Online aanslagen kunnen enorm veel impact hebben. Denk aan een aanval op de interne systemen van ziekenhuizen of vliegvelden. Precies voor die aanvallen waarschuwt George Osborne, de Britse minister van Financiën: “Laten we duidelijk zijn: IS gebruikt het internet al voor het verspreiden van propaganda, radicaliseren van moslims en het plannen van operaties. Ze zijn er nog niet echter nog niet in geslaagd om mensen te doden door vitale infrastructuren aan te vallen.”
Hoe reëel zijn dergelijke online aanvallen van IS op belangrijke infrastructuren? Vier vragen over de online dreigingen van het zogeheten Cyber Kalifaat.
1. Hoe gebruikt IS het internet? IS zet het internet op drie manieren in: het verspreiden van propaganda, radicaliseren van moslims en plannen van operaties…. Daarnaast speelt ‘offline communiceren’ ook nog steeds een grote rol. De AIVD zegt de komende jaren juist veel te verwachten van human intelligence, waarbij spionnen infiltreren in de wereld van radicaliserende moslims. Communicatie tussen terroristen zou steeds vaker offline plaatsvinden.
2. Welke ‘online aanslagen’ heeft IS tot nu toe gepleegd? IS heeft vooralsnog weinig online aanvallen van betekenis uitgevoerd. Het Cyber Kalifaat, de hackersdivisie van de terreurgroep, heeft meerdere keren lijsten vrijgegeven met inloggegevens en persoonlijke gegevens van (meestal willekeurige) Twitter-gebruikers. Dit gebeurde ook bij medewerkers van de CIA, FBI en het Amerikaanse leger. Deze lijsten bleken echter veel oude informatie te bevatten, waardoor het lijkt alsof IS informatie die is buitgemaakt bij hacks in het verleden als nieuwe hacks presenteert. Een geslaagde internetaanval lukte op de website, Facebook-pagina en zenders van de Franse televisiezender TV Monde.
3. Waarom waarschuwt een Britse minister voor internetaanvallen door IS? De uitspraken vallen politiek gezien precies op het juiste moment. Aan het begin van de maand heeft Theresa May, de Britse minister van Binnenlandse Zaken, een conceptwetsvoorstel ingediend om de afluisterwet te herzien. Hierin wordt duidelijker uitgelegd wat de Britse inlichtingen allemaal mogen, en wanneer er rechterlijke toetsing nodig is. Volgens privacyexperts maakt de nieuwe wet opnieuw grote inbreuk op de privacy van zowel Britse als internationale burgers. Het verbod op end-to-end-encryptie, wat heel lastig door de inlichtingendiensten te kraken is, heeft het conceptwetsvoorstel niet gehaald.
Door de online dreigingen van IS te benoemen, is het aannemelijk dat een dergelijke wet en extra investeringen in de inlichtingendiensten sneller worden geaccepteerd – zowel door de politiek als burgers. Dit zou mogelijk een strategie achter de uitspraken kunnen zijn.
4. Hoe reëel is de online dreiging van IS? Volgens Pim Volkers, vicepresident van het Nederlandse beveiligingsbedrijf Fox-IT, zijn er op dit moment geen duidelijke aanwijzingen voor grootschalige jihadistische online aanvallen. “Maar dat betekent niet dat het niet kan gebeuren.” De online aanvallen hoeven niet per se door IS te worden uitgevoerd. “Dat kan ook door een huurling worden gedaan”, zo legt Volkers uit. “IS heeft enorm veel geld. Je ziet in het Oostblok soortgelijke situaties, waar hackers worden ingehuurd om online aanvallen uit te voeren. In veel gevallen houden dergelijke criminelen geen rekening met wie hen betaalt en voeren ze gewoon de opdracht uit. Als IS zich dan richt op vitale infrastructuren, zoals banken, kerncentrales en andere nutsbedrijven, dan kunnen ze vanuit Raqqa met een online aanval belangrijke onderdelen van de samenleving ontwrichten.”
