Leestijd: 6 minuten
Categorie: Digital Warfare
Wanneer we aan oorlog denken, zien we vaak hetzelfde beeld voor ons: tanks die door het landschap trekken, soldaten in uniform, straaljagers in de lucht. Het is een beeld dat gevormd is door decennia van fysieke conflicten, en dat in veel delen van de wereld nog steeds realiteit is.
Maar de zwaarste aanvallen van nu zien er heel anders uit. Geen ingestorte gebouwen of explosies, maar een enkel bestand of stukje code dat enorme schade kan veroorzaken.
Veel van die aanvallen passen niet in het juridische of mentale plaatje van wat we een ‘oorlogsdaad’ noemen. En juist dat roept een belangrijke vraag op: als moderne oorlogsvoering er zo anders uitziet, hoe moeten landen er dan op reageren?
Wat telt als een ‘oorlogsdaad’?
Na de Tweede Wereldoorlog probeerde het internationale recht vast te leggen wat precies als een ‘oorlogsdaad’ geldt. Verdragen zoals het VN-Handvest en afspraken binnen allianties als de NAVO moesten een duidelijke grens trekken. Die definities draaiden vooral om het gebruik van gewapend geweld tussen landen.
Die juridische afspraken zijn nog steeds belangrijk. Ze bepalen wanneer een land geweld mag gebruiken of steun mag vragen van bondgenoten. Maar moderne aanvallen passen niet altijd binnen die regels. Cyberaanvallen, desinformatie en verstoringen in de supply chain lijken misschien niet op klassieke oorlogsvoering, maar kunnen wel enorme schade veroorzaken aan overheden, bedrijven en het dagelijks leven van mensen. En dat zonder dat er een bom valt of een soldaat in actie komt.
Sommige aanvallen slaan in seconden toe, andere bouwen zich langzaam op. Vaak is het ook nog eens lastig te achterhalen wie erachter zit. Daardoor blijft de vraag: hoe moeten overheden, legers en bedrijven reageren?
Wat is de rol van cyberaanvallen?
Cyberaanvallen brengen nieuwe uitdagingen met zich mee in de manier waarop we naar oorlogsvoering kijken. Ze zijn vaak onzichtbaar, moeilijk te meten en lastig te herleiden tot een dader. Daardoor passen ze nauwelijks in de bestaande militaire wetten en regels. Het gevolg: grote gaten in ons begrip én in hoe we erop reageren.
Ontastbare aanvallen met tastbare gevolgen
Cyberaanvallen kunnen enorme schade aanrichten zonder dat er ook maar één explosie plaatsvindt. Zo veroorzaakte de NotPetya-aanval in 2017 wereldwijd naar schatting $10 miljard dollar schade. Bij Maersk moesten meer dan 45000 apparaten opnieuw worden geïnstalleerd. En de Stuxnet-operatie legde stilletjes bijna duizend nucleaire centrifuges in Iran stil.
Toch draait het niet altijd om het vernietigen van systemen of apparaten. Veel aanvallen vertragen diensten, stelen gegevens of zorgen voor verwarring in de samenleving. Desinformatiecampagnes breken niets fysiek af, maar kunnen wel het vertrouwen in verkiezingen, regeringen of publieke instellingen ondermijnen.
Traditionele oorlogsdaden, zoals raketaanvallen, zijn zichtbaar en dramatisch en blijven in veel delen van de wereld harde realiteit. Cyberaanvallen gebeuren meestal in stilte. Ze vervangen fysieke oorlogsvoering niet, maar voegen er een nieuwe, complexe laag aan toe.
Omdat er vaak geen zichtbare schade is, wordt het risico van cyberaanvallen nog te vaak onderschat. Terwijl de verstoring en de kosten net zo ingrijpend kunnen zijn als die van een fysieke aanval.
Het gebruik van ‘armed force’ en wapens
n het internationaal recht worden termen als ‘gewapend geweld’ en ‘militaire agressie’ gebruikt om oorlog te definiëren. Maar bij de meeste digitale aanvallen komen er geen traditionele wapens aan te pas. In plaats daarvan gaat het om digitale tools en stukjes code.
Wat als iemand ziekenhuisgegevens wist of een elektriciteitsnet platlegt? Dat veroorzaakt echte, tastbare schade. Maar valt dat ook onder een aanval door een gewapende macht?
De verwarring wordt groter doordat veel digitale tools gewoon legaal en openbaar beschikbaar zijn. Sommige zijn open source of bedoeld voor legitiem gebruik. Een tool die een bedrijf helpt software te testen, kan door een ander worden ingezet om een ziekenhuis aan te vallen. Zo kan bekende technologie, gecombineerd met de juiste expertise, veranderen in een krachtig digitaal wapen. Alleen zijn die, in tegenstelling tot raketten of tanks, bijna niet te reguleren.
Geen uniformen, geen vlaggen, geen grenzen
In traditionele oorlogen is vaak duidelijk wie tegen wie vecht. Soldaten dragen uniformen en landen maken hun betrokkenheid bekend.
In het digitale domein is dat veel lastiger. Een aanvaller kan een regering zijn, een criminele groep, of een ‘lone wolf’. Ze kunnen hun locatie verbergen, zich voordoen als iemand anders en nauwelijks sporen achterlaten. Zelfs als technische aanwijzingen naar een staat wijzen, is dat vaak niet genoeg voor juridische of diplomatieke actie.
Sommige regeringen huren zelfs externe hackersgroepen in om voor hen te werken. Deze groepen maken misschien geen officieel deel uit van een leger, maar handelen wel namens een natie. En als ze gepakt worden, kan de regering elke link ontkennen.
Die onzekerheid maakt het voor landen lastig om te reageren. Niemand wil actie ondernemen op basis van gissingen, zeker niet als de aanval niet duidelijk te herleiden is.
De rol van de industrie verandert
Vroeger waren landen zelf verantwoordelijk voor hun defensie. Bedrijven maakten producten of leverden diensten, maar kwamen zelden rechtstreeks in aanraking met oorlogshandelingen.
Tegenwoordig is verdediging tegen cyberaanvallen niet alleen een taak van het leger, het is ook een zakelijke kwestie geworden. Tijdens de Microsoft Exchange Server-aanval in 2021 ontdekten particuliere onderzoekers de dreiging eerder dan veel officiële instanties. Tegenwoordig richten aanvallers zich vaak direct op bedrijven, waardoor deze de eerste linie vormen bij het detecteren, melden en stoppen van aanvallen. Veel van de eerste verdedigingsmaatregelen liggen nu bij de particuliere sector, met cybersecurity leveranciers, softwareontwikkelaars en Managed Security Service Providers (MSSPs) in een centrale rol.
Dit brengt cyberaanvallen ook dichterbij voor ons allemaal. Ze gebeuren niet op verre frontlinies, maar kunnen invloed hebben op je werk, je gegevens en je digitale leven. Daardoor worden ze persoonlijker en moeilijker te negeren.
Heroverweging van een ‘oorlogsdaad’
We moeten opnieuw nadenken over wat een oorlogsdaad betekent in het digitale tijdperk. Hoewel internationaal recht, militair beleid en politieke discussies verschillende definities hebben, vallen veel cyberaanvallen buiten deze klassieke kaders. Toch kunnen de gevolgen groot zijn, met impact op nationale veiligheid, economie en de openbare orde.
In deze context zijn verschillende uitdagingen aan de orde. Wanneer moet een digitale operatie die veel schade veroorzaakt worden gezien als een oorlogsdaad? En hoe kan het internationaal recht omgaan met aanvallen die moeilijk toe te schrijven zijn?
De gesprekken over dit onderwerp gaan door, op juridisch, politiek en defensiegebied. Het gaat niet alleen om het vaststellen van een definitie in cyberspace, maar ook om hoe we ons kunnen voorbereiden en hoe we moeten reageren wanneer het gebeurt.
Dit artikel is het eerste in een reeks over ”War in the Digital Age”. Het is bedoeld om organisaties en leiders te helpen beter te begrijpen welke moderne security-uitdagingen er wereldwijd spelen. In het volgende deel kijken we naar hoe oorlog en defensie door de tijd heen zijn veranderd en welke lessen bedrijven hieruit kunnen trekken.
