Directeur van de Nationale Inlichtingendienst James Clapper noemt cyberaanvallen een topzorg voor de nationale veiligheid, maar deze Amerikaanse alarmsignalen klinken hypocriet na de gezamenlijke Amerikaans-Israëlische cybersabotage van de Iraanse nucleaire industrie, zoals de Nederlandse computerexpert Arjen Kamphuis uitlegt.
Door Arjen Kamphuis
Een paar jaar geleden ontwikkelden de Israëlische en Amerikaanse inlichtingendiensten een computervirus met een specifiek militair doel: het beschadigen van Iraanse nucleaire installaties. Stuxnet werd verspreid via USB-sticks en nestelde zich stilletjes op Windows-pc's. Van daaruit onderzocht het netwerken voor specifieke industriële centrifuges met behulp van SCADA-besturingsapparatuur van Siemens die op hoge snelheid ronddraaide om uranium-235 (het bommateriaal) te scheiden van uranium-238 (het niet-bommateriaal).
Iran heeft, net als veel andere landen, een nucleair programma voor energieopwekking en de productie van isotopen voor medische toepassingen. Deze laatste kopen de meeste landen in bij specialisten als Nederland, dat medische isotopen produceert in a speciale reactor. De westerse boycot van Iran maakt het voor Iran onmogelijk om isotopen op de open markt te kopen. Zelf maken is verre van ideaal, maar wel de enige optie die overblijft.
Cascade van gascentrifuges die worden gebruikt om verrijkt uranium te produceren. (Fotocredit: Amerikaanse ministerie van Energie)
Waarom de boycot? Officieel komt dit volgens de VS omdat Iran niet voldoende openheid zal geven over zijn wapenprogramma's, in het bijzonder de militaire toepassingen van zijn nucleaire programma. Deze zorg is vrij recent en is om de een of andere reden pas opnieuw geactiveerd na de Amerikaanse aanval op Irak in 2003 (een groot deel van de oorspronkelijke nucleaire uitrusting in Iran werd vóór de revolutie van 1979 door Amerikaanse en Duitse bedrijven geleverd met financiering van de Wereldbank ).
Het meest merkwaardige aspect van de beschuldigingen van het Westen over Iran is dat het nooit meer dan vage insinuaties zijn. Toen alle zestien Amerikaanse inlichtingendiensten in 16 een gezamenlijk onderzoek uitvoerden, was er een duidelijke conclusie: Iran ontwikkelt geen kernwapen. (Om een recente toespraak van de leider van dit onderzoek te zien, klikt u op hier.)
En dat is het vreemde. Want als de zestien Amerikaanse inlichtingendiensten en hun Israëlische collega's, de Mossad, het er allemaal over eens kunnen zijn dat Iran geen kernwapens maakt, hoe rechtvaardig je dan een aanval op de Iraanse civiele industriële infrastructuur via het Stuxnet-computervirus? En dit is het equivalent van een militaire aanval, zoals duidelijk zou zijn als je bedenkt wat er zou gebeuren als Iran betrokken zou raken bij een cyberaanval op westerse installaties in India. Borssele or Indiaas punt.
Stuxnet is ontworpen voor één enkel doel: het beschadigen van nucleaire verrijkingsinstallaties in Iran, een land dat deze activiteiten mogelijk net uitvoert in overeenstemming met de internationale overeenkomsten die zijn vastgelegd in de Non-proliferatieverdrag. Iran heeft, net als de meeste andere landen in de wereld, dit verdrag ondertekend. De landen buiten het NPV zijn Israël, India, Pakistan, Noord-Korea (dat zich terugtrok) en het nieuwe onafhankelijke Zuid-Soedan.
Onder het NPV is een civiele nucleaire industrie toegestaan, een detail dat soms voorkomt ontsnapt aan de aandacht van de redactie. Ik zeg niet dat de Iraanse regering gevuld is met lievelingen, maar Iran heeft de afgelopen 200 jaar niemand aangevallen, in tegenstelling tot sommige NAVO-landen.
Maar Stuxnet heeft een aantal dingen heel duidelijk gemaakt aan Iran en de rest van de niet-westerse wereld. Het maakt niet uit dat u zich aan vastgelegde afspraken en verdragen houdt. Het maakt niet uit dat je geen bedreiging voor het Westen bent. Het doet er niet toe dat de landen die u het meest beschuldigen van het schenden van de non-proliferatieovereenkomsten (bijvoorbeeld de VS en Israël) zelf flagrante overtreders zijn; De VS door plutonium aan Israël te leveren en Israël door het verdrag niet te ondertekenen in het geheim 100 tot 200 kernbommen vasthouden.
Er lijkt dus geen reden te zijn om je aan afspraken of verdragen te houden, want dat garandeert niet dat de partijen aan de andere kant hetzelfde zullen doen. Bovendien kan het een strategisch nadeel opleveren. En als u het nadeel ondervindt van dergelijk vermeend gedrag (geconfronteerd met boycots en dreigingen met bombardementen als je geen kernwapen bouwt), is het logisch dat je de voordelen ervan wilt hebben.
Het is bijna rationeel dat Iran een militair nucleair programma ontwikkelt. Noord-Korea lijkt er zeker mee weg te komen. Als bonus beschikt Noord-Korea nu over een paar kernwapens en dat is nog steeds de beste garantie dat de VS niet met ongevraagde pakketten ‘democratie’ zullen komen opdagen (hoewel een gebrek aan oliebronnen ook lijkt te helpen).
Op dezelfde manier heeft de invasie van Irak, in strijd met de internationale wetten tegen agressieve oorlogsvoering, aangetoond dat de VS opnieuw niet voldoen aan de normen die zij graag aan anderen proberen op te leggen. De aanval op Irak werd uitgevoerd op basis van leugens. Belangrijke Amerikaanse en Britse functionarissen wisten dat Saddam Hoessein geen massavernietigingswapens had.
Nu, met de Amerikaans-Israëlische cyberaanval op Iran, is het duidelijk dat niemand de normen die het offensieve gebruik van cyberoorlogvoering afkeuren, ook serieus neemt. De wereld en cyberspace worden een schiettent van het Wilde Westen.
En dat is precies wat je niet wilt in een wereld waar een handvol boze hackers uit China, Rusland, Iran, Irak of welk ander land dan ook anoniem en in het geheim je kritieke infrastructuur plat kunnen leggen. Westerse landen zijn door hun hoge mate van automatisering veel kwetsbaarder dan landen die net hun derdewereldstatus zijn ontgroeid.
Cyberwapens zijn relatief goedkoop en de ontwikkeling ervan is moeilijker op te sporen dan de constructie van raketten en vliegdekschepen. De beste verdediging tegen een cyberoorlog is het voorkomen van een wapenwedloop. Iedereen verliest in een cyberoorlog. Veiligheid in zo’n context ontstaat door moreel leiderschap (beginnend met: volg je eigen regels) en actief werken aan de-escalatie. En dat is precies wat de VS en Israël niet hebben gedaan.
Met dergelijk gedrag zijn we verzekerd van een voortdurende stroom nieuwe vijanden in landen die vooral met rust gelaten willen worden, maar zich wel bewapenen voor het geval het ‘vrije Westen’ in hun regio op de loer ligt. Als je in een glazen huis woont, is het verstandiger om geen stenen te gooien (en anderen niet te motiveren dit te doen).
Arjen Kamphuis is mede-oprichter en Chief Technology Officer van Gendo. Hij studeerde Wetenschap en Beleid aan de Universiteit Utrecht en werkte voor IBM en Twynstra Gudde als IT-architect, trainer en IT-strategieadviseur. Sinds eind 2001 adviseert Arjen klanten over de strategische impact van nieuwe technologische ontwikkelingen.
geweldig geschreven en zeer precies. dit geldt voor de westerse houding ten opzichte van andere landen. ze prediken alle goede dingen, maar ze volgen niet.