Met de inval in Oekraïne was de verwachting een Russische golf van cyberaanvallen die de Oekraïense vitale infrastructuur en verdedigingssystemen omver zou blazen. Wat we kregen was vooral analoog wapengekletter, schrijft strategisch analist Louk Faesen op EW Podium.
Rusland is een grootmacht in cyberoorlogsvoering. Hacken zit in het DNA van het Russische inlichtingenstelsel en de ‘proxies’ (digitale vazallen) die vanuit het Kremlin worden aangestuurd. Waarom zien we hier zo weinig van terug in de oorlog in Oekraïne?
Identificeren van vijandige eenheden in elektromagnetisch spectrum
Cyberoorlogsvoering komt in verscheidene vormen voor. Zo heb je zogenoemde tactische cyberoperaties op het slagveld met vooral een ondersteunende functie bij conventionele militaire operaties en wapengekletter. Denk aan het hacken en uitschakelen van vijandige radarsystemen om een luchtaanval mogelijk te maken, het jammen of blokkeren van vijandelijke communicatie, of het achterhalen en identificeren van vijandige eenheden in het elektromagnetische spectrum.
Voorheen was Rusland een voorloper op dit gebied en heeft het deze capaciteit in 2014 ingezet in Oost-Oekraïne, ook om psychologische effecten te realiseren, zoals het versturen van sms-berichten naar vijandelijke soldaten om hun moreel te ondermijnen.
De verwachte Russische dominantie zien we (nog) niet terug. Allerlei verklaringen zijn mogelijk. Het kan zijn door een slechte planning. Dit soort cyberoperaties zijn enorm complex en vergen naadloze coördinatie tussen diverse eenheden. Maar de Russen kampen met logistieke problemen en de coördinatie verloopt niet soepel.
Een andere optie is dat Russische troepen geen jammers (stoorzenders) willen inzetten uit angst dat ze daardoor hun eigen communicatie verstoren. Ze blijken gebruik te maken van onbeveiligde mobiele telefoons en walkietalkies die afhankelijk zijn van de Oekraïense infrastructuur. Terwijl ze in 2014 wegkwamen met ongericht jammen, is dat nu niet het geval. Toen escaleerde de situatie in Oekraïne nauwelijks, terwijl het nu over een grootschalige oorlog gaat waarbij Russische troepen vaker en over een langere periode gebruik moeten maken van hetzelfde elektromagnetische spectrum.
Platleggen van de vitale infrastructuur
Digitale aanvallen die geen ondersteunende functie spelen, zoals het platleggen van de vitale infrastructuur, kunnen worden omschreven als strategische cyberoperaties. Ze kunnen nog steeds tactisch relevant zijn op het slagveld, maar hebben vaak een trager operationeel tempo omdat de voorbereiding en uitvoering veel tijd en mankracht kosten, vooral als blijvende en vernietigende effecten het doel zijn. Denk aan de Russische BlackEnergy-operatie, die in december 2015 het Oekraïense elektriciteitsnet lamlegde waardoor ruim 230.000 inwoners tijdelijk zonder stroom zaten, of de Russische NotPetya-gijzelsoftware in 2017 die aanvankelijk was gericht op Oekraïne, maar vervolgens wereldwijd voor meer dan 10 miljard dollar schade heeft toegebracht.
In de actuele oorlog in Oekraïne hebben we nog geen cyberaanvallen met grootschalige effecten gezien. We zien vooral meer van wat dat al in ‘vredestijd’ gebeurde: DDoS-aanvallen die netwerken overbelasten en data-wipers die cruciale bestanden verwijderen en computernetwerken tijdelijk verlammen.
Hoe komt dit? Vooralsnog kunnen we hierover alleen maar speculeren. Waarom zouden de Russische inlichtingendiensten bijvoorbeeld enorm veel tijd en energie stoppen in het hacken van energiecentrales als ze die ‘simpelweg’ kunnen bombarderen? Er is geen behoefte meer aan plausible deniability die cyberoperaties normaal voorzien, hoewel je met een hack minder destructief te werk kan gaan. De NotPetya-aanval toont trouwens aan dat Rusland niet altijd gericht te werk gaat en de effecten niet tot Oekraïne beperkt blijven. Vrees voor wereldwijde neveneffecten van hun malware kan een van de redenen zijn waarom Rusland er vooralsnog vanaf ziet, omdat de Russen een westerse digitale tegenreactie vrezen.
Maar een gebrek aan verreikende effecten wil niet automatisch zeggen dat cyberaanvallen niet gebeuren. De Russen kunnen al in Oekraïense netwerken zitten, maar gewoon nog niet op de kill switch (noodstopschakelaar) hebben gedrukt. Of de Oekraïense autoriteiten hebben ze nog niet gedetecteerd of gerapporteerd. Een andere optie is dat de hacks wel zijn uitgevoerd, maar dat de effecten door een goede verdediging beperkt zijn gebleven.
Een betere verdediging
Volkskrant-journalist Huib Modderkolk gaf onlangs een goed overzicht van de Russische cyberaanvallen in Oekraïne, zoals die op satellietbedrijf Viasat of internetserviceprovider Triolan. Volgens Oekraïense autoriteiten had de satellietverstoring ernstige gevolgen voor hun militaire communicatie in het begin van de Russische invasie. Maar pogingen om een grootschalige internetstoring te veroorzaken, waren minder succesvol. Al met al houdt het Oekraïense internet stand, wat volgens internetorganisaties deels te maken heeft met de gefragmenteerde binnenlandse markt. Wordt één netwerk platgelegd, dan heeft dit een relatief klein effect op het hele netwerk. Maar ook al lijkt het Oekraïense internet, net als de bevolking, vooralsnog veerkrachtig, elke infrastructuur heeft een breekpunt. Zodra de elektriciteitstoevoer wordt afgebroken, zoals in Marioepol, zal het internet platgaan.
Het blijft dus gissen naar mogelijke verklaringen. Eén ding is duidelijk: dit is niet de Russische cybergrootmacht die we hadden verwacht. Maar dit is ook niet het Oekraïne van 2014. Sindsdien is hun verdediging verbeterd en vitale infrastructuur versterkt, deels met Amerikaanse en Europese hulp. Er is een vrijwilligersgroep cyber resistance opgericht – waarvoor zich binnen een week meer dan 400.000 vrijwilligers hebben aangemeld – die zowel defensieve en offensieve ondersteuning zou bieden. Daarnaast zijn de westerse hulp aan Oekraïne en de sancties tegen Rusland sinds de oorlog in een stroomversnelling geraakt. Er is een ongekende steun van de big tech-bedrijven voor de Oekraïense nationale cyberveiligheid en socialemediaplatformen limiteren het bereik van Russische staatsmedia.
Russische cybervergelding tegen westerse sancties
Onlangs waarschuwde president Joe Biden Amerikaanse bedrijven nogmaals voor Russische cyberaanvallen als tegenreactie. Die kunnen het Europese energienet verder onder druk zetten en de aankomende presidentsverkiezingen in Frankrijk ondermijnen. Of verwacht een terugkerende ransomware-golf door Russische cybercriminelen die onder steeds meer druk van het Kremlin staan. Hierbij worden met gijzelsoftware computers en/of gegevens die erop staan geblokkeerd en pas na betaling van losgeld weer toegankelijk gemaakt.
Een toenemend autoritair en geïsoleerd Rusland dat in een langdurig militair conflict lijkt te verzanden, zal zijn blik op het Westen richten. Cyberaanvallen zijn daarbij een uitgelezen vergelding tegen sancties.
Dit artikel door HCSS senior strategisch analist Louk Faesen verscheen oorspronkelijk in EW Podium, 08-04-2022
Foto bron: The Presidential Office of Ukraine
Experts
Related Content
