Het is oorlog, maar niemand die het ziet, waarin Huib Modderkolk aantoont hoe inlichtingen- en geheime diensten in een digitale strijd zijn verwikkeld en ondertussen zowat alles en iedereen hacken, is een subliem boek. Hij laat gedetailleerd zien hoe spionage en sabotage verweven zijn geraakt. De enige kanttekening die ik heb, is dat hij steevast de oorlogsmetafoor inzet in zijn poging om de hele zwik voor de leek begrijpelijk te maken.
Begrippen als koude oorlog, wapenwedloop, escalatie en afschrikking, aanval en verdediging klinken vertrouwd, en lijken een nuttig kader te bieden. Maar ze ontnemen ons het zicht op wat dit moderne wapengekletter zo radicaal anders maakt, en laat ons de verkeerde ‘oplossingen’ suggereren. Naar aanleiding van de documentaire Zero Days (2016), die liet zien dat geheime diensten vet betalen voor exploits om andermens’ systemen te kunnen binnendringen en manipuleren, werd geopperd dat een non-proliferatieverdrag voor beveiligingslekken een oplossing kon zijn. Heus: wie dat voorstelt, begrijpt niets van het probleem.
Niet alleen overheden of hun steelse subdivisies kunnen essentiële infrastructuur hacken. Ook een vasthoudende puber ergens op een zolderkamertje kan KPN platleggen, zoals Modderkolk aantoont. Non-proliferatie is gebaseerd op bovenstatelijke controles, op internationaal recht en dito verdragen, op sancties, op traceerbare goederen, op voor de buitenwereld zichtbare proeven, op identificeerbare fabrieken en installaties. Dat alles ontbreekt te enen male bij digitale spionage en sabotage.
Staten doen er op dit vlak niet meer toe, evenmin als hun klassieke tegenstrevers: politieke cellen, guerrilla of terrorisme. Iedereen kan zich, met enige kennis en volharding, een bereik verwerven waarop staten meenden een monopolie te hebben. De situatie is veel grilliger: we kampen nu ook met mensen die voor de lol een bedrijf of land willen platleggen.
Geheime diensten zoeken naar zero day exploits, beveiligingslekken die nog niet bekend zijn, en dus niet gedicht; die hopen ze te kunnen gebruiken om tegenstanders te hacken. Het grote probleem: zodra zo’n dienst een veiligheidslek vindt, heeft die er geen enkel belang meer bij dat het lek wordt gerepareerd. Dit in de volle wetenschap dat ditzelfde lek ook door anderen kan worden uitgebuit, en dan haar eigen burgers, bedrijven en instellingen kan treffen. Met publieke gelden en onder het motto dat zij het landsbelang verdedigen, cultiveren onze veiligheidsdiensten zodoende, o ironie, de kwetsbaarheid van onze eigen burgers en instellingen.
Zo had de Amerikaanse NSA voor eigen gebruik een aardige collectie van zero day exploits verzameld. De NSA werd gehackt, de exploits belandden op straat, Rusland ging ermee aan de haal en zette die in de Oekraïne in, waar het ME.Docs-virus het land platlegde en zelfs doden maakte (Modderkolk beschrijft de kwestie).
De conclusie die Modderkolk niet trekt, is deze: elke geheime dienst die een exploit geheimhoudt, zet daarmee de veiligheid van haar eigen burgers moedwillig op het spel.