Hugo Vijver

In de Militaire Spectator stond een verhelderend en kritisch artikel over het Amerikaans militair concept van persistent engagement[1] voor opereren in het digitale domein van Louk Faesen en Deborah Lassche.[2] In het artikel geven zij een inhoudelijke uiteenzetting van het concept en presenteren voor- en nadelen ervan. Een welkome bijdrage over de Amerikaanse visie op militair optreden in het relatief nieuwe cyberdomein. Ook in dit militaire domein zijn de Verenigde Staten leidend, daarmee is het altijd interessant te analyseren wat de Amerikaanse visie is en welke implicaties er voor Nederland kunnen zijn. Er vallen enkele punten op het artikel aan te vullen en te verhelderen. Ten eerste zou het goed zijn om het beeld te nuanceren dat persistent engagement een agressief concept is waar een escalerende werking vanuit gaat. Ten tweede moet gewaakt blijven worden om het gebruik van offensieve cybermiddelen te simplificeren. Tot slot zijn kanttekeningen op hun plaats als het gaat om de wrijving die er zou zijn tussen de strategie van persistent engagement en het internationaal recht.

Persistent engagement en escalatie

De auteurs presenteren escalatie, of zelfs ‘ongecontroleerde escalatie’,[3] als nadeel van het concept van persistent engagement. Hoewel in het artikel dit nadeel wordt geattribueerd aan ‘tegenstanders’[4] van het concept, lijken de auteurs zelf ook iets te zien in deze kritiek. Zo spreken zij van ‘méér aanvallen’[5] door de VS en van een ‘wapenwedloop op het gebied van cybercapaciteiten’[6] als gevolg van de toepassing van persistent engagement. De ‘inzet van offensieve cybercapaciteiten[7] zou door de VS worden gestimuleerd. Al met al concluderen de auteurs dat de VS met deze strategie cyberconflicten aanmoedigen en ‘cyberagressie als een legitiem machtsinstrument in vredestijd’[8] presenteren.

 De kritiek is op zich begrijpelijk. Onder de noemer van persistent engagement gaat het Amerikaanse Cyber Command de tegenstander immers opzoeken én aanvallen, vaker, op een meer vasthoudende manier, in diens eigen omgeving en in een eerder stadium. Dat lijkt op het eerste gezicht de definitie van agressie op een presenteerblad. Maar welk doel heeft deze opstelling van het Cyber Command? De paragraaf Superiority through Persistence in de visie van persistent engagement legt het uit: door de aanvaller voortdurend op te jagen in zijn eigen netwerken, zonder hem de gelegenheid te geven op adem te komen en hem te dwingen zijn aandacht te verleggen naar zijn eigen verdediging, wil het Cyber Command de afwegingen van aanvallers beïnvloeden en uiteindelijk hun (geplande) aanvallen afschrikken. Vanuit Amerikaans perspectief richt de strategie van persistent engagement zich dus nadrukkelijk op de aanvallende partij – om die ertoe te bewegen de aanval te staken en/of niet te herhalen. Die afschrikkende functie is de kern van persistent engagement. En afschrikking dient conflictpreventie[9] en bestaat bij de gratie van offensieve capaciteiten, zoals proffesor Jakub Grygiel (onder meer  Stanford University en Johns Hopkins University) zo treffend uitlegt, omdat offensieve capaciteiten nu eenmaal de tegenstander enige mate van vernietiging in het vooruitzicht stellen.[10]

Hoe verleidelijk ook, het gebruik van offensieve capaciteiten kan niet zonder meer worden gelijkgesteld aan agressie of escalatie. In het bijzonder niet wanneer dit gebruik een reactie is op een aanval, en daarnaast een afschrikkende (dus juist conflictvermijdende en de-escalerende) intentie heeft. Jacquelyn Schneider, fellow bij het Hoover Institution en het Naval War College’s Cyber and Innovation Policy Institute, onderzoekt het verband tussen technologie, nationale veiligheid en politieke psychologie, met bijzondere aandacht voor cybervraagstukken. Zij concludeert dat het welhaast onmogelijk is om aannames over escalatie aan te tonen, en dat bestaand onderzoek zelfs suggereert dat cyberoperaties juist zelden voor escalatie zorgen.[11] Om een eventueel verband tussen de strategie van persistent engagement en escalatie te kunnen vaststellen is, kortom, meer onderzoek nodig.

Waak voor simplificatie

De auteurs presenteren het inzetten van offensieve cybermiddelen op een manier die een risico op simplificatie met zich meebrengt. Zo wordt gesteld dat het strategisch nut van de inzet van cybermiddelen het voorkomen van gewapend conflict is.[12] Deze beschouwing doet het ware strategische potentieel van cybermiddelen tekort. Het strategisch nut van offensieve cybermiddelen is niet het voorkomen van gewapend conflict. Zoals professor Amersfoort ons meegaf in zijn afscheidsrede: strategie gaat over de vraag hoe militair geweld te gebruiken om de politieke doelstellingen van een staat te realiseren.[13] Militair geweld (ook in of door het cyberdomein) an sich of het voorkomen ervan is geen politieke doelstelling, maar een middel om een politiek doel te (helpen) bereiken. Het strategisch nut van cybermiddelen is dus dat deze ingezet kunnen worden om strategische doelen te (helpen) bereiken, net zoals dat kan door middel van of in combinatie met klassieke militaire geweldsmiddelen, economische middelen of diplomatieke middelen.

Daarnaast stellen de auteurs dat ook andere landen dan de usual suspects (Rusland, China, Iran en Noord-Korea) zullen meedoen aan de eerdergenoemde cyberwapenwedloop, en ‘met relatief eenvoudige offensieve capaciteiten nog steeds veel schade [kunnen] veroorzaken in de VS’.[14] Ten eerste valt het te bezien welk land van deze categorie het überhaupt aandurft om de VS met cybermiddelen aan te vallen en ‘veel schade’ aan te richten, net zoals de meeste van deze staten ervoor terugdeinzen om met enig ander militair middel de VS ‘veel schade’ toe te brengen. Ten tweede is het maar de vraag hoe ‘relatief eenvoudig’ deze cyberwapens zijn. Om ‘veel schade’ te veroorzaken – het compromitteren, manipuleren of verwijderen van data met eventuele fysieke gevolgen – zijn vaak jarenlange, goed voorbereide operaties nodig in vijandelijke systemen, bestaande uit herhaalde fases van verkenning, ontwerp, camouflage, infiltratie en exfiltratie.[15] Om met James Lewis van het Center for Strategic and International Studies te spreken gaat het om ‘a high art of which only a few nations are capable’.[16] Een militaire cyberaanval is complex om dezelfde redenen dat elke militaire aanval complex is. Daarnaast kennen cyberwapens hun eigen, domeingebonden uitdagingen, zoals de houdbaarheid van het wapen en het soms op de specifieke tegenstander af te stemmen ontwerp van het wapen.[17]

In het verlengde hiervan zouden landen met mindere cybercapaciteiten dan de VS ook in staat zijn om potentiële agressors te straffen met cybermiddelen, zoals door ‘het tijdelijk platleggen van de kritieke infrastructuur’.[18] Het is moeilijk voor te stellen welke actie van een ander land een dergelijke tegenreactie, van bijvoorbeeld Nederland, zou kunnen rechtvaardigen, zonder reeds in een vergevorderd stadium van een conflict te verkeren. De kritieke infrastructuur, zoals de energie- of drinkwatervoorziening, is ‘zo essentieel voor de Nederlandse samenleving dat uitval of verstoring tot ernstige maatschappelijke ontwrichting leidt en een bedreiging vormt voor de nationale veiligheid’.[19] Dergelijke definities gelden ook in andere landen. Bij het geven van dit soort voorbeelden van het toepassen van offensieve cybermiddelen wordt vaak te lichtvaardig gedacht. Zo is volgens oud MIVD-directeur Pieter Cobelens door middel van cybermiddelen ‘heel Moskou zonder spanning zetten’[20] het juiste antwoord op Russische cyberacties tegen Nederland. Het vooruitzicht bij een dergelijk scenario, in de twaalf miljoen inwoners tellende hoofdstad van een nucleaire wereldmacht: metro’s en treinen die massaal stilvallen, verkeerslichten die uitvallen, ziekenhuizen zonder stroom, communicatie- en betalingsverkeer plat. Het is illustratief voor het gemak waarmee wordt gedacht over de inzet van offensieve cybermiddelen. Het ‘tijdelijk platleggen van de kritieke infrastructuur’ door enig ander middel dan een cybermiddel zou, niet alleen vanwege de catastrofale gevolgen, bijna onherroepelijk worden geïnterpreteerd als een regelrechte oorlogsdaad. Waarom dan zo lichtvaardig deze optie opperen in de digitale variant?

De combinatie van bovengenoemde punten stellingen gaat voorbij aan de complexe praktijk van militair optreden in het cyberdomein. Het risico daarvan is instandhouding en bevordering van een te versimpeld beeld van de inzet van offensieve cybermiddelen, wat op zijn beurt weer verkeerde verwachtingen wekt. Willen we militaire cybermiddelen als volwaardige militaire middelen gaan zien dan moeten we af van het idee dat deze middelen gemakkelijk in te zetten zijn, enkel en alleen omdat dat ver weg van achter een toetsenbord plaatsvindt.

 Internationaal recht

Het laatste punt van kritiek is dat de auteurs ervan lijken uit te gaan – of op zijn minst de suggestie wekken – dat de uitvoering van de strategie van persistent engagement per definitie in strijd is met het internationaal recht. Zo vragen de auteurs zich af hoe ver ‘inlichtingenondersteuning van de AIVD en MIVD aan Amerikaanse persistent engagement [kan] gaan zonder dat Nederland zijn diplomatieke positie en toewijding aan het internationaal recht in gevaar brengt’.[21] Dit is echter een moeilijke vraag; de Nederlandse inlichtingendiensten bieden geen ‘inlichtingenondersteuning’ aan de uitvoering van een hele strategie. Er wordt samengewerkt op specifieke onderzoeken die passen binnen de Nederlandse wettelijke kaders, wat voor strategie er ook achter het handelen van de buitenlandse partner schuil mag gaan. Met andere woorden, bij acties die passen binnen de uitvoering van de strategie van persistent engagement is het heel goed mogelijk dat de VS zich tot Nederlandse partnerdiensten zal richten om samen te werken, waarbij per geval bekeken zal moeten worden of die samenwerking juridisch en internationaalrechtelijk geoorloofd is. Wat de auteurs echter lijken te suggereren is dat het bestaan van de strategie van persistent engagement op zichzelf al reden genoeg is om de samenwerking met de VS nog eens tegen het licht te houden vanuit internationaalrechtelijk perspectief: ‘Nederland moet zich ten tweede buigen over de vraag in hoeverre het de Amerikanen wil steunen in hun keuze voor persistent engagement vanuit het perspectief van de internationale rechtsorde’.[22] Nederlandse inlichtingendiensten zijn wettelijk verplicht internationale samenwerking te onderwerpen aan een strenge (internationaalrechtelijke) juridische toets. Het bestaan van de Amerikaanse strategie van persistent engagement vormt op zichzelf dus geen aanleiding voor een dergelijke toets. De juridische legitimiteit van een gehele strategie in twijfel trekken is niet passend; het zijn de concrete handelingen die juridisch in de haak moeten zijn. Staten, legt het kabinet uit in een analyse van de toepassing van het internationaalrechtelijk kader in het cyberdomein, mogen ‘geen cyberoperaties uitvoeren die de soevereiniteit van een ander land schenden’, maar constateert daarbij dat in het cyberdomein ‘de precieze grenzen van wat wel mag en wat niet mag nog niet volledig zijn uitgekristalliseerd’.[23]

Toch spreken de auteurs de verwachting uit dat Nederland en andere landen Amerikaanse cyberacties vanuit de strategie van persistent engagement ‘waarschijnlijk [zullen] beschouwen als escalerend, indringend en onwenselijk (…) gevoed door een gebrek aan vertrouwen in de legitimiteit van Amerikaanse extraterritoriaal offensief optreden’.[24] Het wordt niet duidelijk waar dit gepercipieerde Nederlandse wantrouwen op gestoeld is, of bij wie dit wantrouwen precies leeft. Nederland heeft een ‘rijke’ historie aan militaire samenwerking met de VS, ook als het gaat om ‘extraterritoriaal offensief optreden’, passend binnen de internationaalrechtelijke kaders waar Nederland zo veel belang aan hecht. Dat het niet altijd goed gaat (Amerikaanse invasie van Irak in 2003 en de Nederlandse politieke steun hieraan) doet hier geen afbreuk aan.

Een parallel kan getrokken worden met de discussie over Amerikaanse zogenoemde targeted killings, waarmee critici doelen op het door de Amerikaanse strijdkrachten doden van terroristen of terrorismeverdachten, al dan niet door middel van bewapende drones. Terecht bestaat er veel discussie over de rechtmatigheid van deze acties en zijn er zorgen in Nederland over al dan niet bewuste medewerking van Nederlandse inlichtingendiensten aan deze praktijken door het delen van inlichtingen met Amerikaanse partnerdiensten. Zoals een minister van Buitenlandse Zaken aan de Tweede Kamer schreef, ‘wordt geconstateerd dat er een verschil van inzicht bestaat tussen de VS en veel andere landen, waaronder Nederland, over de toepasselijkheid van het oorlogsrecht’.[25] Toch verzekeren de minister van Buitenlandse Zaken en van Defensie naar aanleiding van aanvullende vragen van de Tweede Kamer: ‘Nederland werkt niet mee aan illegale targeted killings. (…) Als zou blijken dat een buitenlandse partner aantoonbaar illegale targeted killings uitvoert, waarvoor ook Nederlandse informatie wordt gebruikt, zal dit leiden tot het opnieuw beoordelen van de vraag of dergelijke inlichtingen met die partner worden gedeeld’.[26] Net als bij persistent engagement geldt hier: niet het concept wordt als strijdig met het internationaal recht beschouwd, maar – waar nodig – de uitvoeringspraktijk.

Kortom, het kan zo zijn dat Nederland bij militair optreden het internationaal recht niet altijd op dezelfde wijze interpreteert als de VS; dat wil echter niet zeggen dat Nederland automatisch in strijd handelt met dat internationale recht als het samenwerkt met de VS. De beoordeling of de samenwerking geoorloofd is binnen het internationaal recht wordt gemaakt op basis van de praktijk, niet van een strategie.

Conclusie

Het is begrijpelijk dat de strategie van persistent engagement vragen oproept. Helemaal gezien het contrast met het terughoudende beleid van president Obama, dat jarenlang meer gestoeld was op pogingen om tot internationale normen voor statelijk gedrag in het cyberdomein te komen, bijvoorbeeld in VN-verband.[27] Maar gezien de geopolitieke ontwikkelingen van de afgelopen jaren, waarin meer en meer staten het cyberdomein ontdekten én misbruikten om strategische doelen te bereiken, is het geen onlogische verschuiving naar een assertievere houding. Maar assertief is iets anders dan agressief en reageren is iets anders dan escaleren. En hoe de uitvoering van de strategie van persistent engagement zal uitpakken in relatie tot het internationaal recht moet de tijd uitwijzen. Nu al stellen dat de strategie escalerend werkt en in strijd lijkt met het internationaal recht is voorbarig. Tot slot moet constant worden gewaakt voor de context waarin we het gebruik van offensieve cybermiddelen plaatsen. Als het cyberdomein een volwaardig militair domein is moet het gebruik van offensieve cybermiddelen langs dezelfde lat worden gelegd als militaire middelen uit de andere domeinen.

 ----------------------------------------------------------------------

ANTWOORD OP MENINGEN VAN ANDEREN

Reactie op 'Persistent engagement. Escalatie, offensieve cybermiddelen en internationaal recht nader bezien'

Louk Faesen (HCSS) en Deborah Lassche (TNO)

We willen de heer Vijver bedanken voor zijn uitgebreide reactie op ons artikel.   Het houdt ons scherp en het is een welkome mogelijkheid om een aantal zaken te verhelderen en aan te vullen. Om het overzichtelijk te houden hanteren we in deze reactie dezelfde structuur als hij, namelijk (1) de aard van persistent engagement en escalatie; (2) de simplificatie van offensieve cyberoperaties; (3) persistent engagement en het internationaal recht.

Alvorens we inhoudelijk reageren is het belangrijk om te benadrukken dat wij gepoogd hebben in ons artikel zowel de beoogde positieve als negatieve effecten van persistent engagement te beschrijven. De stellingen aan beide zijden van de discussie werden scherp neergezet, maar de nuance en compleetheid van onze analyse wordt te kort gedaan als enkel de aandacht wordt gericht op de geschetste negatieve effecten en vervolgens geconcludeerd wordt dat wij persistent engagement gelijkstellen aan agressie of escalatie, of dat we stellen dat de strategie per definitie in strijd is met internationaal recht. Bij deze zetten we alle argumentatie in de context waarin deze bedoeld was en hopen we zo de argumenten uit het debat nog beter naar voren te brengen. 

De aard van persistent engagement

Vijver wijst erop dat persistent engagement defensief en reagerend bedoeld is in plaats van agressief. In ons artikel beschrijven we dat de Amerikanen persistent engagement inderdaad uitleggen als defensief en reagerend, maar leggen we ook de vinger op een zere plek: namelijk dat de Amerikanen voorbij lijken te gaan aan het feit dat anderen het als offensief kunnen interpreteren.

De eerste reden hiervoor is de verwarring die de VS veroorzaakt door hun eigen tegenstrijdige uitlatingen. Binnen het Pentagon wordt het als een defensieve strategie neergezet, maar tegelijkertijd beschreef John Bolton, voormalig Nationale Veiligheidsadviseur, het als ‘we’re going to see more aggressive offense from the U.S. side … like retaliation’.[28] Dit zorgt voor verwarring bij buitenstaanders over wat nu het karakter en doel van de strategie is.

Een tweede reden voor de mogelijkheid van verschillende interpretaties ligt in hoe de geschiedenis voorafgaand aan persistent engagement wordt beschreven. De VS hanteert de perceptie dat ze te passief zijn geweest in het cyberdomein, terwijl aanvallen tegen hen alleen maar toenamen. Zo beschrijft generaal Nakasone dat sinds 2013 het dreigingsbeeld is veranderd van spionage naar het verstoren van Amerikaanse netwerken en benoemt hij Iraanse operaties als voorbeeld waartegen persistent engagement wordt ingezet.[29] Maar er lijkt volgens Jason Healey een blinde vlek te zijn in het oog van de Amerikanen voor de correlatie tussen die toenemende Iraanse cyberagressie en de Amerikaanse cyberoperaties Stuxnet en Flame tegen Iran, die in 2011 en 2012 publiekelijk bekend zijn geworden, de onthullingen van Edward Snowden in 2013, die een tipje van de sluier oplichtte over de schaal van Amerikaanse cyberoperaties, of met de door tegenstanders veronderstelde rol van de VS in het digitaal aanslingeren van de Arabische lente in 2011.[30]   Daarom stelt Healey dat: ‘America’s adversaries probably feel quite confident that they are striking back, not first. Put in stark terms, it is hard, in particular, to blame Iran if it felt the need to respond in kind to the Stuxnet attack. Very close US allies, as well as adversaries, felt that US cyber operations, as revealed by Edward Snowden, showed a lack of restraint’.[31] 

Robert Jervis noemt dit het ‘Rashomon effect’, naar een beroemde Japanse korte film. De term beschrijft een situatie waarin tegenstanders niet goed met elkaar communiceren en elke actor de situatie anders beziet, in lijn met het eigen wereldbeeld en eigen voorkeuren.[32] Healey benadrukt dat het (te) makkelijk is om aan te nemen dat degene die een ander wereldbeeld hanteert te kwader trouw of vanuit vijandigheid zal handelen.[33] Deze dynamieken worden ook verder onderzocht in The Cybersecurity Dilemma van Ben Buchanan.

De toenemende cyberaanvallen kunnen dus ook worden uitgelegd als een reactie op eerdere acties van de Amerikanen. Het gaat er hier niet om wie gelijk heeft, maar dat men oog moet hebben voor het feit dat er verschillende percepties kunnen bestaan van dezelfde gebeurtenissen. Dit is iets wat de Amerikaanse persistent engagement-visie nu onvoldoende lijkt te doen.

Escalatie

Dit brengt ons bij het tweede punt dat ter discussie wordt gesteld: de escalerende dynamiek van cyberoperaties. Vijver haalt hierbij Jacquelyn Schneider aan, die concludeert dat ‘het welhaast onmogelijk is om aannames over escalatie aan te tonen, en dat bestaand onderzoek zelfs suggereert dat cyberoperaties juist zelden voor escalatie zorgen.’[34] Vijver heeft goed geproefd dat wij de waarschuwingen voor het risico van escalatie overtuigend vinden. Wij hebben echter niet gesteld dat persistent engagement in één-op-één verband staat met escalatie. De risico’s die kunnen bijdragen aan escalatie moeten alleen niet onderschat worden.

Wij willen hier graag twee redenen voor aandragen. De eerste gaat over het begrip ‘escalatie’. Het is correct om te concluderen dat cyberoperaties tot dusver nauwelijks tot nooit zijn geëscaleerd tot een gewapend conflict of een inzet van conventionele wapens, een uitzondering daargelaten.[35] Maar dit gaat wel uit van een eenzijdige interpretatie van het begrip ‘escalatie’, die zich limiteert tot een gewapend conflict. Bezien binnen het bredere domein van de diplomatie kunnen er meerdere uitlaatkleppen zijn voor escalatie. Daar geen oog voor hebben spreekt volgens ons van een beperkte blik op escalatiedynamieken binnen huidige internationale relaties in het cyberdomein. In de bestaande context van interstatelijk conflict – waarin staten steeds meer gebruik maken van cyber, hybride en non-militaire machtsmiddelen onder de drempel van conflict – kan een situatie ook op andere manieren escaleren dan tot een gewapend conflict. Denk aan de geïntensiveerde handelsoorlog tussen de VS en China waarin (economische) spionage (cyber-enabled IP theft), of de economische sancties van de VS tegen Rusland als gevolg van het hacken en beïnvloeden van de Amerikaanse verkiezingen in 2016.[36] Dat er geen conventionele wapens zijn gebruikt betekent niet dat het conflict niet verder verdiept is. Als we het allemaal eens zijn dat conflict heden ten dage hybride vormen heeft aangenomen van verschillende militaire en niet-militaire instrumenten van macht,[37] waarom houden we dan vast aan een puur militaire logica van escalatie? Het is niet ondenkbaar en juist heel passend in het huidige tijdsgewricht dat escalatie zich een weg zoekt naar andere terreinen dan het militaire.

De tweede reden is de veranderende omgeving waarin we ons bevinden en de escalatierisico’s die persistent engagement met zich meebrengt. De door Vijver aangehaalde Jacquelyn Schneider baseert zich onder andere op een onderzoek van Brandon Valeriano en Benjamin Jensen, die in de periode van 2000-2016 cyberoperaties hebben geanalyseerd.[38] Ze bevestigen dat deze tot dan zelden hebben geleid tot gewapend conflict, maar waarschuwen tegelijkertijd voor de toenemende escalatierisico’s van de nieuwe Amerikaanse koers: ‘We demonstrate that, while cyber operations to date have not been escalatory or particularly effective in achieving decisive outcomes, recent policy changes and strategy pronouncements by the Trump Administration increase the risk of escalation while doing nothing to make cyber operations more effective. These changes revolve around a dangerous myth: offense is an effective and easy way to stop rival states from hacking America. New policies for authorizing preemptive offensive cyber strategies risk crossing a threshold and changing the rules of the game. […] [These policy changes] risk exacerbating fear in other countries and creating a self-reinforcing spiral of tit-for-tat escalations that risk war even though each actor feels he is acting defensively—or, as it is called in the scholarly literature, a security dilemma’.[39]

De OVSE, net als de Nederlandse Internationale Cyber Strategie, stelt eveneens vast dat activiteiten in cyberspace veel ruimte voor ambiguïteit, speculatie en misverstanden creëren.[40] De zorg is dat miscalculaties en mispercepties tussen staten als gevolg van activiteiten in cyberspace kunnen escaleren, met ernstige gevolgen voor zowel de burgers als de economie en bestuurders, en de mogelijkheid tot toenemende politieke spanningen. De aanname dat cyberoperaties en persistent engagement niet escalerend zijn is voorbarig en doet de vele studies en projecten die hieraan zijn gewijd tekort. Analisten en onderzoekers hebben al op vele risico’s geduid die kunnen bijdragen aan escalatie en instabiliteit tussen staten onderling binnen het cyberdomein (hoog risico van onbedoelde gevolgen, mispercepties, miscalculaties, etc.) en voor cyberspace zelf (niet een afgebakend militair domein). Deze hebben we benoemd in ons artikel.[41] 

Ondanks al de inkt die al gevloeid is om de risico’s voor escalatie in cyberspace te benoemen, noemt het visiedocument van CYBERCOM – dat zich als ‘risk aware’ in plaats van ‘risk averse’ profileert – onder de sectie ‘risk mitigation’ slechts twee risico’s: het tekort aan middelen en staf om alle actoren te bestrijden en het diplomatieke risico dat vijanden ‘seek to portray our strategy as ‘militarizing’ the cyberspace domain’.[42] Het is tekenend dat het bij dit simpele risicoassessment blijft. Een onderliggende assumptie van de Amerikanen is dat de zij zowel ‘Amerikaanse superioriteit’ in het cyberdomein kunnen hebben als ‘stabiliteit’.[43] Maar dat gaat niet altijd samen: superioriteit roept vaak competitie op. Dit is de mogelijke positive feedback[44] waarover vaak gesproken wordt (zie onder meer Herbert Lin en Max Smeets) die nu niet onderkend wordt.[45] Robert Jervis zegt hierover: ‘A failure to anticipate positive feedback is one reason why consequences are often unintended’.[46]

Waak voor simplificatie

Vijver haalt aan dat het strategisch nut van cybermiddelen niet het voorkomen van gewapend conflict is, maar dat strategie een middel is om een politiek doel te helpen bereiken. Dat klopt, maar onze opmerking over het strategische nut van cyberoperaties werd in de context gebruikt van beoogde positieve effecten op basis van Fischerkeller en Harknett. Zij stellen dat gewapend conflict niemand een voordeel oplevert en in deze context kunnen cybermiddelen een strategisch nut vervullen – ze worden namelijk onder de drempel van gewapend conflict ingezet om doelen te bereiken. Strategisch nut is in deze context dus iets anders dan je algehele strategie.

Daarnaast heeft Vijver gelijk als hij zegt dat cyberoperaties niet eenvoudig zijn. De voorbereiding en uitvoering kost vaak veel tijd en mankracht. Onze opmerking dat landen ‘met relatief eenvoudige capaciteiten nog steeds veel schade kunnen veroorzaken in de VS’ suggereert niet dat we van mening zijn dat alle offensieve cyberoperaties per definitie makkelijk zijn, maar werd gemaakt in de context van het zogezegde ‘asymmetrische deterrence voordeel’.[47] Dit houdt in dat landen met een relatief kleiner raakoppervlak een betere verdedigingspositie hebben ten opzichte van grotere landen.

Het gaat hier dus om deterrence, wat onder andere berust op geloofwaardige dreigingen.[48] Als we de endgame van deterrence platslaan, komt het neer op: ‘Wie kan wat doen tegen wie?’ Hoewel het veel voorbereiding en mankracht kost, gaat het in essentie om het simpele gegeven dat de ‘next 30 cyber-countries’[49] de capabilities hebben om disruptieve en schadelijke effecten uit te voeren tegen grotere landen zoals de VS en Rusland, met name door hun slechte verdediging. Daarmee hebben die ‘next 30’ nu een deterrence by punishment-capaciteit in handen (ook vis-a-vis de zogezegde cybergrootmachten) die voorheen voor velen niet ter beschikking was. De impact hiervan op de deterrence posture van zo’n klein-tot-middelgroot next-30-land vergt meer onderzoek volgens ons. Overigens betekent iets kunnen doen uiteraard niet dat je het ook daadwerkelijk doet. Maar in het spel van afschrikking gaat het vooral om welke kaarten je hebt en welke kaarten je tegenstander heeft.

Dit lijkt theoretisch, maar landen zoals Iran en Noord-Korea zijn in het verleden al kritieke infrastructuur van de VS en Israël binnengedrongen en hebben deze tijdelijk verstoord (wat overigens niet hetzelfde is als die infrastructuur vernietigen).[50] Dit is niet zozeer te wijten aan hun enorm hoogtechnologische offensieve arsenaal, maar is vooral een reflectie van de slechte staat van de Amerikaanse cybersecurity. In evaluaties van de cyberweerbaarheid van de Amerikaanse federale overheid en Defensie door de Government Accountability Office wordt zelfs het volgende gemeld: ‘From 2012–2017, DOD testers routinely found mission-critical cyber vulnerabilities in nearly all weapon systems that were under development. Using relatively simple tools and techniques, tests were able to take control of these systems and largely operate undetected’.[51] 

De VS benoemt zelf ook dat ‘tweederangs vijanden’ zoals Rusland en China in staat zijn disruptieve aanvallen uit te voeren tegen Amerikaanse kritieke infrastructuur zonder dat daarvoor geavanceerde cybermiddelen nodig zijn.[52] De Verenigde Staten zijn dé cybergrootmacht met een vergevorderd offensief arsenaal, maar zijn tegelijkertijd ook kwetsbaar voor de minimum deterrence van de next-30 landen.[53] We wilden daarom in ons artikel wijzen op een interessante kwetsbaarheid van persistent engagement: de grote kwetsbaarheid van de Amerikanen in een meer offensieve omgeving die mede door persistent engagement wordt gerealiseerd.

Internationaal recht

Het laatste punt van kritiek is dat we de suggestie wekken dat Amerikaans persistent engagement per definitie in strijd is met het internationaal recht en dat dit reden genoeg is om Nederlandse ondersteuning aan de VS opnieuw tegen het licht te houden. Onze vraag, hoe ver Nederlandse inlichtingenondersteuning aan Amerikaanse persistent engagement kan gaan zonder dat dit de Nederlandse diplomatieke positie en toewijding aan het internationaal recht in gevaar brengt, werd direct opgevolgd met de vraag ‘of wordt persistent engagement wel bevorderend geacht voor de internationale rechtsorde?’. Dit waren geen retorische, maar oprechte vragen die in het afwegingskader van de Nederlandse handelingsperspectieven meegenomen kunnen worden. Laat ons vooropstellen dat we niet van mening zijn dat, zoals Vijver concludeert, Nederland per definitie niet zou moeten samenwerken met de VS in de huidige context van persistent engagement. Dat was niet de bedoeling van ons artikel. We wilden slechts vanuit het standpunt van internationale normen en recht enkele kritische vraagtekens zetten bij de Amerikaanse acties die plaatsvinden onder deze strategie en die niet altijd lijken bij te dragen aan de westerse langetermijninteresses en beleid op dit vlak. We zullen dit standpunt verder toelichten aan de hand van de CYBERCOM-operatie tegen de Internet Research Agency en een uiteenzetting van hoe de Amerikaanse interpretatie van soevereiniteit in cyberspace verschilt van de Nederlandse.

Allereerst heeft Vijver gelijk dat Nederland geen inlichtingenondersteuning geeft aan een hele strategie, maar aan specifieke Amerikaanse acties en operaties die plaatsvinden onder de strategie. Laten we ons dus focussen op een specifieke actie, namelijk het voorbeeld in ons artikel waarbij CYBERCOM het Internet Research Agency, een Russische trollenfabriek, tijdelijk offline haalde om een desinformatiecampagne tijdens de Amerikaanse midterm-verkiezingen te voorkomen.[54] 

Omdat CYBERCOM openlijk communiceerde over deze kinetisch-equivalente operatie, schiep het een precedent waarbij het blijkbaar aanvaardbaar wordt om fake news te hacken. Het beschouwt desinformatie, wat niet geheel of expliciet is verboden onder internationaal recht, daarmee op hetzelfde niveau als een kinetisch-equivalente operatie. Daarmee benadert het informatie op een soortgelijke manier als de Russen: als een potentieel wapen. Als het acceptabel wordt om desinformatieactoren te hacken, dan kunnen Rusland en China op hun beurt een soortgelijke aanval uitvoeren tegen organisaties die zij onder deze term scharen: ‘Moscow may consider U.S. support for Russian civil society as ‘information and psychological actions aimed at undermining the homeland’. Similarly, Beijing may consider Chinese translations of U.S. newspapers provocative. The new U.S. doctrine and its countermeasures may, therefore, encourage disputes about ‘bad content’ and lead to the very thing it was intended to alleviate: the weaponization of information’.[55]

Dan over naar soevereiniteit binnen cyberspace. Vijver trekt in twijfel dat landen zoals Nederland persistent engagement als indringend, onwenselijk of escalerend kunnen ervaren. Hij stelt dat Nederland en de VS een rijk samenwerkingsverleden hebben als het gaat om extraterritoriaal offensief optreden binnen de internationaalrechtelijke kaders. Bij dat laatste trekt hij een parallel met de Amerikaanse targeted killings die ondersteund worden door Nederland. We zijn het grotendeels eens met de conclusies die worden getrokken uit deze parallel, maar zetten vraagtekens bij het aanhalen van juist dit voorbeeld. Deze parallel gaat namelijk over Nederlandse inlichtingenondersteuning aan de VS voor targeted killings in conflictgebieden, terwijl wij het hebben over Amerikaanse acties op onze eigen bodem en die van neutrale partners. Jason Healey beschrijft dit met een praktisch voorbeeld: ‘As an example, if the Russians hopped from a system in Belarus to a corporate network in the Netherlands, US Cyber Command need not check with the State Department (much less the Dutch themselves) before following them in. Any violation of Dutch sovereignty or security would be the Russian’s doing, not those of the pursing US forces. As the US Cyber Command deputy commander has put it, ‘I want to find him wherever he is, and I want to disrupt him whether that’s in grey space … or back at [their] home’. The general suggests the potential need to redefine sovereignty in a digital age so this kind of US operation can happen at network speed within that grey space: ‘If this domain is global, tell me where the boundaries’ of my adversaries are’.[56]

Dit introduceert operationele en juridische gevolgen. De mogelijk operationele gevolgen hebben we in ons artikel beschreven, zoals het verstoren van een Nederlandse inlichtingenoperatie met hetzelfde doelwit.[57] Daarom suggereren we dat dit deconflictie en heldere communicatie vergt en halen we een voorgestelde oplossing van Max Smeets aan: het opstellen van memoranda van overeenstemming voor offensieve cyberoperaties die worden uitgevoerd in de netwerken en systemen van bondgenoten.[58] De juridische dimensie over het al dan niet schenden van de soevereiniteit brengt ons bij onze laatste aanvulling.

Soevereiniteit is, net als escalatie, een onderwerp waar al door menig expert over geschreven is. Vijver refereert aan de kabinetspositie op soevereiniteit in het cyberdomein, die stelt dat staten ‘geen cyberoperaties uitvoeren die de soevereiniteit van een ander land schenden’ maar constateert daarbij dat in het cyberdomein ‘de precieze grenzen van wat wel mag en wat niet mag nog niet volledig zijn uitgekristalliseerd’.[59] Als we de kabinetspositie vergelijken met die van de VS, zien we dat deze van elkaar afwijken, waardoor er mogelijk spanning ontstaat over het extraterritoriaal optreden van de VS binnen Nederland.

Er vindt momenteel een debat plaats of soevereiniteit een afdwingbare regel of enkel een principe van internationaal recht is. Nederland schaart zich, net zoals Duitsland, Frankrijk, Oostenrijk en Tsjechië, achter de interpretatie van soevereiniteit als regel, zij het in verschillende mate over wat voor soort activiteit een schending van de regel zou vormen.[60] De VS is echter van mening dat soevereiniteit geen regel maar een principe van internationaal recht is en geen autonome en afzonderlijke wettelijke verplichtingen schept, maar wordt beschermd door andere gevestigde regels van internationaal recht, zoals het verbod op het gebruik van geweld en non-interventie. Dit werd ook nader toegelicht door Paul Ney, General Counsel van het Amerikaanse ministerie van Defensie, die stelt dat: ‘For cyber operations that would not constitute a prohibited intervention or use-of-force, the Department believes there is not sufficiently widespread and consistent State practice resulting from a sense of legal obligation to conclude that customary international law generally prohibits such non-consensual cyber operations in another State’s territory’.[61]

Tevens betekent dit niet dat de VS geen rekening houdt met het principe van soevereiniteit, wat Ney beschrijft als ‘States have sovereignty over the information and communications technology infrastructure within their territory’.[62]

Zoals Vijver terecht observeert zal de uitvoering van de strategie van persistent engagement in relatie tot het internationaal recht met de tijd worden uitgewezen. Statenpraktijk en rechtsinterpretatie (zoals die van het Nederlandse kabinet en Ney) dragen bij aan het uitkristalliseren van de specifieke toepassing van internationaal recht in cyberspace, zoals gesteld door Michael Schmitt en Liis Vihul: ‘Practice and opinio juris will inform the contours of the rule as applied in the cyber context’.[63] Hoewel het nog te vroeg is om een oordeel te vellen over de rechtmatigheid van haar uitvoering, moeten we ons bewust zijn van de precedenten die worden geschapen en de verschillende interpretaties van het internationaal recht. Bij die laatste legt het extraterritoriaal optreden van de VS in Nederland onenigheid over soevereiniteit als regel of principe bloot, mits er geen afspraken worden gemaakt over welke Amerikaanse operatie al dan niet wenselijk is op Nederlandse bodem.

Conclusie

Samenvattend hebben we gereageerd op de drie punten die Vijver heeft ingebracht: (1) de aard van persistent engagement en escalatie, (2) simplificatie van cyberoperaties en (3) internationaal recht. Ten eerste hebben we aangegeven dat het vooral problematisch is dat de Amerikanen niet erkennen dat verschillende te onderbouwen percepties op het defensieve en offensieve karakter kunnen bestaan (het Rashomon-effect). Dit wordt beïnvloed door zowel de verwarrende communicatie vanuit de Amerikaanse overheid zelf, als door waar men het beginpunt van het achterliggend narratief legt. Ten tweede hebben we voor wat betreft escalatie beargumenteerd dat escalatie zich niet altijd hoeft te uiten als een gewapende aanval, maar zich ook op andere manieren en terreinen kan uiten. Ook hebben we uiteengezet dat er verschillende risico’s zijn die kunnen bijdragen aan escalatie in cyberspace (hoog risico van onbedoelde gevolgen, mispercepties, miscalculaties, etc.) en voor cyberspace zelf, maar dat het zorgelijk is dat het visiedocument van CYBERCOM deze niet erkent. Verder hebben we gesteld dat cyberoperaties inderdaad vaak niet makkelijk zijn, maar dat deterrence gaat om ‘Wie wat kan doen tegen wie?’ De Verenigde Staten zijn dé cybergrootmacht met een vergevorderd offensief arsenaal, maar zijn tegelijkertijd ook enorm kwetsbaar voor de minimum deterrence van de next de next-30 landen, die nu een punishment capaciteit hebben die voorheen voor velen niet ter beschikking was. Ten derde zijn we het eens dat persistent engagement inderdaad niet automatisch in strijd is met het internationaal recht, maar dat men oog moet hebben voor het feit dat de VS onder het mom van persistent engagement precedenten kan scheppen die afbreuk kunnen doen aan de westerse like-minded visie en beleid. Door openlijk met een kinetisch-equivalente operatie te reageren op een desinformatiecampagne, kan CYBERCOM een aanzet voor een norm zetten waarbij het acceptabel wordt om fake news te hacken en draagt het bij aan de weaponization of information. Tot slot tonen we hoe de verschillende Amerikaanse en Nederlandse interpretatie op de soevereiniteit van staten in cyberspace voor spanning kan zorgen voor het extraterritoriaal optreden van de VS op Nederlandse bodem.

 

[1] Het document Achieve and Maintain Cyberspace Superiority. Command Vision for US Cyber Command is te raadplegen op https://www.cybercom.mil/About/Mission-and-Vision/. Hoewel het formeel om een visie gaat, en geen strategie, worden voor het leesgemak hier verschillende termen gebruikt om naar het document te verwijzen.

[2] L.L.C. Faesen en D. Lassche, ‘Persistent engagement in het cyberdomein: stabilisatie of escalatie?’, in: Militaire Spectator 189 (2020) (12) 636-647.

[3] Faesen en Lassche, 640.

[4] Idem, 639.

[5] Idem, 642.

[6] Ibidem.

[7] Idem, 644.

[8] Idem, 644-645.

[9] Zie de website van de NAVO: http://www.nato.int/docu/Review/2016/Also-in-2016/nato-deterrence-defence-alliance/EN/index.htm.

[10] Jakub Grygiel, ‘Arming Our Allies: The Case for Offensive Capabilities’, in: Parameters, Vol. 45, No. 3 (2015) 39-40.

[11] Jacquelyn Schneider ‘Persistent Engagement: Foundation, Evolution and Evaluation of a Strategy’, in: Lawfare (10 mei 2019) https://www.lawfareblog.com/persistent-engagement-foundation-evolution-and-evaluation-strategy.

[12] Faesen en Lassche, 640

[13] Herman Amersfoort, Nederland, de weg kwijt. Over de teloorgang van de militaire strategie en de noodzaak van geschiedenis, afscheidsrede 10 maart 2016, te raadplegen op https://www.militairespectator.nl/thema/strategie-geschiedenis/artikel/nederland-de-weg-kwijt

[14] Faesen en Lassche, 642

[15] Zie hierover bijvoorbeeld Paul Ducheine en Jelle van Haaster (2014), Fighting Power, Targeting and Cyber Operations, in: P. Brangetto, M. Maybaum, J. Stinissen (Eds.), '2014 6th International Conference on Cyber Conflict', Tallinn: NATO CCD COE Publications

[16] James A. Lewis (2015), The Role of Offensive Cyber Operations in NATO’s Collective Defence, Tallinn Paper No. 8, 2015, NATO Cooperative Cyber Defence Centre of Excellence

[17] Zie hierover bijvoorbeeld Christopher A. Bartos (2016), ‘Cyber Weapons are not Created Equal’, in: U.S. Naval Institute Proceedings 142:6/1 (2016) 30-33.

[18] Faesen en Lassche, 647.

[19] Zie: https://www.nctv.nl/onderwerpen/vitale-infrastructuur.

[20] ‘Het cyberleger kan en mag nog weinig’, in: NRC Handelsblad, 18 december 2018.

[21] Faesen en Lassche, 647.

[22] Ibidem.

[23] Brief van de minister van Buitenlandse Zaken van 5 juli 2019 over het internationaal recht in het digitale domein, te raadplegen op: https://www.tweedekamer.nl/kamerstukken/detail?id=2019Z14717&did=2019D30100.

[24] Faesen en Lassche, 646.

[25] Toenmalig minister van Buitenlandse Zaken Frans Timmermans in een brief aan de Tweede Kamer, zie Vergaderjaar 2012-2013, Aanhangsel van de Handelingen, 843, 19 december 2012.

[26] Brief van toenmalig minister van Defensie Jeanine Hennis-Plasschaert, zie Aanhangsel van de Handelingen, Vergaderjaar 2013–2014, ontvangen 10 april 2014, kenmerk 20132014-1710.

[27] Jacquelyn Schneider, ‘Persistent Engagement’.

[28] ‘Transcript: White House Press briefing on national cyber strategy’. (Washington, 20 september 2018). Zie: https://news.grabien.com/making-transcript-white-house-press-briefing-national-cyber-strateg.

[29] Paul M. Nakasone, 'A Cyber Force for Persistent Operations', in: Joint Force Quarterly (Issue 92, Q1, 2019). Zie: https://ufdc.ufl.edu/AA00061587/00092.

 [30] Jason Healey, ‘The implications of persistent (and permanent) engagement in

cyberspace’, in: Journal of Cybersecurity (Vol. 5, No 1., 2019). Zie: https://academic.oup.com/cybersecurity/article/5/1/tyz008/5554878.

[31] Ibid., 9.

[32] Robert Jervis, How Statesmen Think: The Psychology of International Politics (Princeton, Princeton University Press, 2017) 6.

[33] Healey, ‘The implications of persistent (and permanent) engagement in cyberspace’, 9.

[34] Hugo Vijver, ‘Persistent engagement: escalatie, offensieve cybermiddelen en internationaal recht nader bezien’, in: Militaire Spectator 190 (2021) (2) 122.

[35] Als uitzondering hierop kan wel de Israëlische bombardering van het cyberhoofdkwartier van Hamas worden genoemd, wat gezien wordt als een directe reactie op een eerdere cyberaanval van Hamas (hoewel deze aanval ook in de context van een langer durend en breder gewapend conflict moet worden gezien). Zie voor meer informatie bijvoorbeeld: https://cyberlaw.ccdcoe.org/wiki/Israeli_attack_against_Hamas_cyber_headquarters_in_Gaza_(2019). 

[36] Louk Faesen, Bianca Torossian, Elliot Mayhew en Carlo Zensus, ‘Conflict in Cyberspace – parsing the threats and the state of international order in cyberspace’, in: HCSS Strategische Monitor, 2019-2020. Zie: https://www.hcss.nl/pub/2019/strategic-monitor-2019-2020/conflict-in-cyberspace/.

[37] DIME of DIMEFIL.

[38] Brandon Valeriano en Benjamin Jensen, ‘The Myth of the Cyber Offense – the Case for Restraint’, in : Policy Analysis, No. 862, 15 januari 2019. Zie : https://www.cato.org/publications/policy-analysis/myth-cyber-offense-case-restraint.

[39] Valeriano en Jensen, ‘The Myth of the Cyber Offense’, 1, 7.

[40] Organisatie voor Veiligheid en Samenwerking in Europa, ‘OSCE participating States, in landmark decision, agree to expand list of measures to reduce risk of tensions arising from cyber activities’, 10 maart 2016, zie: https://www.osce.org/cio/226656; Brief van de minister van Buitenlandse Zaken, ‘Building Digital Bridges. International Cyber Strategy: Towards and integrated international cyber policy’, 12 februari 2017, zie: https://www.government.nl/documents/parliamentary-documents/2017/02/12/international-cyber-strategy. Op pagina 12: ‘In cyberspace we appear to be witnessing a growth in distrust and a danger of escalation and miscalculation. Defensive measures taken by one state can be interpreted by other states as a threat’.

[41] Faesen en Lassche, ‘Persistent engagement in het cyberdomein’, 641.

[42] US CYBERCOMMAND, Achieve and Maintain Cyberspace Superiority. Command Vision for US Cyber Command (Washington, D.C, april 2018). Zie: https://www.cybercom.mil/Portals/56/Documents/USCYBERCOM%20Vision%20April%202018.pdf.

[43] Zie bijvoorbeeld Healey, ‘The implications of persistent (and permanent) engagement in cyberspace’, 9:

‘Many assumptions, apparently unrecognized, underlie the belief that the USA can have both superiority and overmatch as well as stability. Yet, in a system as complex as the Internet, ‘we can never merely do one thing’’.

[44] In de woorden van Healey: ‘the chain of causation [containing] several feedback loops which interact to amplify (…) conflict’. Zie: ‘The implications of persistent (and permanent) engagement in cyberspace’, 7.

[45] Herbert Lin en Max Smeets, ‘What is absent from the U.S. cyber command ‘vision’’ in: Lawfare (3 mei 2018). Zie: https://www.lawfareblog.com/what-absent-uscyber-command-vision

[46] Robert Jervis, System Effects: Complexity in Political and Social Life (Princeton, Princeton University Press, 1998) 165.

[47] Alexander Klimburg, ‘Mixed Signals: A Flawed Approach to Cyber Deterrence’, in: Survival (Vol 62., No. 1, 2020) 9.

[48] Thomas Schelling stelde dat effectieve deterrence afhangt van ietwat geloofwaardige dreigingen die gekoppeld moeten worden met beloftes (Austin Long, ‘Department of Defense as Ministry of Fear: The Theory of Deterrence’, in: Deterrence – From Cold War to Long War, RAND Corporation, 10). Zie ook de vier deterrence mechanismes van Nye die we in ons artikel schetsen: entanglement, norms, denial en punishment (Faesen en Lassche, ‘Persistent Engagement in het Cyberdomein’, 639).

[49] Met de next 30 cyber countries worden de 30 landen bedoeld waarvan in een studie uit 2016 van het Center for Strategic and International Studies (CSIS) werd geschat dat ze actief offensieve cyber capabilities aan het nastreven waren. Zie: Klimburg, ‘Mixed Signals’, 114.

[50] ‘Israel aghast at Iran cyberattack on civilian water infrastructure – TV report’, in: The Times of Israel, 9 mei 2020. Zie: https://www.timesofisrael.com/israel-aghast-at-iran-cyberattack-on-civilian-water-infrastructure-tv-report/;  ‘South Korea blames North Korea for December hack on nuclear operator’, Reuters, 17 maart 2015, zie: https://www.reuters.com/article/us-nuclear-southkorea-northkorea-idUSKBN0MD0GR20150317.

[51] United States Government Accountability Office, ‘Weapons Systems Cybersecurity: DOD Just Beginning to Grapple with Scale of Vulnerabilities’ (oktober 2018) 11, zie: https://www.gao.gov/assets/700/694913.pdf.

[52] Department of Defense – Defense Science Board, ‘Task Force on Cyber Deterrence’, (februari 2017). Zie: https://www.armed-services.senate.gov/imo/media/doc/DSB%20CD%20Report%202017-02-27-17_v18_Final-Cleared%20Security%20Review.pdf.

[53] Alexander Klimburg introduceert het idee dat we sommige strategische cybercapaciteiten op een soortgelijke manier kunnen beschouwen als de ‘minimum deterrence postures’ van kleinere nucleaire machten. Het is onwaarschijnlijk dat deze minimale cyberdeterrence capaciteiten in staat zijn de kritieke infrastructuur van vijanden volledig te vernietigen. Maar een verstoring van die systemen is plausibel. Hoe relatief eenvoudig het is om kritieke infrastructuur te verstoren is keer op keer aangetoond, ook in Nederland: de hack bij DigiNotar in 2011 bijvoorbeeld betekende een direct risico voor sommige kritieke infrastructuur. Andere voorbeelden van verstorende aanvallen op kritieke infrastructuur zijn de vermeende aanvallen van Iran op Israëlische drinkwatervoorzieningen en Noord-Korea’s voortdurende verkenningen van Zuid-Korea’s kerncentrales.

[54] Ellen Nakashima, ‘U.S. Cyber Command operation disrupted Internet access of Russian troll factory on day of 2018 midterms’, in: The Washington Post, 27 februari 2019. Zie: https://www.washingtonpost.com/world/national-security/us-cyber-command-operation-disrupted-internet-access-of-russian-troll-factory-on-day-of-2018-midterms/2019/02/26/1827fc9e-36d6-11e9-af5b-b51b7ff322e9_story.html.

[55] Louk Faesen, Tim Sweijs, Alexander Klimburg, Conor MacNamara en Michael Mazarr, ‘From Blurred Lines to Red Lines – How Countermeasures and Norms Shape Hybrid Conflict’ (september 2020) 74. Zie: https://hcss.nl/sites/default/files/files/reports/From%20Blurred%20Lines%20to%20Red%20Lines_0.pdf.

[56] Jason Healey, ‘The implications of persistent (and permanent) engagement in cyberspace’, 6. Zie: https://academic.oup.com/cybersecurity/article/5/1/tyz008/5554878.

[57] Faesen en Lassche, ‘Persistent engagement in het Cyberdomein’, 646-647.

[58] Smeets, ‘US cyber strategy of Persistent Engagement & defend forward’, 444-453; Healey en Caudill, ‘Success of Persistent Engagement in Cyberspace’, 9-15.

[59] Ministerie van Buitenlandse Zaken, ‘Internationale rechtsorde in het digitale domein’, 5 juli 2019, zie: https://www.tweedekamer.nl/kamerstukken/detail?id=2019Z14717&did=2019D30100.

[60] Przemyslaw Roguski, ‘The Importance of New Statements on Sovereignty in Cyberspace by Austria, the Czech Republic and United States’, in: Just Security (11 mei 2020). Zie: https://www.justsecurity.org/70108/the-importance-of-new-statements-on-sovereignty-in-cyberspace-by-austria-the-czech-republic-and-united-states/. Zie ook Michael Schmitt, ‘The Defense Department’s Measured Take on International Law in Cyberspace’, in: Just Security, 11 maart 2020. Zie: https://www.justsecurity.org/69119/the-defense-departments-measured-take-on-international-law-in-cyberspace/.

[61] US Department of Defense, ‘DOD General Counsel Remarks at U.S. Cyber Command Legal Conference’ (2 maart 2020). Zie: https://www.defense.gov/Newsroom/Speeches/Speech/Article/2099378/dod-general-counsel-remarks-at-us-cyber-command-legal-conference/.

[62] Ibidem.

[63] Michael Schmitt en Liis Vihul, ‘Respect for Sovereignty in Cyberspace’, zie: https://core.ac.uk/download/pdf/151188665.pdf.