Mensen over de hele wereld maken zich misschien zorgen over de oplopende nucleaire spanningen, maar ik denk dat ze het feit missen dat een grote cyberaanval net zo schadelijk kan zijn - en hackers leggen al de basis.
Nu de VS en Rusland zich terugtrekken uit een kernpact voor kernwapens - en nieuwe kernwapens beginnen te ontwikkelen - plus spanningen in Iran en Noord-Korea opnieuw testlancerende raketten, is de wereldwijde bedreiging voor de beschaving groot. Sommigen vrezen een nieuwe atoomwapenwedloop.
Die dreiging is ernstig - maar een andere kan even ernstig zijn en is minder zichtbaar voor het publiek. Tot dusver hebben de meeste bekende hackincidenten, zelfs die met steun van een buitenlandse overheid, niet veel meer gedaan dan het stelen van gegevens. Helaas zijn er tekenen dat hackers schadelijke software in Amerikaanse stroom- en watersystemen hebben geplaatst, waar het op de loer ligt, klaar om te worden geactiveerd. Het Amerikaanse leger is naar verluidt ook doorgedrongen in de computers die Russische elektrische systemen besturen.
Veel inbraken al
Als iemand die cyberbeveiliging en informatieoorlog bestudeert, ben ik bezorgd dat een cyberaanval met wijdverbreide impact, een inbreuk op een gebied dat zich naar anderen verspreidt of een combinatie van veel kleinere aanvallen, aanzienlijke schade kan veroorzaken, waaronder massaal letsel en dodelijke rivaliserende dodental van een kernwapen.
In tegenstelling tot een nucleair wapen, dat mensen binnen 30 meter zou verdampen en bijna iedereen binnen een halve mijl zou doden, zou het dodental van de meeste cyberaanvallen langzamer zijn. Mensen kunnen sterven door een gebrek aan voedsel, elektriciteit of gas voor warmte of door auto-ongelukken als gevolg van een beschadigd verkeerslichtsysteem. Dit kan in een groot gebied gebeuren, met als gevolg massaschade en zelfs doden.
Dit klinkt misschien verontrustend, maar kijk naar wat er de afgelopen jaren is gebeurd, in de Verenigde Staten en over de hele wereld.
Begin 2016 namen hackers de controle over een Amerikaanse zuiveringsinstallatie voor drinkwater over en veranderden ze het chemische mengsel dat werd gebruikt om het water te zuiveren. Als er wijzigingen waren aangebracht - en onopgemerkt waren gebleven - had dit kunnen leiden tot vergiftigingen, een onbruikbare watervoorziening en een gebrek aan water.
In 2016 en 2017 hebben hackers grote delen van het elektriciteitsnet in Oekraïne afgesloten. Deze aanval was milder dan het had kunnen zijn, omdat er geen apparatuur werd vernietigd, ondanks de mogelijkheid om dit te doen. Ambtenaren denken dat het is ontworpen om een bericht te sturen. In 2018 kregen onbekende cybercriminelen toegang tot het hele Britse elektriciteitssysteem; in 2019 is een soortgelijke inval mogelijk het Amerikaanse netwerk binnengedrongen.
In augustus 2017 werd een Saoedi-Arabische petrochemische fabriek getroffen door hackers die probeerden apparatuur op te blazen door de controle te krijgen over dezelfde soorten elektronica die in allerlei soorten industriële installaties over de hele wereld worden gebruikt. Slechts een paar maanden later schakelden hackers bewakingssystemen voor olie- en gaspijpleidingen in de Verenigde Staten uit. Dit veroorzaakte voornamelijk logistieke problemen, maar het toonde aan hoe de systemen van een onzekere aannemer mogelijk primaire problemen zouden kunnen veroorzaken.
De FBI heeft zelfs gewaarschuwd dat hackers het op nucleaire installaties hebben gemunt. Een gecompromitteerde nucleaire faciliteit kan leiden tot de lozing van radioactief materiaal, chemicaliën of mogelijk zelfs tot een kernsmelting. Een cyberaanval kan een gebeurtenis veroorzaken die vergelijkbaar is met het incident in Tsjernobyl. Die explosie, veroorzaakt door onbedoelde fouten, resulteerde in 50 doden en evacuatie van 120.000 en heeft delen van de regio duizenden jaren onbewoonbaar gemaakt in de toekomst.
Wederzijds verzekerde vernietiging
Mijn zorg is niet bedoeld om de verwoestende en onmiddellijke gevolgen van een nucleaire aanval te bagatelliseren. Het is eerder om erop te wijzen dat sommige van de internationale bescherming tegen nucleaire conflicten niet bestaat voor cyberaanvallen. Zo suggereert het idee van "wederzijds verzekerde vernietiging" dat geen enkel land een kernwapen mag lanceren bij een ander nucleair bewapend land: de lancering zal waarschijnlijk worden ontdekt en het doelwit zou als reactie daarop zijn eigen wapens lanceren, waarbij beide naties worden vernietigd.
Cyberaanvallen hebben minder remmingen. Om te beginnen is het veel gemakkelijker om de bron van een digitale inval te verbergen dan om te verbergen waar een raket is afgeschoten. Verder kan cyberoorlog klein beginnen, zelfs gericht op een enkele telefoon of laptop. Grotere aanvallen kunnen gericht zijn op bedrijven, zoals banken of hotels, of een overheidsinstantie. Maar dat is niet genoeg om een conflict op nucleaire schaal te laten escaleren.
Cyberaanvallen van nucleaire kwaliteit
Er zijn drie basisscenario's voor de ontwikkeling van een cyberaanval van nucleaire kwaliteit. Het zou bescheiden kunnen beginnen, waarbij de inlichtingendienst van een land de militaire gegevens van een ander land steelt, verwijdert of in gevaar brengt. Opeenvolgende vergeldingsrondes kunnen de omvang van de aanslagen en de ernst van de schade aan het burgerleven vergroten.
In een andere situatie zou een natie of een terroristische organisatie een massaal destructieve cyberaanval kunnen ontketenen - gericht op meerdere elektriciteitsbedrijven, waterzuiveringsinstallaties of industriële installaties tegelijk, of in combinatie met elkaar om de schade te vergroten.
Misschien wel de meest zorgwekkende mogelijkheid is dat het per ongeluk kan gebeuren. Bij verschillende gelegenheden hebben menselijke en mechanische fouten de wereld tijdens de Koude Oorlog bijna vernietigd; er zou iets analoogs kunnen gebeuren in de software en hardware van de digitale wereld.
Verdedigen tegen een ramp
Net zoals er geen manier is om volledig te beschermen tegen een nucleaire aanval, zijn er alleen manieren om verwoestende cyberaanvallen minder waarschijnlijk te maken.
De eerste is dat overheden, bedrijven en gewone mensen hun systemen moeten beveiligen om te voorkomen dat indringers van buiten hun weg kunnen vinden, en vervolgens hun verbindingen en toegang tot diepere duiken moeten benutten.
Kritieke systemen, zoals die bij openbare nutsbedrijven, transportbedrijven en bedrijven die gevaarlijke chemicaliën gebruiken, moeten veel veiliger zijn. Uit een analyse bleek dat slechts ongeveer een vijfde van de bedrijven die computers gebruiken om industriële machines in de VS te besturen, zelfs hun apparatuur bewaakt om potentiële aanvallen te detecteren - en dat in 40% van de aanvallen die ze hebben opgelopen, de indringer toegang had gehad tot het systeem voor meer dan een jaar. Uit een ander onderzoek bleek dat bijna driekwart van de energiebedrijven het voorgaande jaar een soort netwerkintrusie had meegemaakt.