Wanneer een cyberaanval is georkestreerd door een statelijke actor, mensen kunnen in de verleiding komen om het "oorlog" te noemen. Ten slotte, het is een aanval op nationale infrastructuren door een buitenlandse mogendheid. Maar de term 'cyberoorlog' is zo vaak gebruikt voor een dramatisch effect dat ik niet alleen wil waarschuwen voor hype. Het is ook tijd om de verwachtingen met betrekking tot de reikwijdte van overheidsingrijpen te temperen.

Gedefinieerd tijdens de Koude Oorlog als bescherming tegen klassieke militaire dreigingen en de verdediging van het nationale grondgebied, de term "veiligheid" wordt nu algemeen begrepen als niet-militaire dimensies. Zwitserland's veiligheidsbeleidsrapport 2016, bijvoorbeeld, vermeldt niet alleen gewapende aanvallen, maar ook terrorisme, misdrijf, manipulatie van informatieruimte, leveringsverstoringen en rampen en noodsituaties als bedreigingen. Dit heeft ertoe geleid dat de instrumenten van het veiligheidsbeleid zijn aangepast voor de preventie, verdediging en beheer van deze bedreigingen. En hoewel het leger hier nog steeds belangrijk is, het is niet langer het enige instrument.

Een zaak voor het leger?

Als cyberaanvallen echt een vorm van "oorlog" waren, dan zou het in de eerste plaats aan het leger zijn om met dit gevaar om te gaan. Maar de veronderstelling weerspiegelt noch de ware aard van de dreiging, noch de juridische en operationele capaciteit van het leger als instrument voor het veiligheidsbeleid om dit tegen te gaan.

De overgrote meerderheid van de cyberaanvallen is crimineel van aard, en zich richten op particuliere netwerken en bedrijfsmiddelen. Overheidsinstanties hebben geen toegang tot deze netwerken. De weinige aanvallen op de overheid of overheidsgerelateerde netwerken in de afgelopen jaren – bijvoorbeeld het RUAG-incident in 2016 in Zwitserland – waren spionage. Ze laten ons achter met een onaangenaam gevoel en zorgen voor de nationale veiligheid, maar buitenlandse inlichtingenactiviteiten zijn aan de orde van de dag. We zijn dus nog lang niet in oorlog. En hoewel we weten dat zowel statelijke als niet-statelijke actoren cybermedia steeds vaker gebruiken om strategische doelen te bereiken, al deze incidenten zijn tot dusver aanzienlijk - en ongetwijfeld bewust - achtergebleven bij oorlogsvoering.

Als het niet het leger is, welke overheidsinstelling moet dan verantwoordelijk zijn voor het cybersecuritybeleid? Het is een vraag waar veel landen momenteel over debatteren, waaronder Zwitserland. Omdat politiek gemotiveerde incidenten toenemen, cyberveiligheid wordt in ieder geval sinds 2010 erkend als een nationaal veiligheidsprobleem en is geïntegreerd in het grotere politieke veiligheidskader. Dat het probleem te groot is om alleen met technische en operationele maatregelen te worden aangepakt, wordt ook erkend. Als resultaat, er is nu een trend naar centralisatie:voorheen ongelijksoortige cybersecurity-competenties worden gegroepeerd en politiek versterkt onder (civiele) leiding door ze toe te wijzen aan specifiek verantwoordelijke eenheden, soms op het hoogste bestuursniveau.

Net als bij andere hedendaagse gevaren, de rol die de staat op dit gebied wil (en kan) spelen is opvallend klein. Al het bekende cyberbeveiligingsbeleid is vooral afhankelijk van het nemen van persoonlijke verantwoordelijkheid door bedrijven en burgers:het is een kwestie van zelfverdediging. Dit betekent dat de staat alleen mag ingrijpen als er publieke belangen in het geding zijn of, specifiek in Zwitserland, wanneer het handelt in overeenstemming met het subsidiariteitsbeginsel. De krijgsmacht is primair verantwoordelijk voor de bescherming van hun eigen systemen. Hiertoe, de ontwikkeling van offensieve en defensieve operationele capaciteiten wordt gestimuleerd binnen het bestaande wettelijke kader.

En dat is maar goed ook.

Cyberbeveiliging is een kwestie van veiligheidsbeleid, maar iedereen moet de handen ineenslaan in een nationale inspanning. De veiligheid kan alleen worden versterkt als bedrijven, universiteiten en verschillende overheden samenwerken en als we constructief samenwerken met andere landen. Discursieve militarisering – geworteld in constructies van de nationale vijand en aannames over onze natiestaat en zijn hulpbronnen – zorgt alleen maar voor onrust en wekt valse verwachtingen.