‘Naming and shaming’ in cyberspace - Hoofdinhoud
Marietje Schaake, naast Europarlementariër ook commissielid van de Global Commission on the Stability of Cyberspace (GCSC), briefde op 26 februari jl. het NAVO Cyber Defence Committee. Voorafgaand aan deze presentatie ging zij in gesprek met de Nederlandse permanent vertegenwoordiger (PV) bij de NAVO, Marjanne de Kwaasteniet.
Marietje Schaake is als commissielid van de GCSC vurig pleitbezorger voor meer stabiliteit in cyberspace. Marjanne de Kwaasteniet zet zich als PV NAVO in voor hetzelfde doel. De NAVO is immers gebaat bij een stabiel cyberspace. Toch worden de cyber beleidsontwikkelingen van de NAVO met meer scepsis gevolgd. Cyber wordt door de militaire alliantie namelijk ook beschouwd als een instrument om bij operaties en missies in te zetten. Zijn de doelen van de NAVO en de GCSC wel te verenigen?
Cyber is een operationeel domein voor het bondgenootschap, net als land, zee en lucht. Om andere staten af te schrikken cyberwapens in te zetten en in extremis om bondgenoten te verdedigen, hebben de NAVO lidstaten erkend dat een cyberaanval op één kan leiden tot een collectieve reactie van allen. Het is echter moeilijk vast te stellen wanneer cyberoperaties als onderdeel van een hybride campagne de drempel van een gewapende aanval bereiken. Hierdoor wordt het handelen van de NAVO beperkt, aldus De Kwaasteniet.
Het is juist daarom van belang om internationale normen overeen te komen. Volgens Schaake speelt de GCSC daarbij een belangrijke rol door met verschillende stakeholders internationale normen te formuleren. Een goed voorbeeld is de recente oproep tijdens de Global Conference on Cyberspace in New Delhi om de publieke kern van het internet te beschermen.
Cruciale vraag daarbij is hoe staten gestimuleerd kunnen worden om deze normen, en overige bepalingen in cyberspacena te leven. Vanuit NAVO perspectief zou de vraag zijn: hoe kunnen we de ‘potentiële opponent’ zodanig afschrikken dat deze afziet van bijvoorbeeld het beïnvloeden van verkiezingen of, in het ergste geval, het aanvallen van onze vitale infrastructuur?
De Kwaasteniet en Schaake verwijzen hiervoor beiden naar de recente Britse publieke attributie van de NotPetya cyberaanval aan Rusland. Deze attributie werd gevolgd door een aantal landen, waaronder een aantal NAVO-bondgenoten. De achterliggende gedachte van deze tactiek van naming and shamingvan daders is dat het een afschrikwekkend effect kan hebben op potentiële kwaadgezinde partijen. Volgens de NAVO zal een militaire alliantie die bereid is elke bondgenoot - eventueel ook met cyberwapens - te verdedigen, het afschrikwekkende effect van attributie versterken. Uiteindelijk is echter eerst een streep in het zand - in dit geval de vastgestelde internationale norm - nodig om staten die zich daar niet aan houden publiekelijk aan te kunnen spreken.