De derde deelvraag van dit onderzoek luidt als volgt:
- Welke ambitie is door de Nederlandse regering beoogt wat betreft het
optreden van de krijgsmacht in het digitale domein?
In Nederland heeft de regering, in navolging van internationale partners, meer aandacht gekregen voor de verankering van digitale veiligheid in het algemene veiligheidsbeleid van het Koninkrijk. Na publicatie van veiligheidsstrategieën gericht op de nationale131 en internationale arena132 hebben sinds 2011 verschillende organen van de overheid zichzelf duidelijk
gepositioneerd in het digitale domein.
Om antwoord te geven op de bovenstaande deelvraag en een compleet beeld te scheppen van de overheidsambitie wat betreft het optreden van de krijgsmacht in het digitale domein moet ik twee vragen beantwoorden. Allereerst: hoe is het beleid aangaande het optreden van de krijgsmacht in het digitale domein tot stand gekomen? Daarnaast moet ik een antwoord geven op de vraag: welke ambitie wat betreft het optreden van de krijgsmacht in het digitale domein is beoogd in het beleid van het ministerie van Defensie?
De beantwoording van deze twee vragen stelt me in staat een antwoord te geven op de derde deelvraag van dit onderzoek.
O
NTWIKKELING VAN OVERHEIDSBELEIDHet samenstellen van een strategie voor Defensie gericht op het optreden in het digitale domein is een politieke aangelegenheid. Nadat met de motie Knops c.s. het verzoek aan de regering is gedaan om tot een cyberstrategie te komen133, informeert de regering in februari 2011 de kamer per brief over een nieuwe integrale aanpak ten behoeve van ‘de veiligheid van een open en vrije digitale samenleving’: de Nationale Cyber Security Strategie (NCSS).134 In de NCSS wordt in het bijzonder aandacht besteed aan de mogelijkheid van de Nederlandse overheid om capaciteiten in te richten om adequaat te kunnen reageren op verstoringen en aanvallen op de ICT-
infrastructuur. Defensie speelt hierin een belangrijke rol; de organisatie stelt zich als doel kennis en capaciteiten op het vlak van digitale veiligheid te ontwikkelen.135
Bij de bespreking van het document in de volksvertegenwoordiging is naar voren gekomen dat de NCSS een aantal vragen onbeantwoord laat. Vooral aan het onderscheid tussen verschillende dreigingen is in het document weinig specificering gegeven –digitale criminaliteit is immers van een andere orde dan bijvoorbeeld een cyberaanval.136 Deze observatie wordt op dat moment gedeeld door academici.137 De verdeling van verantwoordelijkheden is in de NCSS slechts in
131 Kamerstukken II, 2006/07, 30 821, nr. 3, B1, Strategie Nationale Veiligheid (SNV) 132 Kamerstukken II, 2012/13, 33 694, nr. 1, B1, Internationale Veiligheidsstrategie (IVS) 133 Kamerstukken II, 2009/10, 32 123 X, nr. 66.
134 Kamerstukken II, 2010/11, 26 643, nr. 174, B1, Nationale Cybersecurity Strategie (NCSS) 135 Ibid, p. 8.
136 Kamerstukken II, 2010/11, 26 684, nr. 323, p.13.
31 grote lijnen geschetst, laat staan dat er een woord gerept wordt over mogelijk offensief gebruik van capaciteiten in het digitale domein.
In december 2011 en in juli 2012 verstuurt de regering een voortgangsrapportage over de NCSS en aanverwante zaken naar de kamer. 138 Over de inspanningen van Defensie verwijst de brief naar een nieuw, eigen beleidsdocument voor dat ministerie; de Defensie Cyber Strategie (DCS) en de oprichting van een aantal organen ten behoeve van de opbouw van capaciteit binnen het ministerie.139 In de behandeling van de voortgangsrapportage in de kamer wordt hierop echter niet ingegaan; de aandacht van de parlementariërs gaat duidelijk uit naar binnenlandse
kwesties, met name criminaliteit in het digitale domein.140 In internationale organisaties waar Nederland deel van uitmaakt wordt echter niet stilgezeten; zo meldt de regering dat Nederland binnen het NAVO-bondgenootschap deel uitmaakt van een nieuw cyberbeleid, met een nadruk op verbetering van preventie, de weerbaarheid en bescherming van NAVO-systemen.141 De uitgesproken ambitie van dit beleid is echter beperkt van aard.
In juni 2012 biedt de Minister van Defensie namens de regering de DCS aan.142 In de inleiding is direct duidelijk te lezen welk belang Defensie aan het digitale domein hecht; “Het digitale domein is, naast het land, de lucht, de zee en de ruimte, het vijfde domein voor militair optreden.” De DCS noemt het feit dat “de drie hoofdtaken van Defensie ook in het digitale domein leidend zijn voor de inspanningen van de krijgsmacht.”143 Daarbij wordt direct een cruciale opmerking gemaakt die de kern van dit scriptieonderzoek onderstreept; er is namelijk sprake van “toenemende overlap”. Maar “het onderscheid tussen de hoofdtaken blijft [echter] van belang omdat de grondslag en de procedures voor de inzet van de krijgsmacht per hoofdtaak verschillen.” Een antwoord op de vraag hoe dit zich zal verhouden bij toekomstige inzet van de krijgsmacht in het digitale domein wordt niet in de DCS gegeven. Opvallend is wel dat de regering zowel defensieve als offensieve inzet voor ogen heeft voor het optreden van de krijgsmacht in het digitale domein en daarnaast een inlichtingenfunctie onderstreept.144 Ook het Ministerie van Buitenlandse zaken presenteert een omvattende beleidsvisie in juni 2013; de Internationale Veiligheidsstrategie (IVS)145 stelt dat Nederland ambieert “de Digital
Gateway naar Europa” te zijn en sterk ontwikkeld is op het gebied van digitale infrastructuur.
Daarmee wordt onderkend dat Nederland een belangrijk en kwetsbaar doel is; een
benadrukking van het belang van digitale veiligheid voor Nederland. In oktober 2013 wordt de
138Kamerstukken II, 2011/12, 26 643, nr. 220 en Kamerstukken II, 2011/12, 26 643, nr. 246. De regering meldt dat de eerste stappen in de uitvoering van de NCSS zijn gezet; in juni 2011 is als adviserend orgaan ten eerste de Cyber Security Raad ingesteld, gevolgd door het Nationaal Cyber Security Centrum (NCSC) als ‘incident respons organisatie’ in januari 2012. Ook verschijnt het eerste Cyber Security Beeld
Nederland waarin inzicht wordt verschaft in de actualiteiten in het digitale domein, met een nadruk op de verschillende bedreigingen.
139 Onder andere worden genoemd de voorziene oprichting van het Defensie Cyber Commando (DCC), verantwoordelijk voor de coördinatie van alle cyber gerelateerde activiteiten van Defensie, de oprichting van het Defensie Cyber Expertise Centrum (DCEC), een kenniscentrum op het gebied van digitale
veiligheid, en het Defensie Computer Emergency Response Team (DefCERT), het beveiligingscentrum voor defensienetwerken en –systemen. Zie Kamerstukken II, 2011/12, 26 643, nr. 246, p. 5.
140 Kamerstukken II, 2012/13, 26 643, nr. 265 141 Kamerstukken II, 2011/12, 28 676, nr. 139
142 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie 143 Ibid.
144 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie, p. 4-8. 145 Kamerstukken II, 2015/16, 33 694, nr. 8, B1, Internationale Veiligheidsstrategie
32 NCSS 2 gepubliceerd.146 Als onderdeel van vijf strategische doelstellingen stelt NCSS 2 de
weerbaarheid tegen cyberaanvallen en bescherming van vitale belangen in het digitale domein, de bescherming van vrede en veiligheid in het digitale domein.147 Opmerkelijk is dat in deze strategie ook wordt onderkend dat er de noodzaak kan zijn “capaciteiten van Defensie nationaal in te zetten bij het voorkomen en afweren van aanvallen op de civiele infrastructuur.”148
In maart 2014 meldt het Ministerie van Defensie dat er anderhalf jaar na het uitgeven van de DCS grote stappen zijn gemaakt om “cybercapaciteiten van Defensie verder te ontwikkelen.”149 In de brief verklaart de minister van defensie nader wat het offensieve optreden van de krijgsmacht in het digitale domein inhoudt. “Cybercapaciteiten zullen integraal deel uitmaken van het totale militaire vermogen van de Nederlandse krijgsmacht.”150 In essentie komen dezelfde aspecten aan bod die in conventionele inzet van de krijgsmacht aan bod komen en zijn ook “[d]e juridische kaders zijn niet anders dan die voor de inzet van conventionele
middelen.”151 Hiermee is de eerder uitgesproken ambitie om ook in offensieve operaties de krijgsmacht te kunnen inzetten concreet geformuleerd. In het daaropvolgende Kamerdebat wordt de gang van zaken bij de inzet van de krijgsmacht in het digitale domein nogmaals door de minister benadrukt: “het [is] van belang om te beseffen dat wij voor alle handelingen die wij verrichten in het cyberdomein al regels hebben. De regels in het cyberdomein zijn eigenlijk niet anders dan die in de fysieke wereld.” 152 Tijdens het debat benadrukt de minister van defensie nogmaals de verhoudingen van overheidsinstanties in het digitale domein: het Ministerie van Veiligheid en Justitie is verantwoordelijk voor de coördinatie van digitale veiligheid in
Nederland. De inzet van de krijgsmacht voor nationale veiligheid in het kader van
steunverlening of ter beschikking stelling op de overzeese gebieden vindt dus niet plaats onder de verantwoordelijkheid van de Minister van Defensie.153 In februari 2015 wordt de
actualisering van de DCS naar de Kamer gestuurd. Hoewel de uitgangspunten van de DCS van kracht blijven, is er duidelijk een beleidsverschuiving in de actualisering van de DCS. Twee kernpunten zijn de versterking van kennis en kunde op het gebied van cyber en ten tweede de verdere versterking van digitale middelen.154 De actualisering vormt de opmaat voor de toekomstige beleidsdoorlichting van de DCS die dit jaar nog moet verschijnen.
Uit het voorgaande is duidelijk dat sinds 2011 de Nederlandse overheid veel aandacht heeft gestoken in het ontwikkelen van een beleid gericht op het overheidsoptreden in het digitale domein, waar het optreden van de krijgsmacht een onderdeel van is. Nadat de eerste stappen slechts in grote lijnen de wenselijke beleidsontwikkeling uiteen hebben gezet is het beleid steeds meer in detail uitgewerkt en heeft het ministerie van Defensie haar eigen beleidsambitie
146 Kamerstukken II, 2013/14, 26 643, nr. 291, B1, Nationale Cyber Security Strategie 2 147 Kamerstukken II, 2013/14, 26 643, nr. 291, B1, Nationale Cyber Security Strategie 2, p. 9.
148 Ibid. Daarbij moet worden opgemerkt dat in de uitwerking van dit actiepunt duidelijk wordt dat het enkel in situaties van maatschappij ontwrichtende omvang gaat.
149 Kamerstukken II, 2013/14, 33 321, nr. 3, p. 1. 150 Kamerstukken II, 2013/14, 33 321, nr. 3, p. 3. 151 Kamerstukken II, 2013/14, 33 321, nr. 3, p. 2. 152 Kamerstukken II, 2013/14, 33 321, nr. 4, p. 12. 153 Kamerstukken II, 2013/14, 33 321, nr. 4, p. 14.
154 Ten behoeve van het eerste kerndoel worden genoemd: versterkte aandacht voor cyberprofessionals, verruimen van innovatiekracht, bundelen van kennis en kunde, zowel binnen defensie als met partners. Ten behoeve van het tweede kerndoel worden genoemd: versterking digitale weerbaarheid, versterking inlichtingenvermogen, ontwikkeling integrale inzet. Zie Kamerstukken II, 2014/15, 33 321, nr. 5, p. 2, 3.
33 geformuleerd en bijgesteld. Dat brengt mij op de vraag wat de huidige ambitie is voor de
krijgsmacht wat betreft het optreden in het digitale domein.
D
E HUIDIGE AMBITIE VOOR DEN
EDERLANDSE KRIJGSMACHTWelke ambitie wat betreft het optreden van de krijgsmacht in het digitale domein is beoogd in het beleid van het ministerie van Defensie?
Als uitgangspunt gebruik ik de in 2012 gepubliceerde DCS.155 Met de daaropvolgende voortgangsrapportages in 2013156 en 2014157, de actualisering van de DCS in 2015158 en de laatste voortgangsrapportage in maart 2016.159 Hieruit komt de volgende ambitie voor de krijgsmacht naar voren, die ik scheid in drie ambitieonderdelen:
- Uitvoering van de inspanningen op basis van de drie grondwettelijke hoofdtaken - Ontwikkeling van capaciteiten om in het digitale domein te kunnen optreden. - Ontwikkeling van een integrale aanpak op het gebied van digitale veiligheid. Zoals reeds opgemerkt, wordt, ten eerste, in vrijwel alle tot nu toe verschenen
beleidsdocumenten benadrukt dat de krijgsmacht te allen tijde haar inspanningen door de drie grondwettelijke hoofdtaken geleid uitvoert, zoals benoemd in het tweede hoofdstuk van dit onderzoek.160 Met deze brede doelomschrijving kan de krijgsmacht voor een scala aan operaties worden ingezet in het digitale domein.161 Hieronder vallen niet alleen acties ten behoeve van de verdediging van het eigen en bondgenootschappelijk grondgebied, maar ook
crisisbeheersingsoperaties en bijstand- en steunverleningsoperaties.162 Daarnaast voert de KMar haar beperkte politietaak uit op basis van de Politiewet 2012 en de MIVD het inlichtingenwerk op basis van de WIV 2002.163 Het betekent dat de inzet en ter beschikkingstelling van de krijgsmacht in alle gevallen een beslissing van de regering omvat, waarbij het parlement - afhankelijk van de gronden voor inzet -wordt geïnformeerd over een dergelijke beslissing. Dit betekent echter niet dat de krijgsmacht altijd voor alle belangen kan worden ingezet -dat kan alleen wanneer er sprake is van een op handen zijnde dreiging of daadwerkelijke aantasting van een van de vitale belangen.164
De ambitie is om de krijgsmacht dus inzetbaar te maken voor veel verschillende operaties. Om hiertoe in staat te zijn is het tweede element geformuleerd. Defensie, en de krijgsmacht in het bijzonder wordt aangezet om capaciteiten te ontwikkelen om in het digitale domein op te treden.165 Het gaat hier om capaciteiten die zowel de eigen weerbaarheid versterken als
155 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie. 156 Kamerstukken II, 2012/13, 33 321, nr. 2.
157 Kamerstukken II, 2013/14, 33 321, nr. 3. 158 Kamerstukken II, 2014/15, 33 321, nr. 5. 159 Kamerstukken II, 2015/16, 33 321, nr. 7.
160 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie, p. 2.
161 Minister Hillen refereerde hieraan in zijn toespraak bij de opening van het cyber symposium van defensie in 2012: “De kracht van digitale capaciteiten ligt in de mogelijkheden die deze bieden dit optreden langs alle lijnen en in alle domeinen te ondersteunen en te versterken.” Hillen, De zwaardmacht in het digitale domein (toespraak), 2012.
162 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie, p. 10.
163 Kamerstukken II, 2014/15, 33 321, nr. 5, p. 5. Daarbij moet worden opgemerkt dat de WIV de MIVD in de uitvoering van zijn taken geen expeditionaire werking geeft – optreden in het buitenland kan dus niet onder de WIV voorkomen.
164 Ducheine & Arnold, Besluitvorming by cyberoperaties, 2015, p. 59. 165 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie, p. 2.
34 capaciteiten die in staat stellen om offensieve of inlichtingenoperaties te kunnen uitvoeren.166 Deze worden in de DCS ook wel benoemt onder de speerpunten ‘defensief’, ‘offensief’, en ‘inlichtingen’.
De defensieve acties omvatten de bescherming van eigen netwerken, systemen en informatie, het monitoren en analyseren van dataverkeer en het onderkennen van en reageren op digitale aanvallen. Het doel hiervan is om voorbereid te zijn op mogelijke dreigingen en hiertoe
bescherming te bieden om de inzetbaarheid van de krijgsmacht te kunnen garanderen. Omdat onderkent wordt dat allesomvattende digitale verdediging een onmogelijke en onbetaalbare opgave is wordt benadrukt dat de defensieve capaciteit ook terug te vinden in de flexibiliteit en veerkracht van het systeem: bij schadelijke CNOs moet het systeem eventuele gevolgen ook kunnen opvangen en desondanks blijven functioneren.167 Het inrichten en bewaken van de digitale beveiliging van netwerken en systemen is een taak die in de DCS wordt toegekend aan het Joint informatievoorzieningscommando (JIVC). Daarnaast wordt het Defensie Computer
Emergency Response Team (DefCERT) genoemd als onderdeel van het JIVC, dat tot taak heeft het
indexeren van de kwetsbaarheden van defensiesystemen en die en schadelijk of onrechtmatig handelen detecteert. Opvallend is dat in de DCS de in dit onderzoek eerder genoemde USB-stick ook noemt als kwetsbaarheid: schade die ontstaat uit onopzettelijk handelen van medewerkers moet tevens worden geadresseerd.168 In de DCS wordt verder benadrukt dat niet alleen de algemene ICT-infrastructuur en daarop aanwezige informatie moet worden beschermd, maar ook de conventionele wapen- en sensorsystemen van de krijgsmacht.169
Offensieve acties omvatten de inzet van capaciteiten met als doel het handelen van de
tegenstander te beïnvloeden of onmogelijk te maken.170 In andere woorden, het uitvoeren van aanvallen in het digitale domein.171 De inzet van offensieve middelen kan plaatsvinden op grond van een politiek mandaat tijdens militaire operaties, maar ook om een aanval te voorkomen, zo is te lezen in de DCS.172 In de DCS en het AIV/CAVV-rapport wordt dit handelen omschreven als ‘actieve verdediging’.173 Defensie, en in het bijzonder de krijgsmacht, moet voldoende
capaciteiten hebben om op deze wijzen te kunnen optreden in het digitale domein. Deze capaciteiten kunnen zelfstandig worden ingezet, maar ook in een militaire operatie worden ingezet ter ondersteuning van conventionele militaire capaciteiten.174 Gelet op het niet-
kinetische karakter van middelen zullen offensieve operaties zich altijd richten op de objecten of identiteiten in het digitale domein.175 Operaties gericht op deze twee doelwitten zijn
uiteenlopend.176
Het verzamelen van inlichtingen in het digitale domein richt zich op het tijdig kunnen verwerven van informatie over dreigingen, analyseren van die dreigingen en vervolgens daarover te
kunnen rapporteren. Het doel hiervan is om Defensie zicht te geven op de verschillende
166 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie, p. 2, 3. 167 Ibid, p. 5.
168 Ibid. 169 Ibid, p. 6. 170 Ibid.
171 AIV/CAVV, Digitale Oorlogvoering, 2011, p. 15.
172 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie, p. 11. 173 Ibid en AIV/CAVV, Digitale Oorlogvoering, 2011, p. 15.
174 Kamerstukken II, 2013/14, 33 321, nr. 3, p. 3.
175 Ducheine en Van Haaster, Cyber-operaties en militair vermogen, 2013, p. 379. 176 Ducheine en Van Haaster, Cyber-operaties en militair vermogen, 2013, p. 380-386.
35 dreigingen in het digitale domein en zich daartegen adequaat te ‘wapenen’.177 Dit is primair de taak van de MIVD die, zoals beschreven in hoofdstuk 2, zijn taak uitvoert aan de hand van de WIV. 178 Daarmee valt iedere andere rol dan die van defensieve inlichtingenvergaring en -analyse buiten de competentie van de inlichtingendienst. Dit is een aangelegenheid die valt onder de verantwoordelijkheid van de krijgsmacht.179 Om ook in het digitale domein adequaat te functioneren stelt de DCS wel ten doel dat de capaciteiten bij de MIVD ook worden uitgebreid om heimelijk informatie te verwerven in het digitale domein, als onderdeel van de gehele inlichtingencapaciteit van de MIVD.180
Dit bovenstaande betekent dat Defensie wordt geacht voldoende slagkracht te hebben om deze acties uit te kunnen voeren: daartoe moet het werken aan de ontwikkeling van bekwaam personeel en kennis van het domein, maar ook de ontwikkeling van digitale wapens en beschermingsmiddelen. De middelen, methoden en mensen die hiertoe worden ontwikkeld moeten een integraal onderdeel zijn van het totale militaire vermogen van de krijgsmacht.181 Dat betekent niet alleen ontwikkeling van op zichzelf staande digitale middelen, zoals verdedigende en aanvallende capaciteit (mensen, procedures en middelen), maar ook de verbetering van conventionele middelen met digitale middelen, bijvoorbeeld de uitrusting van een infanterist met een zakcomputer.
Als derde ambitieonderdeel heb ik het werken aan een integrale aanpak benoemd. Deze integrale aanpak moet binnen de krijgsmacht een aanpak zijn, die zowel ondersteunende processen als operationele processen omvat.182 Daarnaast richt het ontwikkelen van een integrale aanpak zich op het integreren van het digitale domein in het joint operationeel planningsproces -met andere woorden, de mogelijkheden van het digitale domein moeten standaard worden opgenomen in operaties. Hiertoe wordt ook gewerkt door de totstandkoming van een centrale commandostructuur. Het Defensie Cyber Commando (DCC), dat is opgericht in 2014 onder leiding van de landmacht, vormt de structurele basis voor de inzet van de
krijgsmacht in het digitale domein183 en wordt de centrale entiteit binnen defensie voor de ontwikkeling en inzet van militaire operationele capaciteit.184 Als onderdeel van het DCC is in de DCS ook vastgelegd dat kennis en personeel moet kunnen worden verzameld, en daartoe is het Defensie Cyber Expertise Centrum (DCEC) opgericht. Ten slotte vereist de integrale aanpak samenwerking op nationaal en internationaal niveau. Op nationaal niveau behelst dit de
samenwerking tussen de verschillende departementen, zoals tussen het Ministerie van Defensie en bijvoorbeeld het Ministerie van Veiligheid en Justitie, en andere overheidsorganen, zoals met de nationale coördinator van digitale veiligheid: het Nationaal Cyber Security Operations Center (NCSOC). Dit is vooral van belang bij het samenwerken onder de derde taakstelling van defensie, zoals beschreven in hoofdstuk 2, waarbij de krijgsmacht in steunverlenings-,
hulpverleningsverband of terbeschikkingstelling wordt ingezet -hetgeen onder de
177 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie, p. 12.
178 Hieronder valt het “ontvangen en opnemen van niet-kabelgebonden telecommunicatie”, zie art. 27(1) WIV 2002. Belangrijk kenmerk van de WIV 2002 is dat deze regeling geen extraterritoriale werking kent, zie Ducheine en Voetelink, Cyberoperaties: naar een juridisch raamwerk 2011, 279.
179 AIV/CAVV, Digitale Oorlogvoering, 2011, p. 37.
180 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie, p. 8. 181 Kamerstukken II, 2013/14, 33 321, nr. 3, p. 3.
182 Kamerstukken II, 2011/12, 33 321, nr. 1, Defensie Cyber Strategie, p. 6
183 Kamerstukken II, 2014/15, 33 321, nr. 5, p. 2. Zie ook Hennis-Plasschaert, J. Toespraak bij de lancering van het Defensie Cyber Commando, 2014.