Een jaar na de grootscheepse invasie van Oekraïne door Rusland blijkt hoe cyberaanvallen onlosmakelijk zijn verbonden met conventionele oorlogsvoering op het slagveld en propaganda. Reden om Oleksandr Potii, plaatsvervangend voorzitter van de State Service of Special Communications and Information Protection of Ukraine, te vragen welke lessen we uit ‘s werelds eerste grootschalige cyberoorlog kunnen trekken. De securityspecialist bracht onlangs een bezoek aan Amsterdam voor Cisco Live,
Potii’s belangrijkste boodschap is dat we meer moeten samenwerken op het gebied van cybersecurity; niet alleen tussen overheden maar ook met bedrijven in de security-industrie en it-dienstverleners. Op basis van de ervaringen uit de oorlog moeten tactiek en strategie worden ontwikkeld om dit soort agressie te weerstaan. Dat vereist een multidimensionale aanpak. Ook defensie-doctrines en internationale wetten moeten in het licht daarvan worden aangepast. Volgens Potii, tevens hoogleraar aan de universiteit van Charkov, is een gemeenschappelijk begrip nodig, ook op het niveau van de jurisdictie. Cyberincidenten moeten overal op dezelfde manier worden gedefinieerd.
De Russische agressie kent namelijk vele dimensies. Het lanceren van raketten op de energie-infrastructuur gaat gepaard met cyberaanvallen op die sector. Tegelijk wordt vals nieuws verspreid om de regering in Kiev, lokale overheden of grote ondernemingen de schuld van de stroomuitval in de schoenen te schuiven. Tussen al deze acties bestaat een strakke coördinatie.
Systemisch
Sinds de oorlog nu bijna een jaar geleden uitbrak, blijkt hoe sterk de verschillende typen aanvallen met elkaar samenhangen. De correlatie is systemisch. Het effect van het ene wapen wordt vergroot door het andere. Het uiteindelijke doel is de bevolking uit te putten en het psychologische klimaat in het Westen te beïnvloeden. De vrees bestaat dat ook andere autocratische regimes deze tactiek zullen gaan toepassen; hoog tijd dus de handen ineen te slaan. Potii: ‘Om kritische systemen zoals in de energiesector te beschermen moeten veiligheidsprotocollen op één lijn worden gebracht. In de praktijk schort er nog veel aan hun werking. Door van onze ervaringen te leren zijn betere protocollen te ontwikkelen. Verder is het nodig om hulpbronnen te verenigen.’
Hij hoopt ook op een betere samenwerking met securitybedrijven. Tot de voorlopers behoren Microsoft, Cisco, Google-dochter Mandiant, AWS en Eset. Potii’s overheidsdienst staat open voor voorstellen tot samenwerking. ‘Een delegatie van Franse securitybedrijven heeft al een bezoek aan Kiev gebracht. Het zou mooi zijn als ook Nederlandse security-bedrijven zo’n initiatief nemen.’ Formalisering van de samenwerking met de NCSC staat eveneens op Potii’s verlanglijstje.
Hackergroepen
Het meest zit Oekraïne te springen om technologie om de informatie-infrastructuur te beschermen. Ook specialisten die helpen bij het gebruik van deze technologie, zijn gewenst. ‘Oekraïne en het Westen kunnen elkaar versterken. Oekraïne beschikt weer over een hoop waardevolle informatie waarmee de Russische aanvallen zijn te analyseren. De Russische hackersgroepen veranderen regelmatig van tactiek. Samenwerking is hard nodig om daar analyses op los te laten en deze ontwikkelingen bij te benen.’
Ook de attributie van hackers vereist aandacht, benadrukt Potii. Honderdduizenden Russische it’ers hebben Rusland verlaten. Daaronder kunnen zich ook verkeerde types zoals hackers bevinden. Potii: ‘Het is lastig om te zien waar cyberaanvallen vandaan komen, welke organisaties het betreft en waar hun mensen zitten.’ Niet voor niets heeft de Navo een speciaal instituut opgezet om tools voor een betere attributie te ontwikkelen. ‘Ook voor de vervolging van cybercriminelen is het belangrijk te weten van waaruit ze opereren.’
Destabilisering
Russische hackers spelen een belangrijke rol in de oorlog. ‘Ze richten zich niet alleen op Oekraïne maar ook op andere landen. Ze verzamelen (kritieke) informatie over burgers en publieke instellingen. Een ander doel is informatie-infrastructuren te vernietigen. Een minstens zo belangrijke taak is destabilisering in landen. Het veroorzaken van paniek en wanorde horen daarbij. Ook wordt geprobeerd humanitaire rampen te veroorzaken waarbij burgerdoelen worden aangevallen. Maximale schade aan burgers is het doel.
Verder helpen hackers de politieke ambities van Moskou te realiseren. Dat gebeurt door tweedracht te zaaien, zowel intern als tussen Oekraïne en het Westen. Misinformatie wordt massaal verspreid, zowel via eigen, door Rusland gecontroleerde kanalen als daarbuiten. Soms lukt het hen informatiekanalen van tegenstanders over te nemen. Ze proberen op servers van media, communicatiekanalen en ook radiostations in te breken om valse boodschappen te verspreiden.’
Volgens Potii zijn zelfs Westerse nieuwskanalen niet veilig voor hen. De Russen proberen alles te hacken of het nu ziekenhuizen, coördinatiecentra voor hulpacties dan wel media zijn. Ze kennen geen enkele rem of beperking. De Russische hackgroep Killnet eiste onlangs de verantwoordelijkheid op voor het verstoren van de communicatie tussen organisaties die hulp bieden bij de aardbevingen in Turkije en Syrië. Geprobeerd werd de luchtbrug voor het vervoer van hulpgoederen te saboteren.
Cyberaanvallen op Oekraïne kunnen ook buiten dit land schade veroorzaken. ‘5.800 windturbines in Centraal-Europa konden niet meer op afstand worden bediend toen de Russen communicatieapparatuur aanvielen die het Oekraïense leger gebruikt.’ Al deze voorvallen bewijzen hoe urgent de noodzaak tot samenwerking in de cyberspace is, besluit Potii. Dit is in ieders belang.