Den Haag koestert zich in de warme lentezon. De kolonel zit op een dakterras van het ministerie van Defensie, met uitzicht over het politieke epicentrum van ons land. Op het tafeltje voor hem liggen een iPad, een smartphone en een –ongetwijfeld goed beveiligde– BlackBerrytelefoon.

Die laatste zal het gesprek diverse malen onderbreken; Folmer is een druk man. De door minister Hennis gewenste versnelde oprichting van het Defensie Cyber Commando (DCC) vraagt al zijn aandacht. Het commando moet niet in 2015, maar al dit jaar operationeel zijn.

Wereldwijd investeren overheden steeds meer in militaire cybercapaciteit. Dat ook Nederland digitale slagkracht nodig heeft, staat in Defensiekringen buiten kijf. In 2012 presenteerde toenmalig minister Hillen een cyberstrategie. Folmer is de man die verantwoordelijk is voor de praktische uitwerking: de vorming van een eenheid gespecialiseerde militairen die in staat is cyberaanvallen te pareren én uit te voeren.

De defensieve capaciteit staat goeddeels op poten. Folmer en de zijnen werken nu aan de opbouw van offensieve slagkracht. Zorgvuldig geselecteerde militairen krijgen training in de ontwikkeling en het gebruik van cyberwapens. Deze maand begon de opleiding van veertien van deze cybersoldaten bij het Delftse computerbeveiligingsbedrijf Fox-IT.

Waarom wordt het Defensie Cyber Commando versneld opgericht?

„Ons land is in toenemende mate afhankelijk van computers, netwerken, de digitale infrastructuur. Bij Defensie zien we dat in onze eigen operationele praktijk. In de voorbereiding van militaire missies staat cyber op de agenda. We willen graag weten over welke digitale middelen onze tegenstander beschikt. Wat zijn z’n kwetsbaarheden, en hoe kunnen wij daar gebruik van maken? Maar ook: wat zijn ónze afhankelijkheden? Wat als onze systemen en netwerken uitvallen? Hoe kunnen we ons daartegen wapenen?”

Zitten er cybermilitairen in Mali?

„Nee. We zijn wel betrokken geweest bij de voorbereiding, in een adviserende rol. Bewustwording kweken, leren rekening te houden met de tegenstander. Ook in Mali beschikt de lokale bevolking over smart­phones. Stel dat ze een foto maken van een konvooi, en die foto verspreiden met een geotag (informatie over de locatie, PA), dan kan de vijand die gegevens gebruiken.

Het is dus belangrijk dat we die informatie afschermen, beveiligen. Net zoals jij verantwoordelijk bent voor de bescherming van je eigen computer, is de krijgsmacht dat voor zijn netwerken en systemen.”

Bij offensieve capaciteit denk ik aan wapens. Hoe ziet een cyberwapen eruit?

„Dat kan een eenvoudige DDoS-aanval zijn, maar ook een hele gerichte aanval met geavanceerde malware, kwaadaardige software. Een bekend voorbeeld is Stuxnet, waarmee in 2010 Iraanse uraniumverrijkingscentrifuges werden beschadigd.”

Beschikt u al over dergelijke wapens?

„Het is de bedoeling dat we in staat zijn deze wapens zelf te ontwikkelen. Over welke wapens we de beschikking hebben of wanneer we zover zijn, laat ik me niet uit.”

Een cyberaanval is vaak pas zichtbaar als het leed al is geschied. Kunt u snel genoeg reageren?

„De tijdsfactor wordt een belangrijke uitdaging. Kunnen we op zo’n moment snel genoeg schakelen? Daar oefenen we intensief op. Een goede voorbereiding is essentieel. We moeten over de juiste inlichtingen beschikken. Maar we willen ook vroegtijdig onderdelen van cyberwapens ontwikkelen, zodat we tijdens een actie snel de juiste slagkracht kunnen organiseren.

Op missie beginnen militairen niet zo maar te schieten. Daarvoor oefenen ze eerst op de schietbaan, zodat ze weten wat ze doen. Dat is bij ons niet anders. Wij hebben een virtuele schietbaan –een afgesloten cyberlaboratorium– waar we uitgebreid kunnen testen.”

De Londense onderzoeker Thomas Rid stelt dat de cyberoorlog nooit zal plaatsvinden. Hij schrijft: „het cyberdomein is vervuild door alarmistische scenario’s en een eenzijdige gerichtheid op dreigingen.” Geeft Nederland voor niets 45 miljoen uit aan cybercapaciteit?

„Rid zegt niet dat er nooit een cyberoorlog zal zijn. Hij zegt dat hij er nog nooit een heeft gezíén. Rid acht een zuivere cyberoorlog onwaarschijnlijk; cyber is altijd onderdeel van een groter conflict.

Ik geloof zelf ook niet in een ‘cyber Pearl Harbor’. De verscheidenheid van netwerken en systemen is zo groot dat het onmogelijk is om alles in één keer plat te leggen. Natuurlijk zijn er situaties denkbaar waarin er sprake is van ernstige ontwrichting. Maar dat betekent niet automatisch dat Defensie dan aan zet is. Als het betalingsverkeer wordt platgelegd door criminelen, is dat een zaak van de politie, niet van ons.

Maar 45 miljoen euro is, ook in tijden van forse bezuinigingen, niet te veel. Ook als je bezuinigt moet je vernieuwen. Cyber is –net als drones en satellietcommunicatie– een van de terreinen waarop we blijven ontwikkelen.”

Ondanks de noodzaak van een eigen cyberleger klinkt her en der wel kritiek. Internetsocioloog dr. Albert Benschop, die twee jaar geleden een boek schreef over cyberoorlog, bepleitte destijds in het Reformatorisch Dagblad meer digitale slagkracht voor Defensie, maar kraakte ook kritische noten.

Benschop: „Op cruciale vragen hebben we geen antwoord: Welke aanvalswapens ontwikkelen ze? Wanneer mogen deze worden ingezet? Wanneer is er sprake van een oorlogshandeling? We hebben straks dus een cyberleger dat opereert zónder mandaat voor aanvallen en zónder gevechtsregels… Er worden processen in gang gezet waarbij eigenlijk niemand weet wat er gebeurt. Ik heb heus vertrouwen in Defensie, maar in oorlogssituaties kunnen we dergelijke beslissingen niet aan het leger overlaten.”

Benschop heeft wel ’n hoop vragen…

„Hij legt terecht de vinger bij een aantal zaken. Die moeten goed geregeld worden. Maar dat gebeurt ook. De juridische kaders die van toepassing zijn op oorlogssituaties gelden ook voor cyber. In het Nederlandse systeem gaat aan daadwerkelijke inzet altijd een besluit van de regering vooraf. Daar is voldoende toezicht op.

Tot die tijd zal het DCC alleen actief zijn in een afgesloten omgeving, ons cyberlab. Op het moment dat zich een conflictsituatie voordoet, geeft de regering ons mandaat. Of niet, en dan doen we dus ook niks. Krijgen we dat mandaat, dan gaat het vergezeld van strikte gevechtsregels.

De vraag is ook: wanneer is iets een cyberaanval? Defensie komt alleen in actie als we worden aangevallen door zogenaamde statelijke actoren, vijandelijke naties. Daarbij moet sprake zijn van een gewapende aanval die leidt tot slachtoffers, ernstige fysieke schade en ontwrichting van de samenleving. Pas dan zullen we reageren.

Defensie is daarbij niet de digitale brandweer, wij ruimen niet de rommel op. Stel dat er een energiecentrale wordt aangevallen en het komt vast te staan dat dat het werk is van een statelijke actor. Dan treden we op. Niet om die energiecentrale te herstellen, maar om dat betreffende land aan te pakken.

Dat hoeft overigens niet per se met cyberwapens. In een militair conflict gaat het om het bereiken van het uiteindelijke doel. Cyber is daarbij slechts een van de middelen in onze gereedschapskist.”

Hackers op de korrel tijdens Reliable Sword

Het 1 Duits-Nederlandse legerkorps hield de afgelopen twee weken een grootscheepse oefening op Nederlandse bodem. Voor het eerst deden ook cyberadviseurs mee. Op jacht naar obscure hackers.

Parachutisten op de Ginkelse Heide, militairen op het Haagse Malieveld, pontons over de Rijn bij Rhenen en een felle strijd om een verlaten steenfabriek in Doorwerth. De oefening Reliable Sword trekt de aandacht, want bewust voert de krijgsmacht verschillende operaties uit te midden van het publiek.

Zo realistisch mogelijk moet het zijn, om inzet in échte conflictgebieden na te bootsen. De deelnemende eenheden worden klaargestoomd voor de NATO Response Force (NRF), de snelle, wereldwijd inzetbare reactiemacht van de NAVO die in 2015 operationeel moet zijn.

Het Duits-Nederlandse legerkorps vormt de staf die deze flexibele reactiemacht aanstuurt. Het mobiele hoofdkwartier van het korps zetelde twee weken lang op kamp Nieuw-Milligen. Een veelkleurig en internationaal gezelschap van militairen coördineert vanuit een uitgebreide verzameling tenten, containers en trailers de inzet van de troepen in het veld.

Het kampement, voorzien van airco’s en geavanceerde communicatie- en informatiesystemen, is hermetisch afgesloten. Buitenstaanders krijgen pas na strenge procedures toegang. Wie zegt dat de camera van de journalist geen explosieven bevat?

De voorzorgsmaatregelen zijn er niet voor niets; we bevinden ons tijdens de oefening in het fictieve Arnland, een door geweld en chaos geteisterd land. De militairen zijn hier om de inwoners stabiliteit en veiligheid te brengen. Een aanslag op het hoofdkwartier zou de hele missie in gevaar brengen.

Te midden van alle troepenbewegingen komt bij luitenant-kolonel Kees Verdonk, een van de cyberadviseurs die meedraaien in de staf, de melding binnen dat de website van olieproducent Shale is gehackt. Een groepering met de illustere naam ”The Unknown” heeft de site ‘beklad’. Shale betaalt de salarissen van tienduizenden Arnlanders. Als het bedrijf in de chaos wordt betrokken, heeft dat onvermijdelijk consequenties.

Samen met een collega analyseert Verdonk de hack. Wie zit er achter dat obscure hackerscollectief? Welke dreiging gaat ervan uit? Zijn ze in staat grotere schade toe te brengen dan een simpele hack?

Intussen krijgt Arnlands belangrijkste bank een DDoS-aanval voor zijn kiezen. Ngo’s die hulp verlenen in het crisisgebied zijn eveneens doelwit. Ook het werk van ”The Unkown”? Het is niet eenvoudig om daar een vinger achter te krijgen. DDoS-aanvallen zijn voor weinig geld te koop op internet. Bij zo’n ingekochte aanval is het lastig te traceren wie de aanvaller is, zegt Verdonk. De digitale inlichtingenmachine draait op volle toeren.

Verdonk probeert zo veel mogelijk informatie te verzamelen. Stel dat een ander land sympathiseert met het hackerscollectief, een land dat eropuit is Arnland in nog grotere misère te storten… Juist dat soort kennis is noodzakelijk om de dreiging goed te kunnen inschatten. Verdonk adviseert de commandant en de staf van het legerkorps. Zij bepalen uiteindelijk of en hoe er wordt gereageerd, binnen het mandaat van de missie.

Het is voor het eerst dat er cyberadviseurs meedoen met zo’n grootschalige oefening. Ze richten zich vooral op defensieve cyberinzet. De missie is er immers vóór alles op gericht de orde en rust in Arnland te herstellen. Daartoe werkt het korps nauw samen met lokale overheden en ngo’s. De dreiging die uitgaat van ”The Unknown” is ook hier relevant, zegt Verdonk. „Het korps gebruikt een netwerk voor de communicatie met ngo’s. Als de hackers daar inbreken, kunnen de gevolgen groot zijn. Stel dat ze melden dat er ergens hulpgoederen worden uitgedeeld, er vervolgens massa’s mensen komen maar géén goederen; dan knak je het vertrouwen van de bevolking.”

Er zijn geen offensieve scenario’s geoefend. Maar dat gaat in de toekomst beslist gebeuren. En dat hoeft helemaal niet met allerlei geavanceerde middelen. „Organisaties als al-Qaida communiceren in toenemende mate via internet. Als je in staat bent hun websites te hacken en informatie te manipuleren, ondergraaf je daarmee direct het vertrouwen van hun aanhang.”

Verdonk wil best nog wat verder filosoferen over mogelijke offensieve acties. „We hadden het internetcafé van waaruit ”The Unknown” zijn DDoS-aanvallen aanstuurde kunnen aanpakken. Fysiek, met militaire inzet of via de lokale autoriteiten. Of door terug te hacken. Je kunt dat –heel eufemistisch– ook actieve defensie noemen.”

Gaan zitten wachten op wat de vijand doet is in een militair conflict geen optie, zegt Verdonk. „Eén kwetsbaarheid aan onze kant is genoeg om heel veel schade aan te richten. Maar direct terugslaan is er nog niet bij. De steun van de lokale bewoners van een land is tijdens een missie cruciaal. Daarom zijn we voorzichtig met offensieve cyberinzet. Een onzorgvuldige cyberaanval kan veel nevenschade veroorzaken.”

Eén kwetsbaarheid aan onze kant is genoeg om heel veel schade aan te richten.

Wat heeft Verdonk geleerd tijdens Reliable Sword? „We zijn er vooral achter gekomen dat we nog niet in het gevechtsritme zitten. Dat ritme is een strak geregisseerd stramien dat bij elke operatie steevast wordt gehanteerd. Elke pion weet wat er van hem of haar wordt verwacht. Maar die organisatiestructuur dateert nog uit het pre-cybertijdperk. Wat heel waardevol is: iedereen hier onderkent het belang van cyber. Dat ritme komt dus nog wel.”