De Rijkswet geweldgebruik bewakers militaire objecten en de digitale krijgsmacht : Een beschouwing van de bewaking en beveiliging van het digitale domein van Defensie onder de huidige Rijkswet

De Rijkswet geweldgebruik bewakers militaire

objecten en de digitale krijgsmacht

Een beschouwing van de bewaking en beveiliging van het digitale domein van

Defensie onder de huidige Rijkswet

Scriptie Militair Recht

Auteur: Lucia Spaans Studentnummer: 10210903

Datum: 2 januari 2017 E-mail: lucia.spaans@student.uva.nl Begeleider: BGen prof. dr. P.A.L. Ducheine

Abstract:

_​

onduidelijkheden over hoe er getracht wordt deze digitale veiligheid te realiseren en met welke middelen dit gebeurt. Er kan geen twijfel bestaan over het essentiële belang van een optimaal functionerend digitaal domein, nu de krijgsmacht vrijwel volledig afhankelijk is van

hoogwaardige netwerken en systemen. Als vanouds bewaakt en beveiligd de krijgsmacht zijn eigen objecten onder de ‘Rijkswet geweldgebruik bewakers militaire objecten’, waarbij een geweldsbevoegdheid is gecreëerd voor de militair in zijn bewakings- en beveiligingstaak. Er is echter nog niet eerder onderzocht of de Rijkswet een adequate rechtsbasis biedt voor de bescherming van het digitale domein van Defensie en met deze scriptie is beoogd de huidige Rijkswet te verduidelijken en te onderzoeken of de bijzondere karakteristieken van het digitale domein zich lenen voor eenzelfde toepassing van de Rijkswet, zoals nu het geval is bij de bewaking en beveiliging van militaire objecten. In deze scriptie zijn voorafgaand aan een

beschouwing van de Rijkswet twee afzonderlijke hoofdstukken gewijd aan de definiëring van het digitale domein van Defensie en de dreigingen voor dit domein, waarbij ook is gekeken naar de organisatie en middelen waarmee Defensie deze dreigingen het hoofd probeert te bieden. Vervolgens wordt de huidige Rijkswet besproken, waarbij in het bijzonder de vraag is gesteld wat een militair object precies inhoudt en welke bevoegdheden de Rijkswet met zich meebrengt. Toegepast op het digitale domein van Defensie is de uiteindelijke conclusie van deze scriptie dat de Rijkswet in zijn huidige vorm geen adequate wettelijke grondslag biedt voor de bewaking en beveiling van het Digitale domein van Defensie. Afsluitend is er een kort advies uitgebracht aan de wetgever. Doordat deze scriptie als doel heeft om de regels van de huidige Rijkswet te identificeren en te onderzoeken maar ook een adviserend karakter heeft, stoelt deze scriptie op zowel descriptieve als normatieve oordelen. Getracht is de huidige Rijkswet vanuit een extern perspectief te beschrijven, waarbij verschillende interpretatiemethoden zijn gebruikt.

Key words: _{​cyber, digitale domein Defensie, Rijkswet geweldgebruik bewakers militaire}

Inhoudsopgave

Bladzijde

1.4. Doelstelling, centrale vraag en deelvragen 10

1.5. Beperkingen, aannames en uitsluitingen 11

Hoofdstuk 2. Digitale Domein Defensie 13

2.1. Digitale Domein 13

2.2.A. Territoriale soevereiniteit 16

2.2.B. De toepasselijkheid van territoriale soevereiniteit binnen het

​ 17

digitale domein

2.3 Conclusie 19

Hoofdstuk 3. Digitale dreigingen 20

3.1. Dreigingen voor het DDD 20

3.2. De bewaking en beveiliging van het DDD 24

Hoofdstuk 4. De bewaking en beveiliging van het digitale domein van Defensie 27

onder de huidige Rijkswet geweldgebruik bewakers militaire objecten

4.1. Achtergrond 27

4.2. De militaire bewakings- en beveiligingstaak 29

4.3. De militaire bewakings- en beveiligingstaak in het digitale domein 32

4.4. Definitie ‘ militair object’ 33

4.6. De geweldsbevoegdheid 38

4.7. Conclusie

Hoofdstuk 5. Advies 41

Hoofdstuk 1. Inleiding

“I have been taught by senior national security officials for decades never to bring them a problem without also suggesting a solution.” ― Richard A. Clarke, Cyberwar: The Next Threat to National Security & What to Do About It 1

1.1. Aanleiding

In de huidige digitale wereld kan men zich geen maatschappij voorstellen zonder het bestaan van het internet en de computer. Technologische vernieuwingen creëren zonder twijfel

mogelijkheden voor de gewone burger, het bedrijfsleven en de overheid. De digitale revolutie biedt internet gebruikers van over de hele wereld de mogelijkheid om informatie te vergaren, oneindige communicatiemogelijkheden, meer gebruikersgemak enzovoorts.Tegelijkertijd hebben grootschalige digitale aanvallen als Stuxnet en de meer recente ‘state-sponsored’ hack op data 2

van Yahoo laten zien dat de afhankelijkheid van technologische middelen tot kwetsbaarheid kan 3

leiden en de (potentiële) schade zeer groot kan zijn, waarbij de nationale veiligheid in het geding kan zijn en de maatschappij kan worden ontwricht. 4

Uit het Cybersecuritybeeld Nederland 2016 (CSBN) blijkt dat ook Nederland toenemend 5

doelwit is van digitale aanvallen afkomstig van een groot aantal actoren: de onoplettende of juist ideologisch gemotiveerde hacker, cybervandalen en scriptkiddies, terroristische groeperingen, 6

criminele groeperingen, staten. Blijkens het CSBN vormden statelijke actoren en 7

beroepscriminelen het afgelopen jaar de grootste dreiging voor Nederland op het gebied van

1 _{Clarke 2010, p. 7.}

2 _{Stuxnet is een schadelijke computer worm die werd ingezet door Israël en de Verenigde Staten om het Iraanse}

nucleaire programma te saboteren.

3 _{Zo'n 500 miljoen gebruikersgegevens van Yahoo werden er in 2014 gehackt.}

4 _{De digitale aanval in 2007 op Estland is hiervan een sprekend voorbeeld, waarbij kritieke communicatiesystemen 4}

werden aangevallen.

5 _{Hierna: CSBN.}

6 _{Hacktivisme behelst de combinatie van hacken en activisme, bijvoorbeeld de groep Anonymous.}

cybersecurity. Digitale economische spionage door buitenlandse inlichtingendiensten komt 8

steeds meer voor. Meer eenvoudigere aanvallen als Distributed Denial of Service aanvallen 9 10

werden het afgelopen jaar ook vaak waargenomen. Door de aanwezigheid van een van de grootste internetknooppunten ter wereld in Amsterdam en de hoge mate van verwevenheid binnen de Nederlandse industriële infrastructuur, is Nederland ook bijzonder kwetsbaar voor digitale aanvallen. Het unieke aan het digitale domein is dat het niet beperkt wordt door geografische barrières; hierdoor kan een digitale aanval vanuit alle mogelijke plaatsen worden gefaciliteert en door de sterke verwevenheid van private en publieke netwerken en systemen kan een digitale aanval wijdverspreide effecten hebben.

Het belang van een sterke digitale infrastructuur is door de Nederlandse overheid de afgelopen jaren expliciet erkent en op de bestuurlijke agenda geplaatst. In 2012 is het National Cyber Security Centrum (NCSC) opgericht, waarbij door middel van publiek-private samenwerking getracht wordt de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten. Tijdens de NCSC One conference in april 2016 is het startschot gegeven voor het 11

Dutch cybersecurity platform for higher education and research. Het ingediende wetsvoorstel 12

Computer Criminaliteit III dient ertoe de opsporingsdiensten bij de bestrijding van 13

computercriminaliteit de bevoegdheden te geven die zij nodig heeft om cybercrime effectief aan te pakken. Op internationaal niveau is er ook niet stilgezeten, met als meest recente gebeurtenis de totstandkoming van de Europese cybersecurity richtlijn over netwerk- en

informatiebeveiliging (NIB-richtlijn). 14

8 _{CSBN p. 9.}

9 _Ibid.

10 _{Hierna: DDoS aanval. Bij een DDoS aanval wordt geprobeerd een digitaal systeem uit te schakelen door deze te}

overspoelen met dataverkeer. Vaak worden hiervoor botnets ingezet. Bron: J. Schellevis, ‘DDoS-aanvallen steeds gemakkelijker en goedkoper’, 2015 (online publiek).

11_{​Kamerstukken II}

​ 2012, 33 321, nr. 2, p. 15, speerpunt 6 ‘Samenwerking’.

12_{​Kamerstukken II}

​ 2016, 793052, p. 4 (Kamerbrief).

13 _{Wetsvoorstel bestrijding cybercrime (computercriminaliteit III), ​Kamerstukken II}

​ 2015/16, 34372.

Het belang van kennis en de juiste middelen in het digitale domein is ook specifiek voor de krijgsmacht erkent en op de militaire agenda geplaatst. Zo is het digitale domein, naast de zee, het land, de lucht en de ruimte erkend als het vijfde werkdomein van de krijgsmacht. Tijdens de 15

laatste NAVO-top in Wales is besloten dat Cyber onderdeel is van onze collectieve verdediging. De beleidsbrief ‘Defensie na de kredietcrisis’ heeft de ontwikkelingen voor Defensie in het 16

digitale domein doen versnellen, met de tot stand gekomen Defensie Cyber Strategie 2012 en 17

de oprichting van het Defensie Cyber Commando (DCC) als basis voor het functioneren van de krijgsmacht in het digitale domein. Zowel in militaire operaties als in de reguliere

bedrijfsvoering is de krijgsmacht bijzonder afhankelijk van het optimaal functioneren van hoogwaardige communicatie- en informatiesystemen, netwerken, wapensystemen, logistieke systemen enzovoorts. De hoeveelheid data die besloten liggen in deze systemen nemen

exponentieel toe. Om de inzetbaarheid te garanderen van de krijgsmacht, dient Defensie in de 18

eerste plaats te kunnen rekenen op de werkzaamheid van zijn eigen digitale middelen. Het gaat hierbij zowel om de beveiliging van eigen _{​systemen en netwerken}

​ als ook de beveiliging van

informatie

​ die behoort tot het digitale domein van Defensie. Dat deze inzetbaarheid niet

gegarandeerd is, blijkt wel uit het jaarverslag van de militaire inlichtingen- en veiligheidsdienst (MIVD), waarin een van de gestelde bevindingen is dat de dreiging van digitale spionage tegen Defensie, defensietoeleveranciers, bondgenootschappelijke netwerken en producenten van militair-relevante producten fors is, toeneemt en steeds agressiever_{​ ​en geavanceerder wordt.} 19

Een tekenend voorbeeld van de digitale spionage op defensietoeleveranciers, is de jarenlange digitale inbreuk van Chinese hackers op het Nederlands-Duitse Rheinmetall defence, een van ‘s werelds grootste leveranciers van defensie technologie en veiligheidssystemen, waar het digitale beveiligingsbedrijf Fox-it in het najaar van 2015 op stuitte. Een voorbeeld van een digitale aanval op de eigen netwerken en systemen van de krijgsmacht, is de DDoS-aanval op de website van defensie, die hierdoor onbereikbaar werd voor gebruikers.

15_{Ministerie van defensie, ​‘NAVO erkent cyber als 4e operationele domein’ ,}

​ 2016. Acess online: https://www.defensie.nl/actueel/nieuws/2016/06/14/navo-erkent-cyber-als-vijfde-operationele-domein. 16_{​Kamerstukken II} ​ 2010/2011, 32 733, nr. 1 (Beleidsbrief). 17 _{Kamerstukken II} ​ 2012 33 321, nr. 2. Geactualiseerd in 2015. 18_{​Kamerstukken II} ​ 2016, BS2016003555, p. 5 (Kamerbrief). 19_{​Kamerstukken II} ​ 2016, 29924, 141, p. 35.

De Europese veiligheidsagenda wordt gedomineerd door enerzijds het conflict tussen Rusland en Oekraïne na de illegale annexatie van de Krim en de voortbouwende spanningen hierop tussen het Oosten en Westen en anderzijds de opkomst van ISIS en het daarmee gepaard gaande strijdtoneel in het midden-oosten. De manier van oorlogsvoering is hybride: het gebruik van 20 21

traditionele militaire middelen wordt aangevuld door het gebruik van onconventionele middelen en tactieken, waarbij geen geografische belemmeringen bestaan en die voor verwarring zorgen bij de tegenstander. Het gebruik van het digitale domein, inclusief social media, past binnen deze ‘moderne’ vorm van oorlogsvoering.

De krijgsmacht_{​ ​dient te zien om te gaan met deze snelle ontwikkelingen binnen het digitale} domein. In de Defensie Cyber Strategie wordt benadrukt dat Defensie zélf verantwoordelijk is

voor de bescherming van zijn eigen digitale domein. De krijgsmacht is als vanouds gewend om 22

zijn eigen objecten en personen te bewaken en beveiligen onder de Rijkswet geweldgebruik bewakers militaire objecten. Deze Rijkswet creëert voor de krijgsmacht een 23

geweldsbevoegdheid. De karakteristieken van het digitale domein zijn dusdanig bijzonder, dat 24

op het eerste gezicht niet overtuigend gesteld kan worden dat de Rijkswet als rechtsbasis kan gelden voor de bewaking en beveiliging van het digitale domein van de krijgsmacht en hierbij gebruik kan worden gemaakt van de geweldsbevoegdheid.

20 _{J.A. Hennis-Plasschaert ‘Who’s afraid of Hybrid Warfare?’ 2015, toespraak bij de Annual Baltic Conference on}

Defence, p. 5-6 ‘(online publiek)’.

21 _{J.A. Hennis-Plasschaert ‘Who’s afraid of Hybrid Warfare?’ 2015, toespraak bij de Annual Baltic Conference on}

Defence‘(online publiek)’.

22 _{Hierna: DDD (digitale domein defensie).}

23 _{Hierna: Rijkswet.}

1.2. Belang onderzoek

1.2.1. Het vijfde domein

‘Ten behoeve van de verdediging en ter bescherming van de belangen van het Koninkrijk, alsmede ten behoeve van de handhaving en de bevordering van de internationale rechtsorde, is er een krijgsmacht.’ Zo luidt aldus het eerste lid van artikel 97 van de Grondwet. Het tweede lid voegt hieraan toe dat de regering het oppergezag heeft over de krijgsmacht en geeft hiermee nogmaals aan dat de krijgsmacht een instrument is van de staat.

Operationele cyber capaciteiten dienen te worden ingezet ten behoeve van deze grondwettelijk verankerde doelstellingen van de krijgsmacht. Dat de krijgsmacht daadwerkelijk operationele cyber capaciteiten inzet voor de vervulling van deze doelstellingen, blijkt wel uit de erkenning van het digitale domein als vijfde werkgebied voor de krijgsmacht. Het militaire vermogen van 25

de krijgsmacht is de ‘de totale capaciteit die de krijgsmacht levert om strategische functies te vervullen’ en bestaat uit een fysieke, conceptuele en mentale component. Operationele 26 27

cybercapaciteiten kunnen het militaire vermogen vergroten. De keerzijde van het digitale domein is dat de tegenstander, vaak met geringe inspanning, door de inzet van cyberactiviteiten het militaire vermogen van de krijgsmacht kan beïnvloeden. Het is dan ook noodzakelijk dat het DDD optimaal werkt zodat geen afbreuk wordt gedaan aan het militaire vermogen.

1.2.2. Legaliteitsbeginsel

De staat heeft als klassieke taak het waarborgen van de veiligheid. Voor de waarborging van de 28

veiligheid beschikt de staat over het geweldsmonopolie en heeft hiervoor het instrument van de zwaardmachten in handen: de politie en het leger. Als vanouds was de gedachte dat de politie over de interne veiligheid waakt, terwijl de krijgsmacht vooral gericht is op de bescherming van de landsgrens en aldoende de externe veiligheid waarborgt. Deze tweedeling is inmiddels achterhaald doordat interne en externe veiligheid steeds meer in elkaar overvloeien:

ontwikkelingen zoals de opkomst van het terrorisme en de vervaging van landsgrenzen hebben

25_{​Kamerstukken II}

​ 2011/12, 33 321, nr. 1 (Defensie cyber strategie).

26 _{Ducheine en van Haaster, Militaire Spectator 2013/182, nr. 9, p. 370.}

27 _Ibid.

ervoor gezorgd dat we tegenwoordig spreken van de nationale veiligheid die de overheid dient te waarborgen. 29

Dat de overheid exclusief bevoegd is om geweld te gebruiken, valt terug te voeren op het

gedachtegoed van de 17e eeuwse filosoof Hobbes. In zijn beroemde werk _​Leviathan

​ 30 beschrijft

Hobbes de denkbeeldige natuurtoestand, waarin een ieder vrij is omdat er geen overheidsapparaat bestaat. De natuurtoestand ziet Hobbes echter als een waanzinnige

samenleving waarin mensen gedreven zijn door egoïstische beweegredenen. Doordat de mens in deze natuurtoestand voortdurend waakzaam moet zijn voor zijn kwade medemens maar toch streeft naar zelfbehoud, gaat zij een sociaal contract aan. De overheid verkrijgt het

geweldsmonopolie, doordat de mensen een stukje van hun vrijheid opgeven. Het

geweldsmonopolie geeft de overheid echter geen vrijbrief om ten alle tijden geweld te mogen gebruiken. Nederland is een democratische rechtsstaat. De _{​rechtsstaatgedachte}

​ 31 betekent in

beginsel niets anders dan dat het recht grenzen stelt aan het optreden van de overheid: de burger 32

wordt beschermd tegen de tirannieke overheid. Een van de beginselen van de rechtsstaatgedachte is het legaliteitsbeginsel. Het legaliteitsbeginsel impliceert dat elk overheidsoptreden moet berusten op een algemene, voor herhaalde toepassing vatbare, regel; hetzij krachtens attributie, 33

hetzij krachtens delegatie vastgesteld. De Rijkswet is zo’n algemene regel waarin een 34

bevoegdheid wordt gegeven voor de militair die in de rechtmatige bewakings- en

beveiligingstaak gebruik maakt van gewelds- of vrijheidsbenemende middelen. In dit onderzoek zal bekeken worden of het optreden van de krijgsmacht voor de bewaking en beveiliging van het DDD binnen de reikwijdte van het legaliteitsbeginsel valt en of de Rijkswet geschikt is om te dienen als wettelijke basis voor dit optreden van de krijgsmacht.

29 _{Ducheine 2008, par. 4.3.}

30 _{Hobbes 2002.}

31 _{De democratische rechtsstaat differentieert zich van andere staatsvormen, zoals de politiestaat en de totalitaire}

staat, waarin de overheid naar willekeur handelt en waarbij het handelen niet wordt begrensd door het recht.

32_{Kortmann 2008, p. 50.}

33 _{Een algemene regel is meestal een algemeen verbindend voorschrift, wettelijk voorschrift of een wet in materiële}

zin, die niet slechts intern werken.

1.3. Probleemstelling

Gelet op de in de inleiding kort aangestipte bedreigingen van het DDD zijn deze reëel, zullen zij de komende jaren blijven toenemen en zal de krijgsmacht worden uitgedaagd om hierop een effectief antwoord te bieden. De Rijkswet biedt een rechtsbasis voor het geweldgebruik bij de bewaking en beveiliging van de door de minister van Defensie aan te wijzen objecten. De unieke en veelzijdige kenmerken van het digitale domein maakt dat de bescherming van het DDD niet eenvoudig onder de Rijkswet kan plaatsvinden Echter, zonder een adequate juridische

rechtsbasis voor de bescherming van DDD wordt de legitimiteit van het handelen van de krijgsmacht aangetast. Hierdoor kunnen negatieve gevolgen ontstaan als de verkleining van het maatschappelijk draagvlak voor het handelen van de krijgsmacht en meer verdergaand de inbreuk op de democratische rechtsstaat.

1.4. Doel, centrale vraag en deelvragen

Met dit onderzoek wordt beoogd de Rijkswet als rechtsbasis voor de bescherming van het DDD te onderzoeken. Tevens wordt beoogd een advies te geven voor de aanpassing van de Rijkswet indien deze geen adequate rechtsbasis biedt voor de bescherming van het DDD.

De hoofdvraag van dit onderzoek is of het DDD kan worden beveiligd op grond van de huidige Rijkswet. Ter beantwoording van deze hoofdvraag zal ik gebruik maken van een viertal

deelvragen:

1) Wat is het DDD en welke partijen hebben de taak deze te beschermen?

2) Wat zijn de dreigingen voor het DDD en tegen welke specifieke onderdelen richten deze bedreigingen zich?

3) Wat kan beschermd worden onder de huidige Rijkswet en met welke middelen kan dit gebeuren?

3a) Wat is de definitie van een militair object?

4) Wat is het verschil tussen de huidige Rijkswet en digitale dreigingen en welke wijzigingen dienen hieruit te volgen?

1.5. Beperkingen, aannames en uitsluitingen

Het ‘nieuwe’ digitale domein heeft uitzonderlijke kenmerken die voor juristen op allerlei soorten rechtsgebieden de pennen in beweging doet brengen. Hoewel het digitale domein haast

mythische proporties heeft aangenomen in de ogen van sommigen, is het niet voor het eerst dat de jurist nieuwe ontwikkelingen binnen de maatschappij en het ontstaan van nieuwe

technologieën tracht te incorporeren in het bestaande rechtsstelsel. De opkomst van de luchtvaart liet ooit zelfs de meest bekwame juristen het hoofd buigen over kwesties als territorialiteit van het luchtruim en de uitvinding van elektriciteit leidde in Nederland tot hevige discussies of dit als een goed kan worden beschouwd in de zin van de wet. Ook voor het digitale domein dienen nog vele discussies onder rechtsgeleerden, wetgevingshandelingen en rechtsvinding door de rechter plaats te vinden. Met dit onderzoek hoop ik een bijdrage te kunnen leveren aan deze discussie, maar de reikwijdte van deze scriptie is te beperkt om alle mogelijke juridische vraagstukken die zich kunnen voordoen ten opzichte van mijn onderwerp te bespreken. Daarnaast is er simpelweg niet voldoende bekend over sommige delen van mijn onderwerp. Ik ben dan ook genoodzaakt om mij van een aantal beperkingen, aannames en uitsluitingen te bedienen. Ik ga er vanuit dat de Rijkswet geen extraterritoriale werking heeft en beperk mij dan ook tot de de bewaking en beveiliging van het DDD binnen het Koninkrijk. Dat er problemen aangaande de attributie kunnen ontstaan ten opzichte van het digitale domein erken ik, maar dit is te breed om voor dit onderzoek uit te diepen. Tenslotte tracht ik in geen enkele wijze de volledige ‘waarheid’ omtrent de resultaten van dit onderzoek naar de huidige Rijkswet te claimen: met de beperkte middelen die mij voorhanden staan en de weinige informatie die bekend is over deze Rijkswet, kan geen uitsluitsel worden gegeven over de daadwerkelijke bedoeling van de wetgever bij de

totstandkoming van de Rijkswet. Hetzelfde geldt voor de opmerkingen en argumenten die zijn gemaakt omtrent het digitale domein van Defensie. Doordat veel informatie van de krijgsmacht

geclassificeerd is, blijft het in zoverre ‘ gissen’ naar de daadwerkelijke handelswijze van de krijgsmacht in het digitale domein.

Hoofdstuk 2. Digitale Domein Defensie

Het digitale domein wordt vaak met meerdere termen omschreven: ‘Cyberspace’,

‘Cyberdomein’, ‘ Digitale domein’, ‘digitale infrastructuur’ zijn slechts enkele van de vele termen die de revu passeren. De gewone man zal bij het horen van het begrip ‘digitale domein’ of ‘ cyberspace’ vooral denken aan het internet. Op internationaal gebied zijn vooral de definities van de lidstaten van het NATO Cooperative Cyber Defence Centre of Excellen en de

omschrijving door het Chatham House in zijn rapport _{​On Cyber Warfare}

​ 35van belang_​.

Nu dit onderzoek een nationale regeling betreft, zou ik mij willen beperken tot de omschrijving zoals gegeven in de Nederlandse Defensie Cyber Strategie 2012:

‘Er bestaat op dit ogenblik geen internationaal geaccepteerde definitie van het begrip digitaal domein (cyber space). In deze strategie wordt het digitale domein beschouwd als alle entiteiten die digitaal verbonden (kunnen) zijn. Het domein omvat zowel permanente verbindingen als tijdelijke of plaatselijke verbindingen en betreft altijd op enigerlei wijze de gegevens (data, programmacode, informatie, etcetera) die zich in dit domein bevinden.’ 36

Nu er geen universeel geaccepteerde definitie bestaat van het digitale domein, zoals ook wordt aangegeven in de hier gebruikte omschrijving van de Nederlandse Defensie Cyber Strategie 2012, heerst er in binnen en buitenland onzekerheid over wat dit digitale domein nu précies inhoudt. Er wordt in de literatuur geregeld verwezen naar de U.S.Army Training and Doctrine Command, , waarin getracht is de onduidelijkheid van de inhoud van het digitale domein weg te 37

nemen, door het digitale domein in te delen in drie lagen (fysiek, logisch en sociaal). Deze drie

35 _{Chatham House Report, ​‘On Cyber Warfare’}

​ , 2010.

36_{​Kamerstukken II}

​ 2011/12, 33 321, nr. 1, p.4 (Defensie cyber strategie).

lagen worden vervolgens opgedeeld in vijf verschillende componenten (geografisch, fysiek netwerk, logisch netwerk, cyber persona en persona). 38

De fysieke laag39_{​ omvat de geografische component en de fysieke netwerk component. De} geografische component is de locatie van het netwerk onderdeel: voor het schrijven van dit onderzoek maak ik gebruik van een computer uit de juridische bibliotheek van de Universiteit van Amsterdam. De geografische component is hier aldus Nederland, meer specifiek

Amsterdam. De fysieke netwerk component is alle hardware (het beeldscherm van de computer maar bijvoorbeeld ook het moederbord) en infrastructuur die het netwerk ondersteunt en de fysieke aansluitingen (kabels, routers, servers etc). De fysieke laag zorgt er niet voor dat een enthousiaste rechtenstudent aan de Universiteit Gent toegang heeft tot dit onderzoek op zijn computer. Voor het versturen van data over computernetwerken of het communiceren binnen de fysieke netwerk component is een extra laag nodig die het digitale domein bijzonder maakt: _​De

logische laag (virtuele laag). 40_{​Deze virtuele laag is niet tastbaar, zoals dat wel het geval is bij} de fysieke laag. De logische laag betreft die elementen van het netwerk die gerelateerd zijn aan elkaar op een wijze die geabstraheerd is van het fysieke netwerk. Een voorbeeld is een website die overal ter wereld toegankelijk is op basis van een enkele Uniform Resource Locator (URL), maar ook software, protocollen (bijvoorbeeld Internet protocollen) en verbindingen tussen knooppunten in het netwerk behoren hiertoe. Als laatste laag wordt _{​de sociale laag ​genoemd.} 41 Deze laag is de uitbreiding op de logische laag en betreft de gebruikers, objecten en organisaties van het netwerk. De cyber persona component die tot deze laag behoort betreft de identiteit van personen op het netwerk (e-mail adressen, twitter accounts etc.). De persona component bestaat uit de mensen die daadwerkelijk gebruik maken aan het netwerk. Een individu kan verschillende cyber persona’s hebben. Zo is het denkbaar dat ik voor het verzenden van e-mails gebruik maak van Gmail.com en hotmail.com en aldus twee e-mail accounts heb. Daarnaast kan een enkele cyber persona verschillende individuen behelzen. Zo kunnen alle gezinsleden gebruik maken van een enkel Netflix account.

38 _{TRADOC Pamphlet 525-7-8, 2010. p. 8 t/m 9.}

39 _Ibid.

40 _Ibid.

Een andere bruikbare indeling van het digitale domein wordt gegeven door Ducheine en van

Haaster, waarbij vier kerncomponenten worden beschreven van het digitale domein: 42

-personen (gebruikers, ontwerpers, beheerders, etc.);

-digitale identiteiten (van deze personen of van organisaties);

-digitale objecten, waaronder (a) protocollen, firmware, operating systems, -applicaties en (b) vooral ook data; en ten slotte

-fysieke objecten waarop deze digitale identiteiten en digitale objecten ‘draaien’ (servers, routers, zenders, kabels, computers, etc.). 43

Deze indeling van het digitale domein sluit goed aan bij de indeling zoals gegeven in de U.S.Army Training and Doctrine Command, hoewel Ducheine en van Haaster de sociale laag ‘loskoppelt’ en opdeelt in twee afzonderlijke componenten. Als we de drie lagen van de

U.S.Army Training and Doctrine Command en de vier kerncomponenten van Ducheine van het digitale domein nog simpeler willen indelen, kan gezegd worden dat het digitale domein bestaat uit een fysieke en een niet-fysieke, ook wel als de virtuele laag omschreven, laag.

42 _{Prof. dr. mr. P.A.L. Ducheine is bijzonder hoogleraar Military Law of Cyber Operations & Cyber Security aan de}

Universiteit van Amsterdam en Hoogleraar Cyber Warfare aan de Faculteit Militaire Wetenschappen van de Nederlandse Defensie Academie en is in Nederland een van de weinige specialisten op het gebied van cyber operaties. J. van Haaster LL.M. is eerste luitenant van de koninklijke landmacht en schreef een bekroonde bachelorscriptie over social media.

2.2.A. Territoriale soevereiniteit

Met het geven van een definitie van het digitale domein, is nog niet gezegd dat Defensie zich een gedeelte van het digitale domein kan ‘toerekenen’. In andere woorden, er dient er gekeken te worden naar internationaal rechtelijke aspecten van de staatssoevereiniteit ten opzichte van het digitale domein. Het idee van staatssoevereiniteit is diep geworteld in ons rechtssysteem. Territoriale soevereiniteit is een regel van internationaal gewoonterecht waaronder de staat volledige en exclusieve rechtsmacht mag uitoefenen over zijn territoir. De definitie van

soevereiniteit is gegeven door arbitrator Max Huber in de _{​Island of Palmas Case (Netherlands}

vs. US)

‘Sovereignty in the relations between States signifies independence. Independence in regard to a portion of the globe is the right to exercise therein, to the exclusion of any other State, the functions of a State.’ 44

In de _{​Corfu Channel}

​ ​ ​Case benadrukt het internationale gerechtshof dat

‘between independent States the respect for territorial sovereignty is an essential foundation for international relations.’ 45

De uitspraken in beide zaken nopen tot de conclusie dat een staat in beginsel exclusief bevoegd is het gezag over zijn grondgebied en bevolking uit te oefenen, uiteraard met inachtneming van toepasselijke regels van internationaal (gewoonte)recht. Deze exclusieve rechtsmacht kan op zijn beurt worden ingedeeld in een drietal verschijningsvormen: De wetgevende, handhavende en rechtsprekende rechtsmacht. In Nederland is het territorialiteitsbeginsel wettelijk verankerd in art. 8 Wet algemene bepalingen en art. 2 van het Wetboek van Strafrecht.

44 _{Max Huber (arbitrator), april 1928, 2 RIAA 829, Island of Palmas Case (The Netherlands v. United States), sectie}

3.

Het gezag apparaat van de staat treft in beginsel een ieder (met uitzondering van bijv. immuniteit) die zich bevindt op het territoir van de staat, ongeacht nationaliteit. Hoewel er mogelijkheden bestaan onder bepaalde rechtsbeginselen de wetgevende rechtsmacht ook buiten het eigen territoir uit te oefenen, geldt dit niet voor de handhavende en rechtsprekende

rechtsmacht: een staat kan deze vormen van rechtsmacht slechts buiten zijn eigen territoir uitoefenen, indien de betrokken staat hiermee instemt of indien er een expliciete

volkenrechtelijke grondslag voor te vinden is. 46

Hoewel de territoriale soevereiniteit de staat beschermt tegen ongeoorloofde inbreuken van andere staten, brengt deze ook de verplichting met zich mee de exclusieve territoriale rechtsmacht van andere staten te respecteren. 47

2.2.B. De toepasselijkheid van territoriale soevereiniteit binnen het digitale domein

De bijzondere karakteristieken van het digitale domein zouden wellicht tot de conclusie kunnen leiden dat dit domein niet door de regels van het internationale recht kan worden gereguleerd en er aldus een noodzaak bestaat tot het formuleren van nieuwe regels. Bijzonderheden als het gebrek aan geografische grenzen binnen het digitale domein en het bestaan van een virtuele laag, hoeven echter niet per se een belemmering op te leveren om het digitale domein onder de regels van het internationale recht te doen vallen.

In de International Strategy for Operating in Cyberspace 2011 blijkt duidelijk de positie van de U.S. hieromtrent:

‘The development of norms for State conduct in cyberspace does not require a reinvention of customary international law, nor does it render existing international norms obsolete.

Long-standing international norms guiding State behavior – in times of peace and conflict – also apply in cyberspace.’ 48

46 _{Ducheine, militair rechtelijk tijdschrift, 2005, nr. 2, par. ‘Extraterritoriale werking’.}

47 _{Ducheine, militair rechtelijk tijdschrift, 2005, nr. 2, par. ‘Extraterritoriale werking’.}

48 _{Het Witte Huis (​The White House}

​ ), International Strategy for Operating in Cyberspace, mei 2011, p.9. Access

Het digitale domein kan niet door een staat worden geclaimd _{​per se}

​ _​ :49 het digitale domein is

immuun voor toe-eigening door een enkele staat of een groep staten. Het digitale domein van Defensie is in zoverre dan ook een niet bestaande entiteit en er kan dan ook beter gesproken worden van het digitale domein _​binnen

​ Defensie. Toch is er een zekere mate van afbakening

nodig van dat gedeelte van het digitale dat tot Defensie ‘behoort’, om zo de eventuele beveiliging en bewaking hiervan te kunnen onderzoeken in het kader van de Rijkswet.

Uit de praktijk blijkt dat Staten jurisdictie uitoefenen over het digitale domein. Staten vaardigen veelvuldig wetten uit die betrekking hebben op het digitale domein of onderdelen hiervan. Uit de rechtspraak blijkt bovendien dat staten digitale schendingen van de wet strafrechtelijk

aanpakken. Daarnaast is de rechtspraak omtrent de toe-eigening van cyber activiteiten aan

bepaalde personen, zeer omvangrijk. De auteurs van de Tallinn Manual onderschrijven de 50

gedachte dat delen van het digitale domein, de digitale infrastructuur, onder de territoriale soevereiniteit kunnen vallen. De digitale infrastructuur wordt door de auteurs omschreven als

‘The communications, storage, and computing resources upon which information systems operate. The internet is an example of a global information structure.’ 51

Een staat mag controle uitoefenen over de digitale infrastructuur die zich op zijn grondgebied bevindt en de activiteiten die hiermee zijn geassocieerd. Zoals gezegd oefenen staten

voortdurend het recht uit om rechtsmacht uit te oefenen over de digitale infrastructuur die zich op hun grondgebied bevindt en de activiteiten die hiermee gepaard gaan. Kort gezegd betekent het _{​res omnium}

​ van het digitale domein niet dat er nooit rechtsmacht kan worden uitgeoefend

49 _{M.N. Schmitt (ea), 2013, Tallinn Manual on the international law applicable on cyber warfare (New York,}

Cambridge University Press).

50 _{De ​Tallinn Manual on the international law applicable to cyber warfare}

​ is een in 2009 gestart project waarbij een

internationale groep van experts zich heeft gebogen over de vraag hoe bestaande normen kunnen worden toegepast ten opzichte van digitale oorlogsvoering. Hoewel de manual juridisch gezien niet bindend is, wordt het door de westerse landen als richtinggevend beschouwd. Indien er een relevantie bestaat voor dit onderzoek wordt er verwezen naar deze manual, maar met gepaste voorzichtigheid, nu de digitale oorlogsvoering en de toepasselijke regelgeving een wezenlijk ander karakter en bereik heeft heeft dan het onderwerp van deze scriptie.

51 _{M.N. Schmitt (ea), 2013, ‘Tallinn Manual on the international law applicable on cyber warfare’, (New York,}

over delen van dit digitale domein door de staat. In de Defensie Cyber Strategie 2012 blijkt uit de bewoordingen van het ministerie van Defensie dat deze zich als beheerder van hoogwaardige digitale en netwerken en systemen beschouwd en er daarnaast gekeken wordt naar de

mogelijkheid om digitale middelen van Defensie beschikbaar te stellen in het kader van de Intensivering Civiel Militaire Samenwerking (ICMS). Uit de praktijk blijkt aldus dat ook de 52

krijgsmacht onderdelen van het _{​res omnium}

​ van het digitale domein onder zijn beheer doet

vallen en hierover bevoegdheden kan uitoefenen.

2.3. Conclusie

Het digitale domein in zijn geheel is _{​res omnium}

​ en kan niet geclaimd worden door staten. Toch

is het internationaal geaccepteerd dat staten wel degelijk onderdelen van het digitale domein kunnen claimen en dit blijkt dan ook uit de praktijk: de krijgsmacht heeft zijn eigen digitale domein. Er bestaat geen universeel geaccepteerde definitie van de precieze inhoud van het digitale domein en het valt op dat er ruimere en meer restrictieve omschrijvingen te vinden zijn. Grofweg kan men het digitale domein indelen in een fysieke en een virtuele laag. De fysieke laag betreft de fysieke onderdelen die nodig zijn om digitale verbindingen te leggen zoals routers, servers en hardware en de personen die deze digitale verbindingen verwezenlijken. De virtuele laag creëert het ‘digitale’ aspect van het digitale domein, doordat het draait op de fysieke laag maar op zichzelf staand geen fysiek karakter heeft. De virtuele laag bestaat uit digitale objecten als software en data maar ook digitale identiteiten zoals een twitter account.

52_{​Kamerstukken II}

Hoofdstuk 3. Digitale dreigingen

De Nederlandse regering heeft in de Miljoenennota 2015 een extra budget voor Defensie beschikbaar gesteld, waarvan een deel bestemd is voor de investering in cyber. Voor het

regeringsjaar 2016 betrof deze extra investering in ‘cyber’ een bedrag van 7 miljoen euro en voor het jaar 2017 zal dit verhoogd worden tot 9 miljoen euro. De extra investering voor cyber 53

binnen Defensie dient ten goede te komen aan de versterking van vier kerngebieden: Ontwikkeling operationele cybermiddelen; Doorontwikkeling inlichtingenvermogen; Versterking digitale weerbaarheid en Ontwikkeling cybercapaciteit KMar, ten behoeve van uitvoering taken in het digitale domein. Naast het beschikbaar stellen van een extra budget voor 54

cyber binnen Defensie, is er de afgelopen jaren binnen Defensie ook volop geïnvesteerd in kennis, technologie en mensen. Zo is het Joint Informatievoorzieningscommando (JIVC) opgericht om hoogwaardige bewaking en beveiliging van alle systemen en netwerken te

realiseren. Het in 2014 gerealiseerde Defensie Cyber Expertise Centrum bundelt de kennis om 55

te kunnen opereren in het digitale domein en ontwikkelt deze ook. 56

De investeringen die Defensie de afgelopen jaren heeft gedaan en zal blijven doen, hebben voor een groot deel te maken met d_{​e versterking van de digitale weerbaarheid}

​ . Uit het

Cybersecuritybeeld 2016 blijkt dat de gewenste versterking van de digitale weerbaarheid van Defensie niet uit de lucht komt vallen. Zo blijkt uit dit meest actuele beeld dat de verstoring van ICT van de overheid door zogenaamde cybervandalen en beroepscriminelen toeneemt en het gebruik van offensieve cybercapaciteiten door staten met als doelwit de Nederlandse overheid, aanwezig zijn. De toegenomen dreigingen voor de digitale veiligheid van Nederland gelden 57

ook voor de krijgsmacht, die gebruik maakt van zijn eigen digitale middelen. Daarnaast kunnen

53_{​Kamerstukken II}

​ 2015, BS2015002124, p.2 (Kamerbrief).

54_{​Kamerstukken II}

​ 2015, BS2015002124, p.3-4 (Kamerbrief).

55 _{Ministerie van Defensie, ‘Joint IV Commando (JIVC) en Operations (Ops)’. Access online:}

https://www.defensie.nl/organisatie/dmo/inhoud/onderdelen/jivc.

56 _{Ministerie van Defensie, ‘Defensie Cyber Expertise Centrum opgericht’, 2014. Access online:}

https://www.defensie.nl/actueel/nieuws/2014/05/20/defensie-cyber-expertise-centrum-opgericht.

aanvallen op ICT waarbij uitval plaatsvindt van diensten en processen, buiten Defensie gevolgen hebben voor het functioneren van de eigen netwerken en systemen van Defensie. De onderlinge verwevenheid van digitale middelen en de potentiële neveneffecten van het gebruik van digitale middelen kunnen immers ook de eigen netwerken en systemen van Defensie ‘raken’ : Defensie draait voor een groot deel op netwerken afkomstig van private partijen.

Uit het jaarverslag van de MIVD 2015 blijkt dat Defensie steeds meer te maken heeft met digitale spionage, die bovendien niet meer beperkt is tot ‘slechts’ de toegang van de netwerken

en systemen van Defensie. Buitenlandse spionnen proberen steeds meer binnen te dringen in 58

Industriële Controle Systemen. Deze systemen worden worden onder andere gebruikt voor de 59

vitale onderdelen van de economie en toegang hiertoe heeft het potentieel grote schade te veroorzaken en aldus de Nederlandse veiligheid in gevaar te brengen. De buitenlandse spionnen

maken hiervoor overwegend gebruik van _{​spearphising}

​ _​ 60 en _{​watering holes}. 61

Hoewel het denkbaar is dat Defensie zich in een toekomstige ‘digitale oorlog’ zal bevinden waarbij uitsluitend het digitale domein het slagveld is, lijkt de kans hierop gering. Onder 62

sommige kringen wordt de digitale oorlog echter als een zeer reële mogelijkheid beschouwt: In de Verenigde Staten is er een grote groep ‘alarmisten’ die van mening zijn dat de digitale 63

oorlog naderend is of zelfs al in volle gang. De aan het begin van dit onderzoek gequote Richard A. Clark schetst in zijn in 2012 verschenen boek _{​Cyber War: The Next Threat to National}

Security and What to do About It’

​ duistere tijden wanneer de cyberoorlog eindelijk aanbreekt.

Vooralsnog heeft een zuivere digitale oorlog zich nog niet voorgedaan en werken digitale 64

middelen op oorlogsrechtelijk gebied slechts als een ‘force multiplier’ : cyberaanvallen zijn 65

58_{​Kamerstukken II}

​ 2016, 29924, 141, p. 35-36.

59_{​Kamerstukken II}

​ 2016, 29924, 142, p. 36.

60 _{Blijkens het CSBN 2016 is spearphising ​‘een variant van phishing die zich richt op één persoon, of een zeer}

beperkte groep personen, die specifiek wordt uitgekozen op basis van hun toegangspositie om een zo groot mogelijk effect te sorteren zonder al te veel op te vallen’

61 _{Blijkens het CSBN 2016 is een wateringhole-aanval ​‘gericht op een plek waar veel beoogde slachtoffers}

samenkomen. De aanvaller verspreid zijn exploit of malware via een website die zij regelmatig bezoeken door misbruik te maken van een kwetsbaarheid in deze website of in het contentmanagementsysteem van de website’

62 _{AIV/CAVV, ​‘Digitale oorlogsvoering’,}

​ 2011, p.10.

63 _{Kees Homan, Internationale Spectator 2012/66, nr. 2, p. 85.}

64 _{De inzet van digitale middelen dat leidde tot de Stuxnet-malware wordt door sommigen gezien als ‘s werelds}

eerste digitale oorlogsdaad. Zie bijv. Tallinn Manual (2013), waarbij een meerderheid dit argument echter verwerpt.

onderdeel van en ondersteunend aan offensieve operaties. Digitale oorlogsvoering als dreiging 66

voor defensie is voor dit onderzoek verder niet relevant, nu de Rijkswet geen toepassing vindt tijdens een internationaal gewapend conflict of een intern gewapend conflict als bedoeld in de

Geneefse Verdragen en de tot stand gekomen Aanvullende Protocollen. 67

De U.S. Strategic Cyberspace Operation Guide biedt een goed overzicht van de dreigingen die zich in het digitale domein bevinden. Hoewel de uitwerking van dreigingen per land verschillend kunnen zijn, is het aannemelijk dat de genoemde dreigingen ook voor Nederland gelden (dit blijkt bovendien uit de dreigingen die het NCSB schetst, het jaarverslag van de MIVD en het AIV/CAVV advies 2011). Het overzicht van de U.S. Strategic Cyberspace Operation Guide voor dreigingen in het digitale domein biedt dan ook een geschikt kader om voor dit onderzoek te gebruiken.

De dreigingen in het digitale domein van de volgende _{​actoren​ zijn waargenomen:}

● Dreigingen afkomstig van staten. Deze dreiging doet zich vaak voor in de vorm van spionage en kan getypeerd worden als de meest gevaarlijke dreiging, doordat staten toegang hebben tot een verscheidenheid aan individuen en middelen, wat wellicht niet geldt voor de andere genoemde actoren. Staten kunnen hun digitale operaties zelf uitvoeren of aan derde partijen uitbesteden. 68

● Dreigingen afkomstig van transnationale actoren. Deze actoren kunnen formele of informele organisaties zijn en zijn niet beperkt door nationale grenzen. Deze actoren kunnen het digitale domein gebruiken voor de beïnvloeding van groepen individuen, maar het is ook denkbaar dat zij zich schuldig maken aan terroristische acties in het digitale domein. 69

66 _Ibid.

67 _{Artikel 2 Rijksbesluit.}

68 _{United States Army War College, ​‘Strategic Cyberspace Operations Guide’}

​ , Center for Strategic Leadership

(2016), p. 9.

● Dreigingen afkomstig van criminele organisaties. Criminele organisaties kunnen

nationaal of transnationaal van aard zijn en hebben zich gespecialiseerd in het stelen van informatie om zo hun doelen te kunnen behalen. 70

● Dreigingen afkomstig van individuele actoren of kleine groepen. Deze actoren kunnen op onrechtmatige wijzen systemen en netwerken binnendringen of aanvallen en hebben hiervoor verschillende motieven. Zo kan een hacker kwetsbaarheden van systemen aan het licht brengen opdat overheidsinstanties of bedrijven hierop kunnen anticiperen en aanpassingen kunnen verrichten. Het is echter ook goed denkbaar dat een hacker uit minder nobele motieven handelt en met kwade bedoelingen inbreekt in de systemen en netwerken. 71

● Dreigingen afkomstig van ‘insiders’. Hierbij kan gedacht worden aan iemand die een vertrouwensfunctie heeft binnen een organisatie en als onderdeel hiervan toegang heeft tot de systemen en netwerken, maar dit vertrouwen vervolgens misbruikt waardoor er aan de organisatie schade wordt berokkent. 72

● Natuurlijke dreigingen. Natuurverschijnselen als stormen, overstroming en aardbevingen kunnen het digitale domein ernstig verstoren en schade aanrichten. 73

● Fysieke dreigingen. 74

In de U.S. Strategic Cyberspace Operation Guide worden verschillende _{​middelen ​beschreven om}

de gewenste doelen te bereiken in het digitale domein. DOS-aanval, DDoS-aanvallen, het inzetten van virussen, phishing zijn enkele van de genoemde technieken die gebruikt kunnen worden bij het nastreven van bepaalde doeleinden in het digitale domein.

Het geschetste beeld van de digitale dreigingen voor de krijgsmacht is dat deze van een verscheidenheid aan actoren afkomstig kunnen zijn en waarbij in beginsel het meest gevreesd dient te worden voor bedreigingen afkomstig van staten. De motieven voor het inzetten van

70_​Ibid.

71_​Ibid.

72_​Ibid.

73_​Ibid.

middelen in het digitale domein zijn uiteenlopend van aard en variëren tussen ‘goedgezinde’ hackers die kwetsbaarheden in systemen en netwerken aan het licht willen brengen, tot actoren die de inzet van middelen in het digitale domein benutten voor kwade doeleinden. De digitale dreigingen nemen bovendien toe.

3.2. De bewaking en beveiliging van het DDD

3.2.1. De organisatie

Het Joint Informatievoorziening Commando (JIVC) en Operations (OPS) zijn hoofdzakelijk verantwoordelijk voor de (door)ontwikkeling, het beheren, aankopen, uitgeven en afstoten van alle IT-middelen die Defensie gebruikt en zorgen ervoor dat tijdens een missie of oefening de 75

communicatiemiddelen naar behoren functioneren. Toen de luchtmacht een aanvraag deed voor 76

een mobiele buienradar ten behoeve van vliegers in het missiegebied Mali, was het aan het JICV om in deze radar te voorzien en de juiste werking ervan te verzekeren. 77

Het in 2015 versterkte Defensie Computer Emergency Response Team (DefCERT) waakt over de beveiliging van netwerken en systemen en is hiervoor voortdurend alert op afwijkingen hierbinnen. Naast het opsporen van dreigingen dient DefCERT ervoor te zorgen dat de dreiging vermindert of verdwijnt. DefCERT werkt binnen Defensie nauw samen met de overige

onderdelen van het JIVC en het MIVD en buiten Defensie met het NCSC, de NAVO (het

NCIRC), andere CERT’s en bedrijven die over specifieke kennis en middelen beschikken. Indien er zich een incident voordoet, fungeert DefCERT als coördinator met andere CERTS waarmee wordt samengewerkt. Naast de in 2015 gerealiseerde versterking van het DefCERT is er ook begonnen met de oprichting van het Security Operations Center (SOC), dat als taak heeft om alle

netwerken, IT-diensten en SEWACO-systemen van Defensie in Nederland in alle 78

75_{​Ministerie van Defensie,​ ‘Joint IV Commando (JIVC) en Operations (Ops)’}

​ . Access online:

https://www.defensie.nl/organisatie/dmo/inhoud/onderdelen/jivc.

76_​Ibid​.

77_{​Defensie materieel organisatie (DMO), ​‘Buienradar in de woestijn’}

​ , 2 oktober 2016. Access online:

http://www.avrm.nl/buienradar-in-de-woestijn/.

operatiegebieden dag en nacht te monitoren en te beschermen. Het in het begin van het nieuwe jaar verwachte operationele Defensie Cyber Commando zal zich ook concentreren op de digitale verdediging van Defensie en zijn bondgenoten.

3.2.2. De middelen

Uit het AIV/CAVV advies 2011 blijkt dat de krijgsmacht defensieve-, inlichtingen- en offensieve activiteiten ontplooid in het digitale domein. 79

De bewaking en beveiliging van het DDD valt onder de defensieve cyber activiteit, waarbij de krijgsmacht gebruik maakt van actieve en passieve verdedigingsvormen. Over de precieze digitale middelen waarover de krijgsmacht beschikt die voor de bewaking en beveiliging van het DDD worden ingezet, kan geen uitsluitsel worden gegeven. Uit het AIV/CAVV 2011 advies blijkt wel dat de passieve verdediging vorm kan krijgen in een zogenaamde statische en dynamische verdediging. De statische verdediging betreft het beveiligen van het DDD door 80

middel van interne beveiligingssystemen. Anti-virus programma’s of het installeren van een ‘firewall’ behoren hiertoe. De dynamische verdediging is er op gericht om verdachte activiteiten binnen de eigen netwerken op te sporen, bijvoorbeeld door middel van het monitoren van de eigen netwerken en systemen. De actieve verdediging voor de bewaking en beveiliging van het DDD is de daadwerkelijke digitale aanval op de systemen van de tegenstander en wordt in het AIV/CAVV advies 2012 omschreven als een ‘neutraliserende tegenaanval ter bescherming van

de eigen systemen’. Deze vorm onderscheidt zich van de netwerkaanval als offensieve 81

activiteit, doordat het een tegenreactie is op een aanval: de krijgsmacht heeft niet het initiatief genomen tot de eerste aanval. Deze neutraliserende tegenaanval kan bijvoorbeeld een

zogenaamde hack-back zijn of de verspreiding van ‘white worms’ om de _{​malicious software}

​ te

identificeren of neutraliseren.

79_{​AIV/CAVV, ​‘Digitale oorlogsvoering’,}

​ 2011.

80_{​AIV/CAVV, ‘​Digitale oorlogsvoering’,}

​ 2011, p.14-15.

81_{​AIV/CAVV, ​‘Digitale oorlogsvoering’,}

Grofweg valt er een onderscheid te maken tussen de bewaking en beveiliging van het DDD

waarbij binnen de eigen netwerken en systemen wordt gebleven, _{​interne defensieve verdediging,}

en de bewaking en beveiliging van het DDD waarbij buiten de eigen netwerken en systemen wordt getreden, _{​externe defensieve verdediging.}

Hoofdstuk 4.

_​

De bewaking en beveiliging van het digitale domein van

Defensie onder de huidige Rijkswet geweldgebruik bewakers militaire

objecten

4.1. Achtergrond

De Rijkswet geweldgebruik bewakers militaire objecten is in 2003 aangenomen door de Staten 82

Generaal, waardoor de oude Rijkswet geweldgebruik defensiepersoneel in de uitoefening van de bewakings- en beveiligingstaak werd ingetrokken. De wettelijke verankering van het gebruik 83

van geweld ter bescherming van militaire objecten in de Rijkswet vloeit voort uit artikel 11 Grondwet, dat de onaantastbaarheid van het menselijk lichaam verzekert: Een beperking op dit grondrecht dient bij of krachtens de wet te geschieden. Naast dit grondwettelijk vereiste om de geweldsbevoegdheid bij de bewaking en beveiliging van militaire objecten in de formele wet vast te leggen, werd het in de politiek ook wenselijk geacht om voor de militair duidelijke wettelijke kaders te scheppen waarbinnen zijn optreden gerechtvaardigd is . Bij twijfel omtrent 84

zijn optreden zou de militair voortaan niet meer een beroep op artikel 41 Sr hoeven te doen, 85

maar rechtstreeks naar zijn geweldsbevoegdheid onder de Rijkswet kunnen verwijzen. Voor de politie bestond destijds een expliciete wettelijke geweldsbevoegdheid in art. 8 van de Politiewet 86

(nu art. 7 Politiewet), waar ook de Kmar een bevoegdheid aan ontleende in de rechtmatige 87

uitoefening van zijn taak of een ander krijgsmachtonderdeel bij bijstand aan de politie. Door het voorstel van Rijkswet zou voortaan hetzelfde geregeld worden voor de militair in zijn

bewakings- en beveiligingstaak van militaire objecten.

82 _{Rijkswet geweldgebruik bewakers militaire objecten, Stb. 2003, 134.}

83 _{Rijkswet geweldgebruik defensiepersoneel in de uitoefening van de bewakings- en beveiligingstaak, Stb.}

84 _{Zie bijvoorbeeld de inbreng van Minister Voorhoeve tijdens de algemene beraadslaging van het voorstel tot}

Rijkswet, Handelingen TK 1995-1996, 57-4141.

85_{Deze wettelijke bepaling regelt het beroep op noodweer(exces).}

86_{​Politiewet 1993.}

De belangrijkste wijziging bij de totstandkoming van de Rijkswet defensiepersoneel, die op zijn beurt de Rijkswet geweldgebruik krijgsmacht in de uitoefening van de bewakings- en

beveiligingstaak verving, was de opvatting dat bij de uitvoering van bewakings- en

beveiligingstaken geen verschil diende te bestaan aangaande de bevoegdheden tot gebruik van geweld tussen burgerlijk bewakingspersoneel (in dienst van het Ministerie van Defensie) en militair bewakingspersoneel. Na kritische vragen van tweede kamerleden en een tijdens de

plenaire behandeling van het wetsvoorstel ingediend amendement van VVD lid van den Doel 88

hieromtrent, werd het aanvankelijke wetsvoorstel dan ook aangepast zodat ook burgerlijk bewakingspersoneel onder de reikwijdte van de wet zouden vallen. Het militaire

personeelstekort, zo werd er gesteld, zorgde er immers voor dat er meer militairen voor

daadwerkelijk operationele functies werden ingezet en minder voor de ‘bewakingsfuncties’. Het burgerlijk bewakingspersoneel voorzag in de hier ontstane leemte, maar het werd wenselijk geacht ook deze burgerambtenaren in dienst van Defensie expliciete geweldsbevoegdheden te verschaffen ter uitoefening van de bewakings- en beveiligingstaak.

Het hierop volgende voorstel van Rijkswet (de Rijkswet) creëerde een verdere uitbreiding van de bevoegdheid tot het gebruik van geweldsmiddelen in de militaire bewakings- en

beveiligingstaak, door ook aan buitenlandse militaire bewakers geweldsbevoegdheden toe te kennen. Aanleiding hiertoe was het in 1997 gesloten verdrag tussen het Koninkrijk en de Bondsrepubliek Duitsland (het legerkorpsverdrag). 89

Doordat de krijgsmacht steeds meer in bondgenootschappelijk verband is gaan optreden, werd de nieuw in te voeren bepaling niet slechts van toepassing op de Duitse militair: De Rijkswet kan worden toegepast ten aanzien van militairen van andere landen waarmee krachtens internationale verplichtingen bi- of multinationale wachten worden uitgevoerd.

De Rijkswet verschaft aan de militair behorend tot de krijgsmacht van het Koninkrijk, de burger ambtenaar in dienst van het Ministerie van Defensie en de militair van een vreemde mogendheid,

88_{Amendement inzake de bewaking en beveiliging van militaire complexen door burgerambtenaren in dienst van}

defensie, Kamerstuk 23787- (R1506) nr. 9.

89_{​Kamerstukken II}

de bevoegdheid tot het gebruik van geweld of vrijheidsbeperkende middelen ter uitvoering van de bewakings- en beveiligingstaak. Ten aanzien van de bevoegdheid tot het gebruik van 90

geweld, is in de wet een proportionaliteits- en subsidiariteitstoets opgenomen: het beoogde doel moet het gebruik van geweld rechtvaardigen en dit doel kan niet op een andere wijze worden bereikt.

Artikel 2 van de Rijkswet bepaald dat de bevoegdheid tot het gebruik van geweld slecht geldt bij de bewaking en beveiliging van de door Onze minister van Defensie aangewezen aangewezen objecten. Deze aanwijzing vindt plaats bij het ‘Rijksbesluit houdende aanwijzing van te bewaken en te beveiligen objecten’. 91

In de bijlage van het Rijksbesluit houdende aanwijzing van te bewaken en te beveiligen objecten vindt men de permanent aangewezen militaire objecten, die onderverdeeld zijn in vaste objecten

en mobiele objecten. Het Rijksbesluit geeft tevens de bevoegdheid voor de Commandant 92

Landstrijdkrachten, de Commandant Zeestrijdkrachten en de Commandant Luchtstrijdkrachten om op basis van mandaat namens de minister van Defensie objecten aan te wijzen als voor een termijn van ten hoogste 12 weken te bewaken en te beveiligen objecten. Aldus kunnen militaire 93

objecten_{​ permanente}

​ ​ ​objecten zijn, maar kunnen er door de commandanten van de

krijgsmachtonderdelen in mandaat of de minister hemzelve ook _{​tijdelijke objecten}

​ worden

aangewezen.

4.2. De militaire bewakings- en beveiligingstaak

De Rijkswet creëert een geweldsbevoegdheid voor de militair, burger ambtenaar in dienst van het Ministerie van Defensie en de militair van een vreemde mogendheid die onder bevel staat van een tot de krijgsmacht van het Koninkrijk behorende militair dan wel een burgerambtenaar in dienst van het Ministerie van Defensie, of die door de minister van Defensie als zodanig is

90 _{Artikel 1 Rijkswet.}

91 _{Hierna: Rijksbesluit.}

92_{​Bijlage A en B bij art. 1.}

aangewezen. Artikel 1 van de Rijkswet geeft in zijn eerste lid al meteen een belangrijke

beperking aan voor de geweldsbevoegdheid: De militair of burgerambtenaar mag slechts geweld gebruiken in de uitvoering van de _{​militaire bewakings- en beveiligingstaak​. Om de bewaking en} beveiliging van het DDD onder de Rijkswet te brengen, dient dan ook allereerst opheldering te worden gegeven over de zinsnede ‘militaire bewakings- en beveiligingstaak.

In het besluit van 19 juli 1997, houdende vaststelling regels inzake geweldgebruik krijgsmacht in de uitoefening van de bewakings- en beveiligingstaak (Besluit geweldgebruik krijgsmacht in de uitoefening van de bewakings- en beveiligingstaak), is de militaire bewakings- en

beveiligingstaak in het eerste artikel als volgt gedefinieerd

‘militaire bewakings- en beveiligingstaak: bewaking en beveiliging van door de Minister van Defensie aangewezen objecten’

De hier gegeven definitie verschaft weinig meer duidelijkheid over de daadwerkelijke invulling van de bewakings- en beveiligingstaak, dan dat het om de bewaking of beveiliging van door de minister van Defensie aangewezen objecten dient te zijn. Tijdens de algemene beraadslaging van het voorstel van de Rijkswet geweldgebruik krijgsmacht in de uitoefening van de bewakings- en beveiligingstaak, werden er door leden van het CDA en de VVD aan de minister van Defensie Voorhoeve kritische vragen gesteld omtrent deze militaire bewakings- en beveiligingstaak. Volgens Minister Voorhoeve zou een nadere omschrijving in de algemene maatregel van rijksbestuur voldoende zijn, maar deze is er echter nooit gekomen.

De Algemene Rekenkamer heeft na aanleiding van de gebeurtenissen op 11 september 2001 een onderzoek ingesteld naar een effectieve bestrijding van bedreigingen van terroristische aard. 94

Als sub-onderwerp kwam ook de beveiliging van militaire objecten naar voren, waarbij wél een definitie werd gegeven van de militaire bewakings- en beveiligingstaak:

Bewaken:

​ het systematisch en onafgebroken toezicht houden op en waarnemen van een gebied,

object, personeel, materieel of (informatie)systeem teneinde te waarschuwen of te alarmeren bij inbreuken op de veiligheid daarvan. 95

Beveiligen:

​ het nemen van maatregelen ter bescherming van een eenheid, gebied, object,

personeel, materieel of (informatie)systeem met als doel schade of verlies te voorkomen. 96

De hier gegeven definitie sluit aan bij de gangbare spreektaal: Bewaken is de ‘lichtere’ vorm, waarbij de wacht wordt gehouden over een persoon of object, beveiligen is de ‘zwaardere’ vorm, omdat ook daadwerkelijk maatregelen worden getroffen om de inbreuk op een persoon of object te doen eindigen. Het bewaken en beveiligen staan veelal niet los van elkaar en vloeien in elkaar over: De bewaker wordt een beveiliger zodra er met een middel moet worden ingegrepen. Zo bezien is de bewakingstaak geïncorporeerd in de overkoepelende beveiligingstaak en is er geen sprake van een duidelijke grens tussen het bewaken en het beveiligen.

Afgaande op het bovenstaande ga ik uit van de volgende definitie voor de militaire bewakings- en beveiligingstaak:

De militaire bewakingstaak betreft het systematisch en onafgebroken toezicht houden op militaire objecten, teneinde te waarschuwen of te alarmeren bij inbreuken op de veiligheid daarvan. De militaire beveiligingstaak, indien de bewaking tot verdergaande stappen noopt, betreft het nemen van maatregelen ter bescherming van militaire objecten, met als doel schade of verlies te voorkomen.

95_{​Rapport Beveiliging militare objecten, TK 2003-2004, 29415 nrs. 1-2, par. 2.2.1.}

4.3. De militaire bewakings- en beveiligingstaak in het digitale domein

De bewaking en beveiliging van het DDD beoogd de digitale veiligheid te verzekeren zodat de krijgsmacht zijn drieledige grondwettelijke taakstelling kan volbrengen. De regering omschrijft digitale veiligheid als

‘het streven naar het voorkomen van schade door verstoring, uitval of misbruik van ICT en, indien er toch schade is ontstaan, het herstellen hiervan. 97

De hier gebezigde omschrijving van digitale veiligheid kan worden toegepast op de beveiliging van het DDD en sluit goed aan bij de definitie van de militaire bewakings- en beveiligingstaak. Defensie maakt binnen het ruime kader van cyber kwesties een onderscheid tussen defensieve, inlichtingen en offensieve capaciteiten. Defensieve cyber capaciteiten betreft de beveiliging van 98

het DDD, inlichtingen de verkrijging van een hoogwaardige inlichtingenpositie in het digitale domein, en offensieve capaciteiten zijn die capaciteiten die tot doel hebben het handelen van de tegenstander te beïnvloeden of onmogelijk te maken.

De bewaking en beveiliging betreft allereerst het gebruik van defensieve cyber middelen om de veiligheid van het DDD te verzekeren. Zoals in het tweede hoofdstuk besproken maakt de krijgsmacht gebruik van een veelvoud aan tactieken en middelen, waarbij het gebruik kan maken van interne defensieve middelen en externe defensieve middelen. De ‘mildere’ interne

defensieve middelen kunnen gezien worden als de uitoefenings van de bewakingstaak, terwijl de meer agressieve externe defensieve middelen tot de beveiligingstaak kan worden gerekend. De krijgsmacht treedt bij de gebruikmaking van interne defensieve maatregelen niet buiten zijn eigen systemen en netwerken en er is bij deze vorm van bewaking geen wettelijke grondslag vereist, nu er niet eenzijdig wordt ingegrepen in de rechten of plichten van burgers. Het toezicht houden op de eigen netwerken kan dan ook niet anders worden gezien als een normale

bedrijfsuitvoering. Een en ander verandert zodra de veiligheid van het DDD op een zwaardere wijze wordt aangetast en er daadwerkelijk dient te worden ingegrepen om schade te voorkomen

97 _{Kamerstukken II}

​ 2010-11, 26643, nr. 174.

98_{​Kamerstukken II}

of te herstellen. De militair van het DefCERT die een DDoS aanval op het netwerk ziet gebeuren met potentieel grote gevolgen wil de aanval met cyber middelen afslaan. Externe defensieve middelen kunnen worden ingezet om een cyber aanval af te slaan en de vrijheid van het eigen

militair optreden in het DDD te waarborgen, bijvoorbeeld door middel van een _​hack-back

​ (de

actieve verdediging). Indien de krijgsmacht deze middelen inzet om de eigen digitale veiligheid 99

te waarborgen, wordt er buiten de eigen netwerken en systemen gehandeld en aldus eenzijdig ingegrepen in de rechten en plichten van de getroffen burger: Het legaliteitsbeginsel vereist een wettelijke grondslag.

4.4. Definitie ‘ militair object’

De bevoegdheden die de Rijkswet met zich meebrengt mogen uitsluitend worden gebruikt ten aanzien van objecten. In het Rijksbesluit staat een opsomming van die objecten (vaste en mobiele objecten) die _{​in ieder geval​ als permanente militaire objecten kunnen worden}

beschouwd, onderverdeeld in vaste en mobiele objecten. Tot de vaste objecten behoren onder andere: Militaire oefenterreinen en kazernes, havencomplexen, militaire radiostations en verbindingscentra, overige objecten welke gebruikt worden voor de opslag van informatie of vitale infrastructuur en voorzieningen van de krijgsmacht. Mobiele objecten zijn ondere andere: mobiele wapensystemen, mobiele installaties waar vitale goederen aanwezig zijn,

luchtvaartuigen, schepen. Daarnaast creëert de Rijkswet ook de mogelijkheid tot de aanwijzing van tijdelijk objecten. 100

Zowel de Rijkswet als het Rijksbesluit geven geen omschrijving van wat dit object nu precies is dat bewaakt en beveiligd kan worden. Coolen en Ducheine zijn beiden van mening dat met het object uit de Rijkswet en het Rijksbesluit een ‘militair object’ is bedoeld, zoals blijkt uit de context en de aanhef van de Rijkswet en het Rijksbesluit. Wat echter onder de Rijkswet en het 101

Rijksbesluit als een militair object kan worden gezien, wordt door Ducheine benadert vanuit

99 _Ibid.

100_{​Artikel 2 Rijksbesluit.}

101_{​G.L. Coolen, militair rechtelijk tijdschrift, 2004, nr. 3, p. 91 respectievelijk P.A.L. Ducheine, militair rechtelijk}

verschillende interpretatiemethodes. Aan bod komen achtereenvolgens de grammaticale en analoge interpretatiemethode. De Dikke van Dale definieert een object als

‘ elk ding dat zich aan de zintuigen, vooral aan de ogen, voordoet’ 102

Als synoniem noemt de Dikke van Dale een ‘voorwerp’. De Dikke van Dale definieert militair als

‘wat op het krijgswezen betrekking heeft, daartoe behoort’ 103

Door gebruik te maken van de grammaticale interpretatiemethode, voorziet Ducheine ons van een bruikbaar handvat waarbij hij het militaire object in grammaticaal opzicht beschouwt als ‘een voorwerp dat op de krijgsmacht betrekking heeft of daartoe behoort’. De interpretatie naar 104

analogie gebruikt Ducheine door het humanitair oorlogsrecht als kader te nemen, waarbij artikel 52 (2) van het eerste aanvullende protocol bij de Geneefse Verdragen het _{​military objective} limiteert naar ‘die objecten die naar hun aard, ligging, bestemming of gebruik een

daadwerkelijke bijdrage tot de krijgsverrichtingen leveren en waarvan de gehele of gedeeltelijke vernietiging, verovering of onbruikbaarmaking onder de omstandigheden van dat moment een duidelijk militair voordeel oplevert.’ Het eerste aanvullende protocol bij de Geneefse Verdragen heeft uiteraard een geheel ander onderwerp en reikwijdte dan de Rijkswet, nu het toepassing heeft in internationale gewapende conflicten. Toch ben ik ook van mening dat dit protocol een 105

verduidelijking kan opleveren van wat de wetgever heeft bedoeld met het ‘object’ in de

Rijkswet, hoewel enige voorzichtigheid is geboden bij deze analoge interpretatiemethode wegens het afwijkend toepassingsgebied van beide regelingen.

102_{​Ducheine, militair rechtelijk tijdschrift, 2005, nr. 2, p. 48.}

103_​Ibid.

104 _Ibid.

105 _{Artikel 1(4) van het AP I breidt dit toepassingsgebied uit tot gewapende conflicten waarin volkeren vechten tegen}

koloniale overheersing, vreemde bezetting of racistische regimes. Access Online:

http://www.rodekruis.nl/dit-zijn-we/humanitair-oorlogsrecht/eerste-aanvullend-protocol-i-bij-verdragen-gen%C3% A8ve.

Artikel 52 (2) AP I stelt dat civiele objecten alle objecten zijn die geen _{​military objective}

​ zijn in

de zin van het tweede lid van het artikel. Het onderscheid tussen civiele en militaire objecten vindt men terug in de meeste militaire doctrines en komt voort uit de gedachte dat burgers

beschermd dienen te worden tegen de verwoestingen en de gevaren van internationale conflicten, zolang zij zelf geen combattants zijn. Een militair object is aldus volgens het geldende

internationale recht _{​geen civiel object en dient naar zijn aard, ligging, bestemming of gebruik een} daadwerkelijke bijdrage tot de krijgsverrichtingen te leveren en waarvan de gehele of

gedeeltelijke vernietiging, verovering of onbruikbaarmaking onder de omstandigheden van dat moment een duidelijk militair voordeel oplevert. Een object dat naar zijn _​aard

​ een militair object

is, betekent dat het type object een militair karakter heeft : wapen(systemen), command en 106

controle centers op militaire hoofdkwartieren, militaire transporten, communicatie systemen, militaire vliegtuigen etc. Objecten naar hun _​ligging

​ zijn belangrijk voor de krijgsmacht omdat ze

effectief bij kunnen dragen aan militaire operaties. De strategisch gelegen bergpas of rivier 107

wordt vaak als voorbeeld gebruikt voor een object naar ligging. Objecten naar hun _{​bestemming} betreffen objecten die niet militair zijn maar waarvan het voorgenomen toekomstige gebruik van het object militair is. Ducheine gebruikt hiervoor het voorbeeld van een doorreis van een 108

Amerikaanse militaire eenheid die een deel van Schiphol gebruikt. Dit gedeelte van Schiphol is primair gezien geen militair object maar krijgt deze status door het voorgenomen gebruik van de Amerikaanse militaire eenheid. Of er een voornemen, een intentie, bestaat om een object in de toekomst voor militaire doeleinden te gebruiken, is niet altijd gemakkelijk te bepalen. Dat een civiel object potentieel gebruikt zal worden voor militaire doeleinden, is niet voldoende. Objecten naar hun _​gebruik

​ zijn die objecten die door hun gebruik militaire doeleinden dienen. 109

In tegenstelling tot objecten naar hun bestemming betreffen objecten naar gebruik de huidige functie en niet een voorgenomen toekomstige functie. Het vereiste van artikel 52 (2) AP I dat het militaire object een daadwerkelijke bijdrage tot de krijgsverrichtingen dient te leveren en de gehele of gedeeltelijke vernietiging, verovering of onbruikbaarmaking onder de omstandigheden van dat moment een duidelijk militair voordeel oplevert, wordt door Ducheine aangepast aan de

106_{​Ducheine, militair rechtelijk tijdschrift, 2005, nr. 2, p. 49.}

107 _Ibid.

108_​Ibid.