Cyberveiligheid is een waanbeeld.
Antwerpen en Diest mogen dan wel de brokken aan het lijmen zijn van de recente cyberaanvallen (Antwerpen tegen een wellicht onderschatte koste van 70 miljoen euro). Wie denkt dat we daarmee de laatste, en meest ernstige, cyberaanval gehad hebben in het kleine België, fluit in het donker.
Mario Greco, de topman van Zurich, een van de grootste verzekeraars van Europa, zei onlangs dat cyberaanvallen zo frequent en disruptief worden dat ze stilaan onverzekerbaar zijn. Dat zou een wake-up call moeten zijn voor wie die nog nodig had.
Het consultancybedrijf McKinsey schat dat cyberaanvallen tegen 2025 voor 10.5 biljoen dollar schade zullen aanrichten. Zij voorspellen (McKinsey-gewijs, voor hun potentiële klanten) een “gouden markt” van 1.5 tot 2 biljoen dollar voor cybersecuritydiensten.
Zo blijven we bezig natuurlijk. IT-bedrijven creëren een gigantische markt voor een probleem dat ze minstens voor een deel zelf mee veroorzaakt hebben, door de hoogmoedige slordigheid die eigen is aan ITers, maar vooral door de complexiteit en onveiligheid die we allemaal samen zelf in stand houden door onze afhankelijkheid van informatietechnologie. Ten tijde van de cyberaanval op Antwerpen moest Digipolis, de IT-dienst van de stad, meer dan 600 producten ondersteunen, waarvan een groot deel verouderd was.
Accidents waiting to happen…
Nu, de tijdelijke uitval van stadsdiensten of van bedrijven kan bijzonder vervelend zijn. Maar waar we echt wakker van moeten liggen, zijn de geopolitieke risico’s van cyberonveiligheid.
Chris Blattman, die een ding of twee weet over conflicten en oorlogen, voorspelt in een recent artikel in Wired dat we in 2023 vrijwel zeker een “major cyberattack” zullen meemaken.
Het gaat dan niet over hackers die een stad of een bedrijf tijdelijk lamleggen voor wat losgeld, maar over een massale aanval van een land op een ander land.
Blattman is een economist en politieke wetenschapper die met veldwerk en statistisch onderzoek onder meer oorzaken en gevolgen van conflicten en geweld bestudeert, van bende-oorlogen tot echte oorlogen tussen staten. In zijn jongste boek, Why We Fight. The Roots of War and the Paths to Peace (2022) onderzoekt hij eigenlijk vooral hoe het komt dat we meestal niet vechten, en toont hij, (spel)theoretisch en empirisch, aan dat compromissen eerder regel dan uitzonderingen zijn.
In het artikel in Wired argumenteert hij dat de “gewone” regels voor conflicten en conflictoplossingen niet opgaan voor cyberoorlogen en dat die daarom zo gevaarlijk zijn.
Om te beginnen zijn cyberwapens veel goedkoper dan conventionele wapens. Zelfs de kleinste staat of organisatie kan ze maken en inzetten. Maar vooral: “missiles come with a return address, but virtual attacks do not“. Stel dat een virus deze winter alle Europese en Amerikaanse oliepijplijnen uitschakelt. De aanval lijkt Poetins handtekening te dragen. Maar het zouden net zo goed de Chinezen kunnen zijn, of Iran. Wat is dan de beste tegenzet?
Omdat ze niet zeker zijn wie de aanval pleegde, zouden Biden, Macron en Scholz misschien best beslissen niet te vergelden. Maar dat is een zwaktebod, dat tot meer aanvallen kan leiden.
Bij elke aanval wel vergelden, is ook geen optimale strategie. Het risico is te hoog dat we tegen de verkeerde partij vergelden, en dat zou tot een escalatie kunnen leiden, die in het ergste geval nucleair kan worden.
De minst slechte strategie, zo stelt Blattman, is af en toe en op onvoorspelbare wijze te vergelden. Zoals je bij poker niet heel de tijd bluft, maar af en toe, en onvoorspelbaar.
Maar aanvallers volgen dezelfde strategie. Ze weten dat het slachtoffer niet altijd zal vergelden. En zo verlaagt de drempel om een cyberoorlog te beginnen.
Technologische oplossingen voor de technologische bedreigingen – de 2 biljoen dollar van McKinsey – zijn een deel van de oplossing. Maar Blattman toont aan dat de combinatie van een quasi-zekerheid van een grootschalige cyberaanval en de complexiteit om in dit soort conflicten vrede te handhaven of herstellen, vooral superintelligent strategisch denken vereist.