De burger moet zich kunnen uitspreken over de Nederlandse opstelling in het oplopende internationale cyberconflict, vindt Jurriën Hamer.

De onthullingen over Stuxnet breken het debat over cyberaanvallen eindelijk open. En dat is hard nodig. De burger moet zich uitspreken over de Nederlandse opstelling in het oplopende internationale cyberconflict, zeker als Nederland zich waagt aan offensieve cyberoperaties.

Journalist Huib Modderkolk presenteerde onlangs een scoop van jewelste. Het Stuxnet-virus is krap tien jaar geleden ontdekt, en sindsdien zijn er vele duizenden pagina’s over het virus geschreven. Niemand suggereerde dat naast de Verenigde Staten en Israël ook Nederland betrokken was.

In april publiceerde het Rathenau Instituut een rapport over cyberaanvallen en waarschuwde voor de steeds onveiligere digitale wereld. Nederland kan het best streven naar het de-escaleren van digitaal conflict, en moet zoveel mogelijk het debat over de gekozen cyberstrategie mogelijk maken. Het zou onverstandig zijn om klakkeloos mee te gaan met de cyberaanvallen door landen als de VS, China en Rusland.

Die aanbevelingen zijn alleen maar urgenter geworden. De bijdrage van Nederland aan de operatie Olympic Games, die onder meer bestond uit het infiltreren in de Iraanse kerninstallaties en het injecteren van het Stuxnet-virus, bewijst dat Nederland al in 2007 koos voor een offensieve strategie en daarmee aan de wieg stond van het grootschalige conflict dat nu woedt in cyberspace.

Maar digitaal wapengekletter is een gevaar voor onze veiligheid. Op de korte termijn heeft het Stuxnet-virus de Iraanse ontwikkeling van kernwapens vertraagd. Maar uiteindelijk verspreidde het virus zich over de hele wereld, en konden handige programmeurs de broncode ontcijferen en opnieuw als wapen inzetten. Daarmee konden onbekende kwetsbaarheden in Windows worden uitgebuit, en dus ook Europese computers worden gehackt. En zo geschiedde. Bovendien zat ook Iran zelf niet stil. Het bouwde een eigen leger cybersoldaten die in onder andere de VS al grote schade veroorzaakten.

Uiteindelijk wist niet de cyberstrijd, maar juist de internationale diplomatie de relatie met Iran te verbeteren. Er kwam in 2015 eindelijk een atoomakkoord, waar de VS jammer genoeg weer uitstapten. Terwijl Nederlandse diplomaten proberen het akkoord met Iran te redden, voeren de VS weer cyberaanvallen uit op Iran.

Nederland lijkt op twee gedachten te hinken. Aan de ene kant is de afgelopen jaren sterk ingezet op diplomatie, bijvoorbeeld door cyberdiplomaten aan te stellen en de ontwikkeling van juridische normen aan te jagen. Nederlandse diplomaten zitten bij vrijwel alle belangrijke overleggen aan tafel en bepleiten een de-escalatie van het cyberconflict.

Maar aan de andere kant hebben we dus een cruciale bijdrage geleverd aan een van de meest offensieve cyberaanvallen uit de geschiedenis. Het is in ons aller belang om te weten hoe inlichtingendiensten werken in cyberspace.

We moeten daarom praten over een fundamentele keuze: sluiten we ons aan bij de offensieve ambities van landen als de VS, of kiezen we voor diplomatie en de-escalatie? Die keuze kan niet uitsluitend in geheime overleggen gemaakt worden. Dit gaat de burger aan. Vergeet niet dat juist burgers in het kruisvuur staan – hun ziekenhuizen en havens worden met virussen aangevallen. Bovendien zijn het voor een groot deel burgers die met passwordmanagers en verstandig wifigebruik Nederland veilig houden. Of we nu willen of niet, in het cyberconflict spelen we allemaal een rol.

De auteur is onderzoeker bij het Rathenau Instituut.

Dit is een bewerkte versie van zijn opiniestuk dat eerder is verschenen in dagblad Trouw.