Webaanvallen zijn nu al aan de orde van de dag en die steeds heftiger strijd op het wereldwijde web zal nog eens een extra impuls krijgen van de eindelijk ontluikende kunstmatige intelligentie. We zullen afspraken moeten maken betogen in Nature Mariarosaria Taddeo en Luciano Floridi, beiden werkzaam bij het internetinstituut van de universiteit van Oxford, om een weboorlog te voorkomen. Het is de vraag of dat zal helpen, niet in de laatste plaats omdat ook landen baat hebben bij zo’n oorlog. Neem nou de VS….
Er vinden steeds vaker webaanvallen plaats en ze worden steeds vernuftiger, mede door toedoen van kunstmatige intelligentie. In de VS vielen er in 2017 per dag ruim 4000 losgeldaanvallen te noteren, waarbij de computers door de aanvallers ‘op slot’ gezet worden. Tegen betaling van een gering bedragje krijgt de eigenaar zijn/haar rekentuig weer terug (figuurlijk gesproken dan). In 2015 waren dat er nog ‘maar’ 1000.
De (opzettelijk?) klunzige WannaCry-aanval in mei vorig jaar zorgde voor een verstoring van het Britse gezondheidssysteem. De beter opgezette NotPetya-aanval een maand later deed echt pijn, financieel dan. Farmabedrijf Merck, scheepsbedrijf Møller/Maersk en koeriersdienst zouden daardoor elk zo’n 300 miljoen dollar schade hebben geleden.
Wereldwijd zou de schade door webaanvallen in 2017 5 miljard dollar hebben bedragen (zo’n 4,5 miljard euro). De verwachting is dat die in 2021 zal oplopen tot 6 biljoen dollar (5,4 biljoen euro)
De aanvallen worden uitgevoerd door ongeregelde troepen die uit zijn op gewin, maar ook reguliere naties houden zich er mee bezig. Zo heeft de Amerikaanse veiligheidsdienst NSA jaarlijks ruim 9 miljard dollar te verteren om Amerika te verdedigen tegen het kwaad in de wereld. Dat gaat nogal eens mis en is de NSA het kwaad. Amerika wijst zelf weer regelmatig naar, Rusland, Noord-Korea en China als kwaaie pieren, maar dat lijkt erg op de pot die de ketel verwijt zwart te zien.
Die NSA spaart kosten noch moeite om de vijand op te sporen en dwars te zitten (zo niet erger) en met die paar miljard kun je je wel wat veroorloven. Elders zitten de al of niet officiële e-krakers ook niet stil en er ontstaat een een wapenwedloop. Het wereldwijde web is steeds vaker het terrein van schermutselingen en steeds vaker op iets dat op een oorlog lijkt. Daarbij speelt geld kennelijk geen rol.
De VS
Sedert 2012 ontwikkelen de VS actieve verdedigingsstrategieën om de ‘vijand’ te ontmoedigen en ook aan te vallen. In 2016 komt het Verenigd Koninkrijk in beeld. Het trekt 1,9 miljard pond uit (zo’n 2,2 miljard euro) uit voor een vijfjarenplan om webbedreigingen te neutraliseren. Ook de Navo betreedt nu het strijdgewoel op het web. De VS en het VK leiden de dans, maar Denemarken, Noorwegen, Duitsland Nederland en Spanje zijn ook van de partij.
Zoals gesteld zal ki de ontwikkelingen versnellen. De nieuwe aanvallen zullen sneller, preciezer en verwoestender zijn. Reacties kunnen geen weken of dagen meer wachten, maar we praten nu over uren en die handelingstijd wordt alleen maar korter.
Ki wordt nu al gebruikt voor het verifiëren van de programmeercode op fouten en om te achterhalen waar mogelijke kwetsbaarheden of lekken zitten, maar ook om afwijkend gedrag op netwerken te achterhalen. In 2016 werd zo’n kleine 1 miljard euro besteed aan de ki-inzet voor webveiligheid en de verwachting is dat dat bedrag in 2023 zal stijgen tot een dikke 16 miljard.
Het eind van dit decennium zullen vele landen ki gebruiken in de weboorlog, want met ki-systemen kun je de aanvaller ook treffen/proberen te treffen. Nu nog is de aarzeling om terug te slaan groot omdat vaak onduidelijk is wie er achter de aanval zit. De wapenwedloop op het web zou dan ook nog wel eens in een echte oorlog met gekletter van (‘slimme’) wapens kunnen ontaarden.
Criteria
Het tweetal vindt dat er wat geregeld moet worden ten aanzien van de inzet van ki in de weboorlog, net zoals dat voor andere domeinen land, lucht, zee en ruimte (?) is gebeurd. Dat heeft er overigens niet toe geleid dat er geen oorlog meer gevoerd wordt of dat die minder barbaars zijn geworden (zeg ik er maar bij). Die criteria zouden dan moeten gaan over redelijke reacties en over welke rode lijnen er niet overschreden zouden mogen worden; minimumspelregels voor de weboorlog. Voorlopig is iets dergelijks niet in zicht.
Het tweetal denkt dat de Navo of de EU geëigende instanties zouden kunnen zijn om de pogingen nieuw leven in te blazen. De VN zou uiteindelijk het initiatief moeten nemen. In 2004 heeft de VN al eens getracht tot afspraken te komen. Dat initiatief liep in 2017 nagenoeg dood. De landen konden niet tot overeenstemming komen. De vraag is of dit initiatief nog een vervolg krijgt.
Ondertussen ontwikkelt ki voor de weboorlog zich snel, met, niet verrassend, de VS op kop. Er worden zelfs al wedstrijdjes gehouden tussen diverse ki-systemen. In mei komt het Amerikaanse ministerie van defensie met een rapport over ki-strategieën. Dat zou voor het eerst zijn.
Ki is ook voor China een aandachtsgebied. Vorig jaar ontvouwde China een ki-ontwikkelingsprogramma, waarbij toepassing in defensie belangrijk is. Hoe China ki in de cyberruimte zal gebruiken is niet bekend.
Ruslands leider Poetin zei het vorig jaar dat wie leidend wordt op het terrein van ki leidend in de wereld zal worden, maar het land heeft geen strategie dienaangaande openbaar gemaakt. Het lijdt geen twijfel dat Rusland en zeker zijn geheime diensten zich met de materie bezighoudt/-en. Ook EU heeft plannen de webverdediging te versterken, maar volgens het tweetal ziet de EU het nog te veel als beveiliging en niet als verdediging; in militaire termen dus.
Drie stappen
Het Oxfordtweetal stelt een simpel drie stappenplan voor:
1. Stel grenzen.
2. Probeer strategieën uit met bondgenoten
3. Handhaaf de regels
Dat is natuurlijk mooi, maar dan moet er op de eerste plaats enige afstemming tussen landen komen en tot nu toe lijkt de bereidheid daartoe tussen de landen niet al te groot, gegeven ook het (vrijwel) gesneefde VN-initiatief. Waarschijnlijk moet er ergens eerst een kalf verdrinken, bijvoorbeeld het stilleggen van de energievoorziening voor een week, tot er een poging wordt gedaan de put te dempen.
Bron: Nature