorpakken.'

Voor de duidelijkheid: de CSR en de NCSS hebben een civiele taak en staan los van de plannen van minister Hillen die het beschermen van het Nederlandse defensiesyteem beogen. Wel zullen zij intensief samenwerken. Generaal-majoor Koen Gijsbers coördineert de Nederlandse cyberactiviteiten op het ministerie van Defensie. Ook Gijsbers benadrukt de toename van de cyberdreiging. 'We kijken goed naar wat er allemaal op onze netwerken gebeurt. En we zien dat de tegenpartij op het cyberdomein actief is.' Wie de tegenpartij is, kan de generaal niet zeggen. 'Maar daar kunt u zich vast een voorstelling van maken.' Over de offensieve inspanningen van de cybereenheid doet Gijsbers geen uitspraken. 'Dat zou de tegenpartij in de kaart spelen.' Net zo min kan hij zeggen wat de dreiging voor Nederland exact behelst. Gijsbers verwijst naar de voorvallen in landen als Estland en Georgië, die 'een goed beeld geven waarom Defensie kiest voor versterking van de capaciteiten'. Desgevraagd zegt hij dat er een dreigingsanalyse wordt gemaakt aan de hand van eigen onderzoek en informatie van internationale partners en inlichtingendiensten. En net als Erik Akerboom verwijst hij naar het Trendrapport van GOVCERT. 'Die trendanalyse moet ervoor zorgen dat we niet in een hype terechtkomen maar ons baseren op feitelijkheden. En zo de bevolking goed informeren.'

Het Nationaal Trendrapport Cybercrime en Digitale Veiligheid analyseert alle online gevaren die de samenleving bedreigen. Cyberwar is volgens het rapport het risico waarvan het 'potentiële effect waarschijnlijk het grootst' is. Het rapport gaat in niet mis te verstane woorden in op die potentiële effecten - de verstoring en vernietiging van vitale voorzieningen als elektriciteit, het financiële stelsel en telecom. Maar gek genoeg vermeldt het rapport krantenartikelen en dubieuze boeken (zie verderop) als bron. Nergens cijfers, nergens bewijzen van een reële dreiging van een cyberoorlog in Nederland. Wel staan er zinnen in als: 'Overigens hebben zich tot dusverre geen publiekelijk bekend geworden incidenten voorgedaan' en 'Het bestaan van offensieve capaciteiten is (met publieke bronnen) lastig aan te tonen.' Met andere woorden: gevraagd naar cijfers of data die laten zien wat de werkelijke dreiging van een cyberoorlog nu eigenlijk behelst, verwijzen de verantwoordelijke instanties naar een rapport waar die gegevens niet in staan.

De laatste paragraaf van het Trendrapport is wat dat betreft veelzeggend: 'Tijdens de totstandkoming van dit Trendrapport bleek echter dat er weinig betrouwbare kwantitatieve data beschikbaar zijn, waardoor strategische trends niet altijd kunnen worden onderbouwd met harde cijfers. Het gebrek aan kwantitatieve data belemmert niet alleen het zicht op de trends zelf, maar ook het meten van het effect van maatregelen.' De vraag is: hoe kun je iets een trend noemen zonder daar aanwijzingen voor te hebben?

De bevolking plundert

Richard Clarke waarschuwde de regering-Bush maanden voor 11 september tevergeefs voor het gevaar van een aanval door Al-Qaida. Dus als Clarke nu alarm slaat wordt er naar hem geluisterd. In de bestseller Cyberwar. The Next Threat to National Security and What to Do About It, schetst de oud-coördinator van het antiterrorismebeleid in het Witte Huis (tevens thrillerauteur) het schrikbeeld van de cyberoorlog. Chaos in steden door black-outs, giftige gaswolken van chemische fabrieken, treinen die ontsporen, vliegtuigen die tegen elkaar botsen, olieraffinaderijen die in brand staan, explosies van gasleidingen, stuurloze satellieten. Enkele duizenden dode Amerikanen. En dat allemaal in de eerste vijftien minuten. Hij schrijft: 'Er is geen voedsel te krijgen in steden, want de treinen en de datasystemen van de distributie werken niet. De elektriciteit blijft uit want de generatoren zijn permanent beschadigd. Pinautomaten werken niet, banken zitten zonder cash en de bevolking plundert.' Conclusie: een vijandig land kan zonder zelf fysiek aanwezig te zijn, Amerika meer schade toedienen dan alle oorlogen waarin de VS ooit hebben gevochten.

Cyberwar is een voorbeeld van 'dreigingsinflatie', legt Jerry Brito uit. Brito is als onderzoeker verbonden aan het Mercatus Center van George Mason University. 'Wat Clarke beschrijft, is een doemscenario gebaseerd op hypothesen in plaats van bewijzen,' vertelt hij vanuit Washington. Brito vergelijkt de dreigingsinflatie van cyberoorlog met de oorlog in Irak. 'Toen werden ook allerlei dreigingen op één hoop gegooid. "Massavernietigingswapens", hoorden we steeds. Maar een chemisch of biologisch wapen is niet hetzelfde als een nucleair wapen. Het Pentagon zegt nu dat hun computers honderdduizenden keren per dag worden "aangevallen". Maar vaak gaat het dan om het digitale equivalent van aan de deurknop draaien om te zien of die wel op slot is - iets wat elke hacker kan.'

Dreigingsinflatie heeft gevolgen, zegt Brito. 'Het grootste gevaar is de impact op het publieke en politieke debat. Als een Congreslid hoort van "deskundigen" dat treinen zullen ontsporen en vliegtuigen uit de lucht zullen vallen, dan zal hij voor wetgeving stemmen die deze catastrofe zegt te voorkomen.'

Spannende jongensboeken

Ook voor de Nederlandse instanties is Cyberwar van Clarke een belangrijke bron. De definitie van cyberoorlog die het Nationaal Trendrapport Cybercrime en Digitale Veiligheid 2010 hanteert, is volledig aan Clarke ontleend. Net als de lijst van landen die volgens het rapport voorop liggen in de wedloop en de informatie over cyberaanvallen uit het verleden. Het Trendrapport baseert zelfs de potentiële desastreuze gevolgen van een cyberoorlog op Clarkes boek. (Generaal Koen Gijsbers ontkent enige invloed van het boek op het Nederlandse beleid. 'Dat zijn spannende jongensboeken, ze lezen lekker weg. Daar richten wij ons niet op als we analyses maken.')

Clarkes smakelijk geschreven scenario's van een 'cybergeddon' hebben de toon van het publieke debat bepaald. Volgens Peter Sommer, professor aan de London School of Economics, maakt dat een zorgvuldige analyse van het probleem haast onmogelijk. 'De angstaanjagende verhalen komen vaak van mensen die iets te verkopen hebben. Ik wil niet zeggen dat ze liegen, maar ze overdrijven. Je ziet hetzelfde bij de overheid zelf. Overheidsdiensten concurreren met elkaar om meer budget. En de makkelijkste manier om dat binnen te halen is door te overdrijven.'

Sommer schreef een rapport over Cyber Security in opdracht van de Organisatie voor Economische Samenwerking en Ontwikkeling (OECD). De conclusie van zijn afgewogen analyse was dat een pure cyberoorlog - een oorlog die alleen in het domein van cyberspace wordt gevochten - 'hoogst onwaarschijnlijk' is. 'Maar journalisten willen alleen een simpele boodschap horen. Dat onze beschaving ten onder zal gaan of juist dat het allemaal een hype is.'

Cyber-industrieel complex

Richard Clarke wordt meestal geïntroduceerd als 'veiligheidsadviseur van meerdere presidenten'. Correct. Maar nú is Clarke hoofd van Good Harbor, een bedrijf dat risicoanalyses maakt voor bedrijven en overheidsdiensten op het gebied van cyberbeveiliging.

Cyberwar is de grootste groeimarkt in de defensie- en veiligheidssector. Een rapport van het Britse onderzoeksbureau Visiongain stelt vast dat de voorbereidingen voor een cyberoorlog de industrie dit jaar meer dan twaalf miljard dollar zullen opleveren. De defensie-industrie is zich aan het herpositioneren. In de Verenigde Staten hebben grote militaire vliegtuigbouwers als Lockheed Martin, Boeing en BAE Systems eigen cyberbeveiligingsdivisies opgericht. Jerry Brito ziet de contouren van een cyber-industrieel complex ontstaan. 'Je merkt het aan de angstaanjagende taal die sommige mensen gebruiken.' Neem Michael McConnell. Hij was hoofd van de National Security Agency, later hoofd van de inlichtingendiensten, en nu is hij vicepresident van Booz Allen Hamilton, een bedrijf dat grote contracten voor cyberbeveiliging van de overheid heeft. Brito: 'Je moet je afvragen wat McConnell beoogt als hij schrijft dat Amerika een cyberoorlog dreigt te verliezen. Hij spreekt niet namens de overheid maar namens een bedrijf met grote financiële belangen.'

Brito heeft een punt. Andere oud-regeringsfunctionarissen doen hetzelfde als McConnell en Clarke. Michael Chertoff bijvoorbeeld, minister van Homeland Security tijdens de regering-Bush. Als Chertoff in interviews het beeld schetst van de Amerikaanse krijgsmacht die troepen inzet tegen cyberaanvallen, dan doet hij dit als 'oud-minister'. Onvermeld blijft dat hij na zijn ministerschap de Chertoffgroep oprichtte - ook een 'risk-managementconsultant' gespecialiseerd in cyberbeveiliging. En dat hij als commissaris van het defensiebedrijf BAE verantwoordelijk is voor het aanbieden van 'cyberbeveiligingsoplossingen voor cliënten als overheden en bedrijven'.

In Nederland laat oud-commandant van de Strijdkrachten Dick Berlijn met regelmaat van zich horen. Berlijn is sinds 2008 Senior Board Advisor bij consultancybedrijf Deloitte, dat overheden en bedrijven onder andere over 'cybersecurity' adviseert. Zo schreef Berlijn in juni vorig jaar, vlak voor de landelijke verkiezingen in NRC Handelsblad: 'Er is weinig voor nodig om onze samenleving ernstig te ontwrichten. Dat hebben landen als Estland en Georgië al mogen ervaren. Het ontwikkelen van een samenhangende visie en strategie op het gebied van cybersecurity dient minstens even hoog te scoren als de aandacht voor bijvoorbeeld het op orde brengen van overheidsfinanciën.'

Big Brother 3.0

De belangenverstrengeling van mannen als Clarke, Chertoff en McConnell vertroebelt zacht gezegd het debat. En de mannen gaan ver in hun voorstellen om de gevaren van een cybergeddon af te wenden. Zo stelt McConnell een 're-engineering' van het internet voor, zodat de overheid, de inlichtingendiensten en bedrijven samen kunnen traceren wie wat op het internet doet. Een soort giga Big Brother 3.0.

'Het gevaar is dat cyberwar wordt gebruikt als excuus om het hele internet te gaan monitoren,' zegt de Duitse hacker Frank Rieger. 'Onder het motto dat ze zo kunnen zien waar een aanval vandaan komt. Maar als de aanvallers overheden zijn, dan heeft dat weinig zin. Die zijn bij uitstek in staat om hun identiteit online te verhullen. De enige die er echt last van heeft, is de gewone internetgebruiker. Het in de gaten houden van je netwerken is wel zinvol natuurlijk, maar hoe weten wij dat het niet voor andere doeleinden gebruikt wordt?'

Fatale norm

Goed, de dreiging van een cyberoorlog wordt aangedikt en economische belangen spelen daarbij een grote rol. En toch: het cyberwapen Stuxnet heeft duidelijk gemaakt dat sommige staten systemen in andere landen kúnnen ontregelen. 'En wat als zo'n wapen niet gebruikt wordt tegen een min of meer aanvaard doelwit,' vraagt Frank Rieger van de Duitse Chaos Computer Club zich af. Rieger pleit ervoor de aandacht van wapenbouw te verplaatsen naar de in zijn ogen 'zeer kwetsbare' beveiliging van kritische infrastructuur: elektriciteit, telecom, water, transport. Rieger ziet daar een rol voor de overheid. 'Er zijn twee redenen waarom de industrie investeert in hun systemen: klanten willen betalen voor iets wat werkt en computercriminaliteit kost geld. Maar echt investeren in beveiliging van hun infrastructuur zullen bedrijven alleen als de overheid ze ertoe dwingt.'

In de Nederlandse Cyber Security Raad zullen straks ook aanbieders van vitale maatschappelijke diensten een stem krijgen. Welke dat zijn, is met uitzondering van KPN nog niet bekend. Nationaal Coördinator Terrorisme Bestrijding en toekomstig voorzitter van de CSR Erik Akerboom: 'Zeventig procent van de vitale infrastructuur is in handen van private partijen. Dus die moeten aan boord. Zij hebben er zelf ook belang bij dat hun systeem niet aangevallen wordt.' Akerboom is van plan de kritische diensten te testen op kwetsbaarheid, red teaming in jargon, het proberen te infiltreren in systemen van overheden en bedrijven als ware je de vijand. Akerboom heeft er als terrorismebestrijder ervaring mee, legt hij uit. 'Dat is uiterst confronterend voor hen als ze niet goed beveiligd zijn. En het is effectief omdat ze die veiligheid dan zullen verbeteren.' Maar wat nu als een private partij besluit de beveiliging niet te verbeteren? Daar zijn ze niet toe verplicht. Akerboom: 'Daar ga ik niet van uit, maar dan zou je moeten nagaan of je ze met wetgeving daartoe moet verplichten.'

Hoogleraar Public Administration Michel van Eeten relativeert de noodzaak tot beveiliging tegen cyberaanvallen. 'Theoretisch is een Stuxnetachtige aanval op het Nederlandse elektriciteitsnetwerk zeker mogelijk,' zegt Van Eeten, gespecialiseerd in de veiligheid van kritische infrastructuur. En daarom, erkent hij, is het ook goed hun beveiliging te blijven testen en de industrie tot meer openheid te dwingen. 'Die bedrijven zeggen altijd dat alles in orde is. Die claims moet je toetsen.'

Van Eeten vreest alleen dat de 'cyberhysterie' en de investeringen die ermee gepaard gaan nare neveneffecten kunnen hebben. 'De volgende Stuxnet voorgoed willen voorkomen is een fatale norm. Dat kost zo veel inspanning dat je veel reëlere risico's uit het oog verliest. Banale kabelbreuken, stroomuitval, schommelingen in het hoogspanningsnetwerk ten gevolge van windenergie. Volgens de verkopers van de angstbeelden van een toekomstig armageddon kun je nooit genoeg investeren. Maar in de realiteit investeer je al heel snel te veel.'

Bovendien: waarom zouden landen zo veel geld en moeite in een cyberwapen steken? 'Je kunt ook gewoon twee mensen naar twee hoogspanningsmasten sturen en die met explosieven opblazen. Dan is het netwerk ook grotendeels uitgeschakeld.' Sterker: waarom zou een andere staat eigenlijk een Stuxnet-aanval op een Nederlandse elektriciteitscentrale willen uitvoeren, vraagt Van Eeten zich af. 'Alleen als onderdeel van een conventionele oorlog, lijkt me. Maar als het zover is moeten we ons over heel andere dingen zorgen gaan maken.'