Hij vocht mee in de Golfoorlog, maar ruilde daarna het geweer in voor het toetsenbord. Maak kennis met Jack Koons, een pionier in cyberveiligheid die vandaag bedrijven bijstaat als technology evangelist. ‘Hoe mensen met elkaar omgaan: daarin schuilt de échte bedreiging.’
‘Geeft het als ik er wat sciencefictionfilms bij sleur? Ik ben nogal een nerd, het helpt me om mijn uitleg beter te formuleren.’ Jack Koons is wat je noemt een spraakwaterval. Zelfs met een knoert van een jetlag in een wat troosteloos bureautje van de Lotto Mons Expo in Bergen doet hij zijn reputatie van tech evangelist alle eer aan.
Koons is gepokt en gemazeld in het Amerikaanse leger. In 1991 nam hij als militair deel aan operatie Desert Storm tegen het Irak van Saddam Hoessein. In de jaren negentig maakte hij carrière als Cyber Warfare Officer, toen hacking en cybertechnologie de kinderschoenen stilaan ontgroeiden. In 2010 richtte hij het United States Cyber Command mee op, waar hij bijvoorbeeld de leiding had over de cyberaanvallen waarmee Amerika de IS bestookte. Vandaag is hij afgezwaaid en adviseert hij voor technologiebedrijf Unisys bedrijven en overheden die zich beter willen beschermen tegen cybercriminelen.
Om de Amerikaanse verkiezingen te manipuleren, zou je duizenden hacks tegelijk moeten doen. Dat lijkt me heel moeilijk.
Jack Koons: Ken je Jurassic Park? In de eerste film zit een quote van Ian Malcolm – een rol van Jeff Goldblum – die me altijd is bijgebleven. In een gesprek met de directie van het dinosauruspark zegt hij: ‘Jullie, wetenschappers, waren zo bezig met de vraag of jullie het konden – dinosaurussen herscheppen uit hun DNA – dat jullie je nooit afgevraagd hebben of jullie dat wel moesten doen.’ (ernstig) Dat is exact hoe ik over cyberwarfare denk. We hebben de voorbije jaren technieken ontwikkeld waarmee we enorm veel kunnen. Maar eigenlijk zijn we nu pas aan het nadenken over de vraag: willen we die allemaal wel gebruiken?
Wat is voor u de voornaamste uitdaging?
Koons: Het probleem is dat je in cyber warfare geen duidelijke grenzen hebt. In de traditionele oorlogvoering is het simpel. Er is een stel lijnen op de kaart getekend en als je die overschrijdt, is het oorlog. Als ik nu in een vliegtuig spring en de grens met Rusland overvlieg, hebben de Russen het recht om me neer te schieten. Niemand betwist dat, beide partijen weten heel goed dat ik een oorlogsdaad heb begaan. Maar bega ik een oorlogsdaad als ik van bij mij thuis in een buitenlandse computer inbreek? Voorlopig niet.
Veel cyberwarfare gebeurt vandaag onder het mom van spionage. Als ik in een netwerk inbreek en zo inlichtingen verzamel – en laten we wel wezen: elk land doet dat – snapt iedereen dat ik geen oorlogsdaad bega. Er bestaan regels voor. Als een spion gepakt wordt, wordt hij naar zijn ambassade gebracht en het land uit gegooid, zoals Nederland dat begin oktober vorig jaar met die agenten van de Russische militaire inlichtingendienst GRU in Den Haag heeft gedaan. Waarom? Omdat er binnen de spionnenwereld regels zijn, regels die in een cyberoorlog gewoonweg niet bestaan.
Opvallend aan de arrestatie van die GRU-officieren was dat ze helemaal naar Den Haag waren gereisd om in te breken in het computersysteem van de Organisatie voor het Verbod op Chemische Wapens. Konden ze dat niet gewoon vanuit Rusland?
Koons: Soms moet je fysiek naar een doelwit gaan. Het is zoals de bankoverval in Mission: Impossible. Het netwerk van de bank in die film was afgesloten van het internet. Om in dat netwerk in te kunnen breken, moest het personage van Tom Cruise veinzen dat er een brandalarm was, om zich dan voor te doen als brandweerman en zich aan een visdraad naar beneden te laten zakken om zijn cd-rom in de centrale computer te krijgen. In een cyberoorlog heb je soms hetzelfde probleem.
Stel, u wilt mijn telefoon hacken. Moet u dan bij me in de buurt zijn?
Koons: U moet begrijpen dat uw smartphone niet één ding is, maar acht of negen verschillende dingen. Het is een draadloze ontvanger, een bluetoothkanaal, een datakanaal, een computer enzovoort. Als ik bijvoorbeeld wil inbreken in uw draadloze netwerk, moet ik binnen het bereik van uw wifisignaal zijn. Maar als ik in de computer van uw telefoon wil raken, kan dat bij wijze van spreken van bij mij thuis. Het hangt er dus van af waarnaar ik op zoek ben.
Stel dat u een bedrijf hebt en ik in uw netwerk wil inbreken. En stel dat u dat netwerk onder een stolp hebt gezet: u hebt de ramen afgezet met loden schilden en u hebt het gsm-signaal binnen laten blokkeren, zodat ik uw collega’s niet kan hacken. Dan kan ik het volgende doen: ik neem een gsm, hang die aan een stevige batterij en zorg ervoor dat die vrijdag bij u geleverd wordt, zodat hij pas maandag op een bureau terechtkomt. Op die manier heb ik van vrijdag tot maandag een telefoon in uw gebouw. Ik kan daar dan naar bellen, waarna ik via de wifi op uw netwerk kan – en ik ben binnen.
Wat zijn volgens u de voornaamste potentiële doelwitten van cyberaanvallen?
Koons: Voor natiestaten zijn dat de onderdelen van de kritieke infrastructuur: stuwdammen, energiecentrales, waterzuiveringsinstallaties, havens. In Amerika denken we er nu over na of onze verkiezingen ook tot die groep potentiële doelwitten moeten behoren.
Acht u het mogelijk dat de Amerikaanse verkiezingen gehackt worden?
Koons: Het lijkt me heel moeilijk om dat te doen. De fysieke hardware van de verkiezingsinfrastructuur is verspreid en onderling niet verbonden. Om de stembusgang te manipuleren zou je duizenden hacks tegelijk moeten doen.
Wat raadt u bedrijven aan die zich willen beveiligen?
Koons: De boodschap is dat je fundamentele keuzes moet maken. Ik zou me kunnen voorstellen dat banken bankautomaten niet als kritieke infrastructuur beschouwen. In die automaten zit maximaal 50.000 dollar (44.000 euro, nvdr) en ze zijn verzekerd tegen diefstal: waarom zou je daarin investeren? Waarschijnlijk willen banken eerder hun interne systemen beschermen, zodat criminelen hun digitale geldreserves niet kunnen manipuleren.
Betekent cyber warfare dat we permanent in oorlog zijn?
Koons: Dat hangt ervan af wie ‘we’ is.
Is iedereen niet in oorlog met iedereen?
Koons: Het is één grote grijze zone. Toen Estland in 2007 het doelwit was van een massieve DDOS-aanval (een aanval waarbij duizenden computers tegelijk een website bezoeken en zo de server platleggen, nvdr), waren de Esten in paniek. Ze vonden dat ze aangevallen waren: hun land is het meest gedigitaliseerde ter wereld, en plotseling werkte niets meer. De internationale gemeenschap is hen daar niet in gevolgd. Niet omdat een DDOS-aanval niet voldoet aan de voorwaarden, maar omdat er gewoon geen voorwaarden zijn.
De NAVO raakt er momenteel niet eens uit wat cyber warfare eigenlijk is, laat staan dat er unanimiteit is over de vraag of je er met een échte oorlog op moet reageren.
Er gaan stemmen op om cyberaanvallen artikel 5 van het NAVO-verdrag te laten activeren. Volgens dat artikel wordt een aanval tegen één NAVO-lidstaat als een aanval tegen alle lidstaten beschouwd.
Koons: De NAVO worstelt enorm met die vraag. Alle lidstaten lopen het risico om gehackt te worden. Sommige – zoals Amerika – zijn vaak het doelwit, andere zijn het zelden. Landen als Amerika zijn groot en kunnen veel verdragen, een land als Estland komt sneller in de problemen. De NAVO raakt er momenteel niet eens uit wat cyber warfare eigenlijk is, laat staan dat er unanimiteit is over de vraag of je er met een échte oorlog op moet reageren. Ik denk niet dat de lidstaten ooit bereid zullen zijn om het leven van soldaten op het spel te zetten omdat in Estland de overheidswebsites 24 uur lang onbereikbaar zijn.
Hoe kun je je tegen cybercriminaliteit verdedigen als iedereen een doel is?
Koons: Daar gaat het nu net om: dat kan niet. Wanneer we over veiligheid spreken, willen we nogal snel álles beschermen. Pick your battles, zou ik zeggen. Mijn idee is dat je moet kijken naar Moeder Natuur. Op elk moment van de dag wordt je lichaam aangevallen door bacteriën en microben. Als je naar het toilet gaat en je gebruikt een van die verschrikkelijke handblazers, is het alsof er een biologische bom in je gezicht ontploft. En toch blijven we naar het toilet gaan en blijven we inademen. Waarom? Onze lichamen zijn, net als computers, gemaakt om te interageren met hun omgeving. Ze schakelen zichzelf niet uit omdat we even vermoeid zijn. Je voelt je misschien een beetje slap, en je bent misschien wat humeurig, maar je blijft wel functioneren – hooguit iets trager. Fundamenteel is het probleem niet dat Rusland een DDOS-aanval uitvoert op Estland. De vraag is: hoe kan één DDOS-aanval een heel land offline halen?
Kan een klein land zich daartegen wapenen?
Koons: Georgië heeft in 2008 hetzelfde meegemaakt als Estland. Zij hebben geleerd van wat er daar gebeurd was, en hebben kort erna contact opgenomen met Google en de grote internetproviders. Bij de volgende DDOS-aanval vingen de grote providers alle verkeer op en kon Georgië – zoals Neo, het hoofdpersonage in The Matrix – de digitale kogelregel ontwijken. Om de metafoor van het lichaam weer boven te halen: Georgië had een stevige verkoudheid, maar het land bleef wel functioneren. Die weerstand moeten we in al onze systemen voorzien. Regeringen redeneren vaak in een binair frame: ‘Onze wapensystemen kunnen gehackt worden, dus alles is naar de knoppen.’ Maar dat is niet zo.
Jack Koons
– 1991: neemt als soldaat deel aan operatie Desert Storm
– Volgt in de jaren negentig een opleiding tot cyber warfare officer
– 2010: richt het United States Cyber Command mee op, de cyberafdeling van het Amerikaanse leger
– 2015: krijgt de leiding over de eerste publiek bekende offensieve cybercampagne, gericht tegen de IS
– 2016: wordt als tech evangelist aangenomen door technologiebedrijf Unisys
Vindt u dat overheden overdrijven? Acht u het mogelijk dat vijandige mogendheden pakweg een gevechtsvliegtuig hacken?
Koons: Natúúrlijk. Ook een gevechtsvliegtuig is niet één object, het is een aaneenschakeling van software en systemen met verschillende zwakke punten. De vraag is: moet dat wel een probleem zijn? We moeten dat gevechtsvliegtuig zo ontwerpen dat het blijft vliegen – ook als het gehackt is.
Raken overheden te snel in paniek?
Koons: Ik ben er niet van overtuigd dat ze dat altijd echt doen. Soms zoek je als leger of politicus aandacht voor een onderwerp – bijvoorbeeld de cyberdreiging – en krijg je geen gehoor. Dan helpt het om nu en dan eens hard te roepen: ‘Russen hebben de bank gehackt!’ En dan wordt het plots heel wat gemakkelijker om voldoende financiering binnen te halen.
Wat is uw absolute nachtmerriescenario?
Koons: Dat we het vertrouwen verliezen. Onze maatschappij functioneert alleen omdat we een zeker vertrouwen hebben in instellingen. We zetten ons geld op de bank omdat we erop rekenen dat we het weer kunnen afhalen als we onze bankkaart in de automaat stoppen. Als dat vertrouwen verdwijnt, bijvoorbeeld omdat een bank niet kan garanderen dat je kapitaal niet weggehackt wordt, verandert alles. Iedereen zou zijn geld dan weghalen, waardoor de instorting van ons financiële systeem zou dreigen. Plots zou ik de onbekende op straat als een potentiële vijand bekijken. Als mijn huis vol geld ligt omdat ik de bank niet meer vertrouw, zal ik jou niet gemakkelijk meer uitnodigen. We zullen niet meer samen dronken worden, want ik zal bang zijn dat je mijn geld wilt stelen.
In wezen gaat mijn nachtmerriescenario niet over cyberspace. Het gaat over hoe mensen met elkaar omgaan. Daarin schuilt de échte bedreiging.
Beluister Knack
Fout opgemerkt of meer nieuws? Meld het hier
