4min Security

Rode Kruis stelt regels op voor cyberwarfare; goed initiatief, maar weinig effect

Een man in een blauw shirt glimlachend voor een boekenplank.
Rode Kruis stelt regels op voor cyberwarfare; goed initiatief, maar weinig effect

Het Internationale Rode Kruiscomité (ICRC) heeft onlangs regels opgesteld voor civiele hackers die betrokken zijn bij een cyberoorlog. Dit naar aanleiding van het grote aantal patriottische, Oekraïense hackers die zich hebben aangesloten bij hackergroepen na de inval door Rusland. Dit initiatief van het ICRC om regels op te stellen moet zeker worden toegejuicht, al valt het sterk te betwijfelen of ze ook zullen worden nageleefd.

Dit zijn de ‘rules of engagement’ die het ICRC voor dit soort ‘hacktivisten’ heeft opgesteld:

  1. Val geen civiele objecten aan met cyberaanvallen
  2. Gebruik geen malware of andere tools of technieken die zich automatisch verspreiden en die willekeurige schade toebrengen aan zowel militaire doelen als civiele objecten
  3. Indien je een cyberaanval op een militair doel overweegt, doe dan al het mogelijke om de potentiële impact van de aanval op burgers te minimaliseren of te vermijden
  4. Voer geen cyberoperaties uit tegen medische en humanitaire voorzieningen
  5. Voer geen cyberaanval uit op objecten die onmisbaar zijn voor het overleven van de bevolking of die ernstige, moeilijk te beperken gevolgen kunnen hebben
  6. Dreig niet met geweld om angst te zaaien onder burgers
  7. Zet niet aan tot schendingen van het internationaal humanitair recht
  8. Houd je aan deze regels, zelfs als de vijand dat niet doet

Het Oekraïne-conflict benadrukt opnieuw dat individuen over de hele wereld nu direct deel kunnen nemen aan oorlogsvoering. De nieuwe richtlijnen erkennen dit veranderende oorlogslandschap. In veel opzichten is het nog nooit zo makkelijk geweest voor groepen of zelfs individuen om deel te nemen aan aanvallen en ‘hun steentje bij te dragen’ aan hun zaak.

Veel van de betrokken – vaak stateloze – groepen trekken zich niets aan van nationale of internationale wetten of regels. Verschillende groepen, zoals de pro-Russische Killnet groep, hebben al laten weten dat ze de regels van het ICRS niet zullen naleven. Toch is het vastleggen van normen essentieel om dergelijke groepen uiteindelijk verantwoordelijk te houden voor mogelijke oorlogsmisdaden, burgerdoden en de vernietiging van civiele objecten en andere schadelijke neveneffecten. Cyberaanvallen op kritieke infrastructuur kunnen bijvoorbeeld ernstige en onbedoelde gevolgen hebben. Het kan zelfs de dood betekenen voor mensen die niks of nauwelijks iets met het conflict te maken hebben.

De gevolgen van een cyberaanval zijn steeds moeilijker te voorspellen en te beheersen. Dit komt voornamelijk door interconnectiviteit. We leven in een gedigitaliseerde wereld die zo sterk onderling verbonden is dat een aanval op één server wereldwijde gevolgen kan hebben. Aanvallen kunnen bijvoorbeeld gevolgen hebben op supplychains of op IT die OT (Operationele Technologie) aanstuurt. Een cyberaanval die op één land gericht is, kan ook wereldwijde schade toebrengen. Een voorbeeld hiervan was de NotPetya malware uit 2017. Deze aanval was gericht op de Oekraïense infrastructuur, maar legde uiteindelijk wereldwijd fabrieken lam en zorgde bijvoorbeeld bij de rederij Maersk voor 300 miljoen dollar aan schade. Na deze aanval lag ook het werk in de haven van Rotterdam een tijd stil.

Een andere reden tot zorg is dat cybercriminaliteit steeds toegankelijker wordt. Ook aanvallers zonder technische kennis kunnen bijvoorbeeld geavanceerde malware huren en snel en eenvoudig aanvallen uitvoeren. De Colonial Pipeline-aanval (2021) werd bijvoorbeeld waarschijnlijk uitgevoerd door iemand die had betaald voor DarkSide-malware. Deze toegankelijkheid tot geavanceerde aanvalstechnieken maakt het steeds moeilijker om te monitoren wie het doelwit is van een cyberaanval. Zelfs de developers zullen waarschijnlijk niet weten hoe en waar hun malware gebruikt zal worden.

Bij het voorbereiden van een cyberaanval is de informatie die een aanvaller heeft om binnen te dringen bij zijn of haar doelwit zelden volledig. Als een aanvaller bijvoorbeeld een bank wil aanvallen door het elektriciteitsnet plat te gooien, dan kunnen de gevolgen groot zijn als een nabijgelegen ziekenhuis afhankelijk is van hetzelfde elektriciteitsnet als de bank. Dit is slechts één voorbeeld van iets wat een aanvaller zich misschien niet realiseert. Daarnaast kunnen krachtige aanvalstools nog gevaarlijker zijn in de handen van niet-vaardige aanvallers. Deze aanvallers realiseren zich misschien niet wat de aanvalstool kan doen – inschattingsfouten kunnen grote gevolgen hebben.

Dit zijn enkele voorbeelden die laten zien dat het steeds makkelijker wordt voor ‘hacktivisten’ om direct deel te nemen aan oorlogsvoering en om een cyberaanval uit te voeren. Met dit in het achterhoofd is dit een waardevol initiatief van het ICRC. De mogelijke gevolgen van cyberaanvallen worden steeds groter. Alles wat probeert om deze gevolgen te beperken is een positieve ontwikkeling, ook al zal niet iedereen zich aan de regels houden.