Logo

Operatie Stuxnet: de cyberaanval die oorlogvoering voorgoed veranderde

In de serie Innovatie Maestros bespreken we innovaties uit ons kikkerlandje die de techwereld op de kop zetten. Vandaag: operatie Stuxnet.

Published on November 15, 2024

AI generated image of a nuclear plant

Alles wat nieuw is, is razend interessant! Dat is het motto van onze DATA+ expert Elcke Vels. Ze schrijft verhalen over AI en hoe dat onze maatschappij beïnvloedt, heeft een serie over cyber security en interviewt Nederlandse innovatie maestro’s. Ook onderzoekt ze in haar ‘What if…’ column intrigerende scenario's die afwijken van de status quo.

In 2007 ontwikkelden de Amerikanen een gedurfd plan om het Iraanse nucleaire programma te saboteren met het cyberwapen Stuxnet. Een Nederlandse agent van de AIVD, ingenieur Erik van Sabben, wist toegang te krijgen tot het zwaar beveiligde nucleaire complex om het programma te installeren. Daarmee speelde Nederland een rol in operatie Stuxnet. “Het wordt veelal gezien als de eerste geslaagde cyberoperatie ”, zegt Wouter Scherpenisse, promovendus rechtsstaat en cybersecurity aan de Erasmus Universiteit Rotterdam. 

Het Iraanse kernprogramma is altijd een doorn in het oog geweest van veel westerse landen, zoals de Verenigde Staten. Daarom besloot de VS Iran aan te vallen met een nieuw digitaal wapen genaamd Stuxnet. Dit cyberwapen, ontwikkeld door de Amerikaanse en Israëlische inlichtingendiensten, werd ontworpen om centrifuges te saboteren en te beschadigen, zonder dat Iran zou ontdekken waar de aanval vandaan kwam. 

In 2019 onthulden de Volkskrant en de Amerikaanse nieuwssite Yahoo News dat de Amerikanen en Israëliërs de Nederlandse AIVD om hulp vroegen voor deze risicovolle operatie. Deze hulp werd uiteindelijk geleverd door Eric van Sabben, een ingenieur die ook gerekruteerd was als agent door de Nederlandse diensten. Dit is begin dit jaar in een Volkskrant-artikel bekend geworden. De Nederlandse ingenieur wist het zwaar beveiligde nucleaire complex in Natanz, gelegen op 300 kilometer ten zuiden van Teheran, binnen te komen. Daar installeerde hij software die een zware klap toebracht aan het Iraanse nucleaire programma. Bijna duizend ultracentrifuges, essentieel voor de verrijking van uranium, werden uiteindelijk onklaar gemaakt. 

W

Wouter Scherpenisse

Promovendus rechtsstaat en cybersecurity aan de Erasmus Universiteit Rotterdam

'

Slimme software

De Stuxnetoperatie bestond in ieder geval uit twee varianten die op verschillende manieren werkten, legt Scherpenisse uit. “De eerste variant was minder opvallend. Deze versie vereiste fysieke toegang, mogelijk door Van Sabben, tot het complex in Natanz om, bijvoorbeeld via een USB-stick of mogelijk een waterpomp, de Stuxnet-software mee naar binnen te smokkelen. Het doel was om de gascentrifuges van Iran te saboteren door kleine beschadigingen aan te richten. Dit gebeurde door bepaalde kleppen te laten sluiten, wat leidde tot overdruk in de centrifuges.” 

De tweede variant was veel krachtiger en had de capaciteit om zichzelf te verspreiden, via bijvoorbeeld nietsvermoedende toeleveranciers van Natanz, zonder dat een agent fysiek toegang hoefde te hebben tot het systeem in Natanz, vervolgt Scherpenisse. “Deze ‘worm’ verstoorde de rotatiesnelheid van de centrifuges, waardoor ze op onregelmatige tijden langzaam en plots te snel draaiden, wat tot schade leidde.” De worm richtte in het bijzonder schade toe via het Siemens SCADA-systemen (Supervisory Control and Data Acquisition), die gebruikt werden om de centrifuges te besturen. Maar het systeem gaf geen waarschuwingen omdat de gegevens over de werking van de centrifuges in eerste instantie normaal leken.

Impact wereldwijd

Stuxnet heeft een enorme impact op de manier waarop landen oorlog voeren met elkaar. De operatie wordt veelal gezien als de eerste grote operatie waarbij cybertechnologie als wapen werd ingezet. In plaats van conventionele wapens werden digitale middelen gebruikt om een specifiek doel te saboteren. “Het digitale domein speelt een steeds grotere rol in oorlogsvoering, vaak in combinatie met andere militaire en diplomatieke middelen. Deze ‘hybride oorlogsvoering’ zie je bijvoorbeeld terug in Oekraïne. Ook worden cyberoperaties ingezet voor beïnvloedingscampagnes, zoals tijdens verkiezingen van 2016 in de Verenigde Staten. Dat bleek uit Amerikaans onderzoek.”

Vertrouwen in Nederlandse inlichtingendiensten

Dat Nederland betrokken was bij een cyberoperatie van grote omvang, is niet geheel verrassend, vindt de promovendus. De AIVD en MIVD staan internationaal hoog aangeschreven. Ze nemen al tientallen jaren actief deel aan grote operaties. “Zoals oud-directeur van de MIVD Pieter Cobelens ooit opmerkte, streeft Nederland na om 'Champions League' te spelen op het gebied van inlichtingen.” 

Operatie Stuxnet kan dus worden gezien als een belangrijke innovatie in de cyberwereld. Bovendien bracht het cyberwapen een discussie teweeg: de mate van toezicht op het handelen van de inlichtingendienst. Naar aanleiding van het Volkskrantartikel uit 2024 ontstonden hier namelijk vragen over. Premier Balkenende en de parlementaire Commissie voor de Inlichtingen- en Veiligheidsdiensten (CIVD), werden destijds niet geïnformeerd. Dat leidde tot politieke verbijstering. 

Scherpenisse: “Wanneer de diensten gebruikmaken van hun bevoegdheden zonder de benodigde toestemming van de juiste politieke verantwoordelijken, zoals de minister, dan is dat vanuit een rechtsstatelijk perspectief problematisch. De kern van de rechtsstaat is nou juist dat de overheid zich aan de bestaande spelregels houdt, waarbij er aansluitend verantwoording kan worden afgelegd. Het ontbreken van politieke controle kan het vertrouwen in de transparantie en de verantwoording van deze diensten ondermijnen.” 

Het is echter onduidelijk in hoeverre de Nederlandse diensten zelf op de hoogte waren van de Stuxnet-operatie, aangezien ze mogelijk een beperkte rol hebben gespeeld door een agent te rekruteren die ook door buitenlandse diensten werd ingezet. Als er geen gebruik wordt gemaakt van specifieke bevoegdheden door de diensten, dan geldt er geen wettelijke verplichting om de betrokken ministers daarvoor toestemming te vragen. “Als deze operatie gedragen werd door de Amerikanen en Israeliërs, ligt de verantwoordelijkheid voor de uitvoering van de operatie daar ook. Voor de inzet van agenten dient er overigens niet altijd een minister te worden verzocht om toestemming, tenzij er een groot politiek risico aan de inzet van de agent is verbonden.”

Maar, het is belangrijk om de rechtsstaat niet alleen te benaderen vanuit een verantwoordingsperspectief, maar ook vanuit een vertrouwensperspectief, vervolgt Scherpenisse. “Het is voor de rechtsstaat belangrijk dat de samenleving vertrouwen heeft in de overheid en haar instellingen, waaronder inlichtingendiensten, maar bijvoorbeeld ook in de wetenschap en de journalistiek. Wanneer dat vertrouwen wegvalt, kan dat niet alleen de veiligheid bedreigen, maar ook de welvaart en het sociale weefsel van de samenleving. Kortom: een goed systeem van toezicht en controle is essentieel om ervoor te zorgen dat de inlichtingendiensten hun werk doen in het belang van de samenleving, maar het is ook belangrijk dat de samenleving ziet dat het stelsel van toezicht op de diensten op dit moment sterk is en daarmee het vertrouwen in de diensten behoudt: de diensten kunnen niet zomaar hun gang gaan.” Denk bij dit stelsel van toezicht aan de CTIVD (Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten), een onafhankelijke toezichthouder die de activiteiten van de AIVD en MIVD nauwkeurig controleert om te waarborgen dat ze zich aan de wet houden. Of aan de TIB (Toetsingscommissie Inzet Bevoegdheden), die de rechtmatigheid van de inzet van bijzondere bevoegdheden door de diensten vooraf toetst.

Internationale afspraken

Toen Stuxnet werd gelanceerd, waren er internationaal nog geen afspraken of regels voor het gebruik van sabotagevirussen. Pas in 2015 stelden de Verenigde Naties juridisch niet-bindende normen op voor verantwoord gedrag in het digitale domein. Volgens de VN is het aanvallen van kritieke infrastructuur niet toegestaan. Toch lijkt het erop dat grootmachten zoals Rusland, Israël en de Verenigde Staten zich weinig aantrekken van dergelijke gedragsregels. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) waarschuwt in het jaarlijkse rapport voor de toenemende dreiging van cyberaanvallen. Landen zoals Rusland en China maken steeds vaker gebruik van een breder arsenaal aan cyberwapens. Daarnaast schakelen deze landen in toenemende mate bedrijven en 'hacktivisten' in.

Stuxnet was het eerste, maar dus lang niet het laatste digitale middel dat wereldwijd een grote impact gaat maken. “Een ding is zeker: oorlog is de voortzetting van politiek met andere middelen, volgens militaire theoreticus Carl von Clausewitz, en binnen het assortiment van die middelen hebben cyberwapens een belangrijke plek ingenomen”, besluit de promovendus.