Brief regering : Tegenmaatregelen ransomware-aanvallen

33 694 Internationale Veiligheidsstrategie

Nr. 785 BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 6 oktober 2021

In deze brief ga ik in op maatregelen die genomen kunnen worden in reactie op ransomware-aanvallen1 van hackersgroepen. Daarmee kom ik tegemoet aan het verzoek in de motie van de leden
Brekelmans en Mulder2.

Beeld ransomware

Sinds enkele jaren neemt de dreiging van ransomware-aanvallen wereldwijd toe. Een uitgebreide duiding van deze dreiging is opgenomen
in het Cybersecuritybeeld Nederland (CSBN) 2021, dat in juni met uw Kamer is gedeeld
door de Minister van Justitie en Veiligheid3. Eén van de conclusies van het CSBN 2021 is dat cybercriminaliteit de nationale veiligheid
kan raken indien een aanval leidt tot omvangrijke schade, zoals door het verstoren
van vitale processen. In een aantal gevallen genieten cybercriminelen bescherming
van de staat van waaruit zij opereren of is er sprake van samenwerking.

Internationaalrechtelijk kader

Internationaal recht in het digitale domein

Het internationaal recht kent geen definitie van ransomware. Van geval tot geval zal moeten worden bekeken hoe ransomware-operaties kunnen worden gekwalificeerd. Allereerst dient duidelijk te zijn of er
sprake is van een schending van internationaal recht en zo ja, welke juridische kwalificatie
hierbij hoort. Vervolgens kan worden gekeken welke reactie gepast wordt geacht. Mede
dankzij de Nederlandse inzet hebben in maart 2021 alle VN-lidstaten bevestigd dat
het bestaand internationaal recht van toepassing is in het cyberdomein.

Tegenmaatregelen

Het internationaalrechtelijk kader biedt de mogelijkheid om onder bepaalde omstandigheden
tegenmaatregelen te nemen. De regering hanteert voor «tegenmaatregelen» in de cybercontext
de definitie uit het staatsaansprakelijkheidsrecht. Dat wil zeggen dat tegenmaatregelen
handelingen (of het nalaten van handelingen) zijn die normaliter een schending zouden
opleveren van een internationaalrechtelijke verplichting, maar die geoorloofd zijn
omdat zij een reactie zijn op een eerdere schending van een internationaalrechtelijke
verplichting door een andere staat. Voor het volledige standpunt van de regering inzake
de toepassing van internationaal recht in het digitale domein, verwijs ik u graag
naar de bijlage bij de Kamerbrief inzake internationale rechtsorde in het digitale
domein van 5 juli 20194.

Een ransomware-operatie wordt veelal uitgevoerd voor financieel gewin door niet-statelijke actoren.
Een handeling van een niet-statelijke actor is in beginsel niet toerekenbaar aan een
staat, tenzij een staat effectieve controle uitoefent over die handeling, dan wel
de handeling achteraf aanvaardt als zijn eigen handeling. Dit betekent dat de niet-statelijke
actor de operatie uitvoert op expliciete instructie van of onder controle van de staat.
Dergelijke instructie of controle is vaak moeilijk aan te tonen. Daardoor is het juridisch
toerekenen van een handeling van een niet-statelijke actor aan een staat meestal niet
eenvoudig.

Zorgvuldigheidsbeginsel

In situaties waarbij toerekening in juridische zin niet mogelijk blijkt, kan het wenselijk
zijn om in het kader van het staatsaansprakelijkheidsrecht te kijken naar een mogelijke
schending van het zorgvuldigheidsbeginsel. Het zorgvuldigheidsbeginsel houdt in dat
van staten verwacht wordt dat zij bij het uitoefenen van hun soevereiniteit rekening
houden met de rechten van andere staten. Staten hebben de plicht om op te treden wanneer
zij kennis hebben van het gebruik van hun grondgebied op een manier die de rechten
van een derde staat schaadt. Het niet naleven van deze verplichting is een schending
van een internationaalrechtelijke verplichting.

Noodzaak

Onder strikte voorwaarden is noodzaak (necessity) een rechtvaardigingsgrond voor handelen dat onder andere omstandigheden als internationaal
onrechtmatig zou worden bestempeld, zoals bijvoorbeeld het inzetten van offensieve
cybermiddelen tegen een andere staat. Noodzaak kan slechts in uitzonderlijke gevallen
worden ingeroepen. Voor de precieze voorwaarden verwijs ik u graag naar de reeds genoemde
bijlage van de Kamerbrief uit 2019.

Normatief kader

Normen voor verantwoord gedrag van staten in het digitale domein

Complementair aan de toepasselijkheid van het internationale recht in het digitale
domein zet Nederland zich in voor de ontwikkeling van en steun voor vrijwillige, niet-bindende
gedragsnormen voor staten in het cyberdomein. Nederland speelt een actieve rol in
internationale onderhandelingen over deze gedragsnormen, onder andere binnen de werkgroepen
van de Algemene Vergadering van de VN5. Daarbij zijn de consensusrapporten van de UN Group of Governmental Experts (UNGGE)
2010, 2013 en 20156 leidend, evenals het recent aangenomen consensusrapport van de UNGGE dat aangeboden
zal worden aan de 76ste sessie van de Algemene Vergadering van de VN.

Met het eindrapport van de Open Ended Working Group (OEWG)7, dat in maart jl. met consensus werd aangenomen, hebben alle VN-lidstaten de conclusies
van het werk van de UNGGE onderschreven. Alle VN-lidstaten kunnen nu worden gehouden
aan deze maatstaf van verantwoord statelijk gedrag in het digitale domein. Dit biedt
mogelijkheden voor het adresseren van ransomware-aanvallen. Het eindrapport bevestigt immers de verontrustende trend in de toename
van incidenten veroorzaakt door statelijke en niet-statelijke actoren. Daarbovenop
komt dat sommige niet-statelijke actoren capaciteiten hebben ontwikkeld die eerder
enkel aan staten voorbehouden waren.

Meer concreet zij gewezen op de volgende normen uit het UNGGE-rapport van 2015, zoals
nu door de OEWG herbevestigd:

– Norm 13.c. houdt in dat staten hun grondgebied niet bewust mogen laten gebruiken voor
internationaal onrechtmatige daden waarbij informatie- en communicatietechnologieën
gebruikt worden. Nederland ziet deze norm tevens als internationaal juridische verplichting,
hierover kon in VN-verband (nog) geen consensus worden bereikt.

– Norm 13.f. is er op gericht staten ervan te weerhouden ICT-activiteiten uit te voeren
of bewust te ondersteunen die de kritieke infrastructuur van andere staten intentioneel
beschadigen of anderszins schaden.

Nederland zal de komende tijd inzetten op handvatten voor concrete implementatie van
de normen, waarbij prioriteit gegeven wordt aan het initiatief voor een «Programme of Action to Advance Responsible State Behaviour in Cyberspace» binnen de VN. Nederland zal hierbij bijzondere aandacht besteden aan de implementatie
van normen die relevant zijn voor ransomware.

Eind 2020 heeft de regering uw Kamer geïnformeerd over de Nederlandse inzet op de
internationale rechtsorde in het digitale domein8.

Diplomatieke responsopties tegen ransomware

Voor de implementatie van normen in cyberspace, ook als het gaat om ransomware, is het van belang dat staten worden aangesproken als zij de normen overtreden. Zoals
hierboven uiteengezet is het optreden tegen grensoverschrijdende criminele cyberoperaties
vanaf eigen grondgebied voor veel landen in het normatieve kader van de VN een prioriteit.
Als hiervan sprake is bij een ransomware-aanval kunnen landen daar dus ook op worden aangesproken. Dit kan bilateraal of via
publieke verklaringen. En het kan gepaard gaan met maatregelen als sancties.

Dergelijke diplomatieke reacties zijn krachtiger als ze in breed coalitieverband worden
vormgegeven. Binnen de EU is Nederland daarom een drijvende kracht geweest achter
de EU Cyber Diplomacy Toolbox9 en de aanname van het EU-cybersanctieregime in mei 2019 en zet Nederland in op de
doorontwikkeling van deze instrumenten. De EU heeft hiermee goede instrumenten in
handen om sneller en krachtiger te reageren op cyber-incidenten. Uit recente EU-verklaringen
en sancties blijkt dat deze instrumenten tot concrete resultaten leiden. Zo heeft
de EU zich uitgesproken over de Solar Winds hack10 en, nog recenter, over kwaadwillende cyberoperaties vanaf Chinees grondgebied.

Het cybersanctieregime is ook al diverse malen ingezet: in 2020 legde de EU bijvoorbeeld
sancties op aan een Noord-Koreaanse organisatie die de «Wannacry» ransomware-aanvallen in 2017 uitvoerde, waarbij wereldwijd honderdduizenden Microsoft-computers
getroffen werden. Tot de opgelegde sancties behoren een inreisverbod en de bevriezing
van financiële tegoeden. Daarnaast is het personen en entiteiten uit de EU verboden
middelen ter beschikking te stellen aan personen en entiteiten waartegen sancties
gelden. De sancties die onder het EU cyber-sanctieregime worden opgelegd zijn gericht
tegen specifieke personen en entiteiten, niet tegen landen.

Een andere diplomatieke maatregel die kan worden ingezet tegen ransomware is het via diplomatieke kanalen aandringen op bilaterale medewerking van landen bij
justitiële onderzoeken tegen ransomware. Dit kan nuttig zijn als de medewerking via de internationale justitiële kanalen
onvoldoende is. Nederland kan dan via diplomatieke weg het belang dat aan medewerking
wordt gehecht, kracht bijzetten.

De keuze om over te gaan tot een diplomatieke maatregel vergt integrale afweging en
weloverwogen besluitvorming, in samenspraak met de betrokken departementen. Bij deze
afweging spelen ernst en impact van de ransomware-aanval een rol. Bovendien is van belang in welke mate Nederland de ransomware-aanval kan toerekenen aan een actor, op basis van onderzoek door de politie of inlichtingen-
en veiligheidsdiensten (I&V).

Zoals hierboven uiteengezet, streeft Nederland ernaar om diplomatieke stappen tegen
normoverschrijdend gedrag in het digitale domein door staten zoveel mogelijk in coalitieverband
te zetten. Om coalitievorming te bevorderen, blijft Nederland zich daarom inzetten
voor gezamenlijke ontwikkeling van responsopties en kennisdeling binnen de EU, de
NAVO en andere samenwerkingsverbanden met bondgenoten. Ook capaciteitsopbouw en diplomatieke
contacten met derde landen die traditioneel een minder uitgesproken profiel kunnen
of willen aannemen in het internationale debat over cyber is onderdeel van de Nederlandse
inzet. Dit gebeurt bijvoorbeeld door middel van trainingen en andere bewustwordingsactiviteiten
om cyberweerbaarheid te verhogen, onder meer via het Global Forum on Cyber Expertise.

Responsopties tegen ransomware op het terrein van cyber

Naast de diplomatieke maatregelen die hierboven beschreven zijn, zet het kabinet in
algemene zin in op een verhoging van de digitale weerbaarheid van Nederland. Om de
cybersecurity van Nederland te vergroten en cybercrime tegen te gaan, neemt het kabinet
diverse maatregelen in het kader van de Nationale Cyber Security Agenda (NCSA) en
de integrale aanpak van cybercrime. Voorbeelden van maatregelen die worden genomen,
zijn het bevorderen van veilige hard- en software, bewustwordingsactiviteiten en het
versterken van de mogelijkheden voor de opsporing. De Minister van Justitie en Veiligheid
heeft u recent geïnformeerd over de stand van zaken van deze maatregelen in de voortgangsrapportage
van de NCSA en de voortgangsrapportage van de integrale aanpak van cybercrime11.

Bij veel succesvolle cyberaanvallen, waaronder ransomware, blijkt dat basismaatregelen voor cybersecurity onvoldoende zijn genomen. Daarbij lijken veel ondernemers, met name in het MKB, zichzelf
niet als potentieel slachtoffer van ransomware te zien. Het Digital Trust Center (DTC) van het Ministerie van Economische Zaken en Klimaat zet daarom in op voorlichting
over ransomware, onder andere door het delen van verhalen van ondernemers die slachtoffer zijn geworden
van ransomware.

In de meeste gevallen wordt een ransomware-aanval gepleegd door criminele actoren en zijn statelijke actoren niet direct betrokken.
In die gevallen is er meestal ook geen sprake van een dreiging voor de nationale veiligheid.
Het is dan primair aan de politie en het OM om te acteren in het kader van opsporing
en vervolging. Ook in gevallen waarbij mogelijk wel sprake is van betrokkenheid van
staten zijn de politie en het OM in beginsel bij het onderzoek betrokken.

Indien een ransomware-aanval, al dan niet met een financieel oogmerk, de drempel passeert van een (zich
manifesterende) dreiging voor de nationale veiligheid, bijvoorbeeld door het uitvallen
van vitale sectoren, dan staan de overheid ook andere middelen ter beschikking. In
dat geval kan de inzet van de I&V-diensten en de krijgsmacht in beeld komen. Zo stelt
de Wiv 2017 de diensten onder meer in staat tot het verrichten van attributieonderzoek
en tot handelend optreden. Een voorbeeld van het laatste is het offline (laten) halen
van ICT-infrastructuur die onderdeel is van aanvalsinfrastructuur of misbruikt wordt
voor digitale spionage of sabotage. Naast het optreden door I&V-diensten kan Nederland
ook met de krijgsmacht reageren. Zo kan het Defensie Cyber Commando ad ultimo een tegenaanval uitvoeren om een vijandelijke actie af te wenden of om een essentieel
belang van de staat te beschermen. Voor een tegenaanval vanuit de krijgsmacht zijn
een internationale rechtsgrond, bijvoorbeeld noodzaak zoals bovenstaand beschreven,
en een regeringsbesluit nodig.

Bovenstaande mogelijkheden zoals opsporing en vervolging door OM en politiediensten,
de inzet van de bevoegdheden van de I&V-diensten en terugslaan door de krijgsmacht
versterken het afschrikkend vermogen van Nederland. Hierbij moet worden opgemerkt
dat een eventuele reactie niet domein-gebonden is, met andere woorden: ongewenste
cyberactiviteiten worden niet per se beantwoord met Nederlandse cyberactiviteiten
maar kunnen ook langs diplomatieke of juridische weg beantwoord worden. Andersom kan
Nederland ook reageren met cybermiddelen als er dreigingen komen vanuit een ander
domein.

Tot slot

Het Cybersecuritybeeld Nederland 2021 concludeert dat een aantal cybercriminele groepen
inmiddels beschikt over capaciteiten die niet onderdoen voor het niveau van statelijke
actoren. Dit impliceert dat de impact van hun aanvallen een vergelijkbare dreiging
kan vormen voor de nationale veiligheid door de inzet van ransomware. Hoewel dit zich in Nederland nog niet heeft gemanifesteerd, komt deze dreiging bovenop
de al bestaande, continu toenemende, dreiging in het cyberdomein. De opsporingsdiensten,
de I&V-diensten en de krijgsmacht zijn vooralsnog onvoldoende toegerust om structureel
op te treden tegen actoren die door een ransomware-aanval een dreiging vormen voor de nationale veiligheid. Om de kosten van kwaadwillend
gedrag in het digitale domein, waaronder ransomware-aanvallen, te verhogen en de kans op schade te verkleinen is het noodzakelijk om
de aanpak van ransomware, zowel diplomatiek als op de andere terreinen die hierboven zijn omschreven, onder
een nieuw kabinet te verstevigen.

De Minister van Buitenlandse Zaken, H.P.M. Knapen