VIERKANT BESCHOUWD

Onze krijgsmacht gaat informatiegestuurd optreden

Is Defensie er klaar voor?

‘In 2035 is Defensie een slimme, technologisch hoogwaardige organisatie. Defensie heeft een groot vermogen om zich aan te passen aan situaties en handelt op basis van de beste informatie. En dat moet ook. Want wereldwijd nemen fysieke en digitale dreigingen de komende jaren alleen maar toe en wordt het grijze gebied tussen oorlog en vrede steeds groter’.

Informatiegestuurd optreden

Bovenstaande passage uit de Defensievisie 2035 ademt de geest uit van het wereldwijd onderkende inzicht dat de wijze van optreden van onze potentiële tegenstanders is veranderd als gevolg van het ‘informatietijdperk’ en dat de enige manier om hier het hoofd aan te kunnen bieden het informatiegestuurd optreden is. Er zijn vast meerdere definities van het begrip; we bieden er hier één aan die de lading volgens ons dekt:

‘Being information-driven means having all of the relevant content and data from across the enterprise intelligently and securely processed into information that is contextual to the task at hand and aligned with the user’s goals’ [1].

Deze definitie geldt evenzeer voor commerciële bedrijven als voor de overheid en zeker ook voor de krijgsmacht. Het is de centrale gedachte achter vele typeringen van moderne conflicten. Hybride oorlogvoering, War in the Grey zone, Operations other than War, Fake News, Information Operations, Operations in the Information Environment, Cyber Warfare, Information Warfare, Cyber Operations; het zijn aanduidingen waar we inmiddels wel mee vertrouwd zijn. En defensieorganisaties grijpen de overgang naar het informatietijdperk aan. Krijgsmachten zijn wereldwijd aan de slag om deze tectonic shift [2] te verwerken in hun concepten en capaciteiten. De bovenstaande figuur[3] laat zien hoe snel IT-systemen zich over de wereld verspreiden en daarmee ook de kwetsbaarheid van onze moderne samenlevingen verhogen.

Defensie zal hierin mee moeten gaan. Hierbij gaat het om het verdedigen van onze maatschappij en haar kritieke infrastructuur, waaronder de communicatie- en informatie-infrastructuur. Het gaat om het zelf ook meer aanwenden van informatietechnologie voor de effectieve en gesynchroniseerde inzet van capaciteiten. En het gaat om het gebruik van informatie om actoren te beïnvloeden bij een (mogelijk) gewapend conflict of bij externe bedreiging van onze samenleving.

Defensie besteedt daarom terecht veel aandacht aan het informatiedomein in de visie voor 2035 en is al jaren bezig daarvoor capaciteiten op te bouwen, getuige het ontstaan van het Joint ISTAR Commando (JISTARC), het Defensie Cyber Commando (DCC), de Counter Hybrid Unit, het recentelijk veel besproken Land Information Manoeuvre Centre (LIMC) en het 306 Squadron dat met de MQ9 Reaper gaat werken. Maar met deze eenheden is volgens de redactie wel wat aan de hand en ook dat is exemplarisch voor dit domein; er moeten randvoorwaarden worden ingevuld, opdat ze kunnen en mogen doen waar ze organiek voor bedoeld zijn. Dit Vierkant beschouwd gaat verder in op deze problematiek en zoekt naar een oplossingsrichting.

Onze veiligheid vereist een andere 'mindset'

Het is inmiddels bekend: binnen de krijgsmacht zijn veel capaciteiten aanwezig waarmee informatie wordt vergaard en verwerkt. Daarmee ontstaan problemen op het gebied van wet- en regelgeving. JISTARC, DCC en LIMC en de organieke sensoren van wapensystemen als schepen en vliegtuigen - niet voor niets aangeduid als ‘datastofzuigers’ - mogen vrijwel niets in ‘vredestijd’; alleen dat wat nodig is voor veilig navigeren. Hybride oorlogvoering wordt vooral op beleidsniveau uitgeoefend, want genoemde Counter Hybrid Unit is onderdeel van het Directoraat Generaal Beleid (DGB); en de vraag is welke bijdrage daarmee kan worden geleverd aan de militaire uitvoering. Hoeveel water moet er nog door de Rijn stromen voordat de consequenties van hybride conflicten of van ‘vechten in de grey zone’ werkelijk tot veranderingen zullen leiden in onze houding en tegenmaatregelen, terwijl bedreigende actoren hierin al jaren acteren? Zouden we - naast de inrichting van speciale organisatiedelen en de aanschaf van ‘spullen’ - van onze beleidsmakers van DGB ook mogen verwachten dat ze de minister zover brengen om de politiek (en de samenleving) ervan te doordringen dat Defensie in een achterhaald wettelijk pak is genaaid? ‘Kunnen’ en ‘willen’ zit wel goed, maar ‘mogen‘ zeker niet.

AVG zit Defensie in de weg

In de huidige situatie wordt de krijgsmacht beknot door de Nederlandse Uitvoeringswet van de EU Algemene Verordening Gegevensbescherming (AVG). Dit is een Europese regeling (‘wet’) waarbij iedere lidstaat een eigen uitvoeringsregeling kan opstellen. Een lange uiteenzetting over de werking zullen we u besparen, maar het komt er in het kort op neer dat in Nederland de krijgsmacht in vredestijd, of zonder expliciet mandaat, niets met persoonsgebonden gegevens mag doen. Het gaat om alle methodes die de privacy van burgers zouden kunnen schenden. Dat is wellicht te rechtvaardigen jegens de eigen bevolking, want daar hebben we doorgaans andere instanties voor. Maar het fnuikende is, dat in Nederland in de Uitvoeringswet de AVG ook op het buitenland van toepassing is verklaard. Dat heeft o.a. tot gevolg dat de Russen die ons afluisteren, bespioneren en schaduwen niet mogen worden gepeild door de radars van onze schepen en vliegtuigen en de sensoren van het JISTARC. Er mag bijvoorbeeld ook geen onderzoek worden gedaan op het internet naar de netwerken van mogelijke tegenstanders. Kortom, de Nederlandse krijgsmacht is met de handen op de rug gebonden, totdat wordt verklaard dat ze wordt ingezet in het kader van één van de hoofdtaken; pas dan ontstaat een mandaat. Dat is een totale ontkenning van de notie van de grey zone en van hybride oorlogvoering. Het is of vrede - en dan hebben we vooral de inlichtingendiensten met bevoegdheden - of het is oorlog en dan mag de krijgsmacht in actie komen. Maar u begrijpt dat het weinig zin heeft om pas vanaf dat moment informatie te gaan vergaren; een tegenstander heeft zo een enorme voorsprong en zal onze krijgsmacht eenvoudig kunnen uitmanoeuvreren. De cruciale vraag is derhalve waarom Defensie in deze wettelijke regeling berust. En waarom maakt zij de Nederlandse bevolking wijs dat de krijgsmacht informatiegestuurd gaat optreden? En nog wel in het schemergebied tussen oorlog en vrede? Het is een wensgedachte en geen realiteit.

GDPR Compliance Workshop 2019 (Wikimedia Commons)

Natuurlijk heeft Nederland niet als enige hiermee te maken. Deze kwestie legt een structurele tekortkoming bloot in westerse democratieën en open samenlevingen. In deze landen is oorlogvoeren in de loop der tijd een keuze geworden - doen we wel of niet mee aan een missie? - en is de idee van een strijd om het voortbestaan van de staat en/of de samenleving heel ver van de bevolking en de volksvertegenwoordigers af komen te staan. Maar ook voor het Ministerie van Defensie doet dit fenomeen opgeld. Onlangs doorliep men binnen de Defensiestaf een exercitie om te bezien hoe we ervoor staan als er plotseling ‘op de rode knop’ zou worden gedrukt. Dit betreft een crisissituatie onder de eerste hoofdtaak, oftewel oorlog. De bevindingen stemden niet optimistisch en dat ging dan nog vooral over de gereedheid van de huidige krijgsmacht in een klassiek scenario. We zijn dus een krijgsmacht geworden die nog wel ‘vredesoperaties’ kan uitvoeren, de tweede hoofdtaak, maar geen oorlog terwijl dat de eerste hoofdtaak is. Als u aan iemand in de Bestuursstaf (inclusief de Defensiestaf) zou vragen hoe een mobilisatie in Nederland eruit moet zien, dan zullen glazige blikken uw deel zijn. We weten het niet meer.

De wereld is veranderd

Tijdens de Koude Oorlog bleef de balans tussen machtsblokken gehandhaafd door het bestaan van wederzijdse afschrikking met geloofwaardige capaciteiten. Zo wist de NAVO tegenover het ‘Rode Gevaar‘ met succes voldoende troepen en middelen op te stellen om af te schrikken. Daarvoor was de bestaande (traditionele) wet- en regelgeving voldoende geschikt. Bovendien werden we toen niet lastiggevallen met cyber, waardoor de gehele eigen samenleving - die inmiddels volledig afhankelijk van het internet is geworden - direct betrokken wordt bij die wijze van oorlogvoeren. Voorheen was het in principe een zaak tussen militairen, met militaire middelen, ‘staal tegen staal’.

Hoe anders is het nu. Over de hoofden van militairen heen en gewoon in ‘vredestijd’ richt de tegenstander zich rechtstreeks tot onze bevolking en bedreigt onze vitale infrastructuur. Of er tussen Moskou en Amsterdam nu vijf of tien divisies staan, het maakt niet uit, de Rus of Chinees staat zo in je virtuele achtertuin. Ook extremistische organisaties (links en rechts van het spectrum en uit binnen- en buitenland) kunnen zonder veel hindernissen diep doordringen in onze maatschappij. Bijgaande illustratie[4] van IBM over de Britse publieke sector is typerend voor de hedendaagse dreiging.

Oorlog in de 'grey zone'

Onze open samenleving met een uitgebreid instrumentarium aan wet- en regelgeving om de rechten van burgers te beschermen, heeft deze weg voor bedreigende of ‘concurrerende’ staten en organisaties geplaveid. In onze voortdurende zoektocht naar een open samenleving hebben we in de afgelopen jaren vooral geïnvesteerd in de rechten van burgers, maar hebben daarbij uit het oog verloren dat de keerzijde hiervan is, dat kwaadwillenden hierdoor meer ruimte hebben gekregen om ons om de oren te slaan met de zelf opgelegde restricties voor de overheid. Let wel: we pleiten hier niet voor minder rechten voor burgers, maar wel voor meer balans met de maatregelen die de overheid moet kunnen nemen om diezelfde burger te beschermen - daar zit nu de crux. De extraterritoriale werking van de AVG (via onze nationale Uitvoeringswet), waardoor alle wereldburgers zich beschermd weten tegen de Nederlandse overheid, is onze tegenstanders op een presenteerblaadje aangereikt. De trollen in Moskou en Peking lachen in hun vuistje!

Wie er niet om kunnen lachen, dat zijn onze bondgenoten. De NAVO gaat ervan uit dat eenheden van de lidstaten bijdragen aan het inlichtingenbeeld van de alliantie, zodat ze bij activering van de NAVO-strijdkrachten is voorbereid op de dreiging. Niet alleen op het strategische niveau (dat door de MIVD wordt bediend), maar vooral ook op operationeel en tactisch niveau. Nederlandse eenheden moeten dan in vredestijd helaas nee verkopen. We willen wel, maar het mag niet, omdat de Nederlandse regelingen nog altijd een harde lijn trekken tussen ‘oorlog’ (inzet) en ‘vrede’ (alleen gereedstelling). De grey zone bestaat in formele zin niet voor onze krijgsmacht, maar onze partners begrijpen niet hoe we het zover hebben laten komen.

Ook zij worden beschermd door de Nederlandse Uitvoeringswet AVG! Chinese hackers aan het werk, oftewel 'war in the greyzone', zonder oorlogsverklaring. (Bron: IbizaVandaag)

Ondanks de onderkende bedreigingen ontbreekt het bij de politiek en de leiding van de krijgsmacht blijkbaar aan een gevoel van urgentie en heeft aanpassing van de wet- en regelgeving die het adresseren van de moderne bedreigingen mogelijk maakt geen prioriteit. Eerder het tegendeel, we perken de mogelijkheden van de overheid steeds verder in. Het is nu al zeker niet opportuun om de Nederlandse burgers te vertellen dat sommige vrijheden en waarborgen soms opzijgezet moeten worden voor het algemeen belang, daar zit namelijk weinig electorale bonus in. En dat is natuurlijk precies de reden waarom onze tegenstanders juist deze zwakheden in het liberale westerse model hebben weten te vinden! Burgerrechten, vrijheid van meningsuiting, openbaarheid van bestuur en transparantie, bescherming van privacy, het is de rijke voedingsbodem waarop de splijtzwammen, die hybride instrumenten van onze tegenstanders, goed gedijen. Omdat het kan (de techniek van beïnvloeding via informatie en cyberaanvallen) en omdat we ons nauwelijks mogen verweren.

Andere benadering: 'The Integrated Operating Concept'

De Britse krijgsmacht heeft - evenals andere westerse landen - deze ontwikkelingen proberen te vertalen in een antwoord. Hun benadering is minder op concrete capaciteiten en organisaties gericht, maar vooral op de state of mind die nodig is om het denken over oorlogvoering, afschrikking en competitie fundamenteel ter discussie te stellen:

‘We must acknowledge that we are in a state of persistent competition, which can veer to confrontation, and as the threats and opportunities continue to evolve, so too must we. More of the same will not be enough’ [5]

‘The Integrated Operating Concept 2025’ schetst een nieuwe benadering van de bruikbaarheid van de gewapende macht in een tijdperk van voortdurende machtsstrijd (competitie) en snelle ontwikkelingen in de wijze van oorlogvoeren. De belangrijkste boodschap is: ‘It will lead to a fundamental transformation in the military instrument and the way it is used’.

Centraal in de Britse (militaire) bewustwording staat dat de dreiging fundamenteel anders is en dat het zoeken naar een antwoord daarop een andere houding van de krijgsmacht en - vooral ook - de samenleving vraagt. Ook de Britten onderkennen de onbruikbaarheid van het klassieke uitgangspunt dat er een harde lijn is tussen oorlog en vrede. De tijden van de klassieke oorlogsverklaring zijn al heel lang voorbij, de machtsstrijd vindt iedere dag op vele en vooral verschillende niveaus plaats. Een paar uitdagende zinsneden uit het concept:

  • ‘Adversaries don’t recognize the rule of law;
  • Our adversaries and rivals engage in a continuous struggle involving all of the instruments of statecraft;
  • We are exposed through our openness;
  • (…) achieving objectives without the need to escalate above the threshold of war’;
  • en als laatste: ‘The old distinction between foreign and domestic defence is increasingly irrelevant’.

Biedt de Britse benadering ook een oplossing voor Nederland?

De oplossingsrichting wordt in het Britse operating concept gelukkig ook aangegeven, al stemt die ons wellicht niet hoopvol. Er is namelijk een fundamentele wending in de houding van de samenleving vereist. ‘Competing involves a campaign posture that includes continuous operating on our terms and in places of our choosing’. Dit betekent dat veel machtsinstrumenten, waar de krijgsmacht er één van is, continue moeten worden ingezet om hedendaagse (be)dreigingen te kunnen weerstaan. Dit vraagt oprekking van de wet- en regelgeving over oorlog en vrede, want het betekent continue inzet én het verlenen van de noodzakelijke bevoegdheden aan de uitvoerende delen van de krijgsmacht - naast de MIVD. Zij moeten het mandaat krijgen om de benodigde informatie te verzamelen en verwerken. Dit kan overigens nu al organisatorisch worden opgelost, door de Operationele Commando’s (de eenheden onder de CDS) in vredestijd onder gezag van de MIVD (ergo de WIV2017) te laten opereren, maar dit zal tot zoveel bestuurlijke drukte leiden dat weinigen dat als een aantrekkelijke optie zullen zien. Het verzet zich tevens tegen het adagium: train as you fight and fight as you train. Een andere optie is om per geval te besluiten om de krijgsmacht in te zetten via een politiek besluit, waardoor ook een mandaat wordt gecreëerd. Beide opties zijn lapmiddelen die near-real time optreden in de weg staan en die eigenlijk vragen om een doeltreffende regeling, met name via een aangepaste Uitvoeringswet AVG.

Dat lijkt politiek een duivels traject. Met veel hangen en wurgen is de Wet op de Inlichtingen- en Veiligheidsdiensten (WIV) er in 2017 doorgekomen, evenals de Uitvoeringswet voor de AVG (2018). Welke politicus durft daar nu zijn vingers aan te branden? Het is waarschijnlijk zo dat - net als met terrorisme - er eerst grote ongelukken moeten gebeuren om de bakens te kunnen verzetten. Het spreekwoordelijke kalf staat al aan de rand van de put.

Daarentegen zijn we binnen tal van beleidsterreinen van de overheid - waaronder Defensie - vooral bezig om allerlei andere risico’s te vermijden. Na ieder incident richten we een component op die moet gaan proberen dat in de toekomst te voorkomen. Maar welke risico’s zijn we bereid om als samenleving te lopen, als we de buitenlandse ‘concurrentie’ zijn gang laten gaan? Zo zijn China, Rusland, Iran en andere landen al jaren ervaring aan het opdoen met offensieve cybereenheden.

In Nederland zijn de regels per organisatie bepaald, waardoor de krijgsmacht in vredestijd bijna niets mag

Hoe nu verder?

En de Britten, hebben die dan de oplossing gevonden? Ja en nee. Zoals gezegd, westerse democratieën zullen blijven worstelen met dit soort vraagstukken, omdat het beschermen van onze verworvenheden in deze tijd tegelijkertijd het (gedeeltelijk) opzijzetten van die verworvenheden verlangt. Zo ook in het Verenigd Koninkrijk, maar in wet- en regelgeving is daar veel meer ruimte gegeven om - beargumenteerd - de moderne uitdagingen het hoofd te kunnen bieden. De regels over het schenden van de privacy van burgers bijvoorbeeld zijn niet per organisatie bepaald (zoals in Nederland, waar de krijgsmacht in vredestijd bijna niets mag), maar gekoppeld aan het staatsbelang. Mits goed onderbouwd, kan het bevoegd gezag burgervrijheden inperken. Dit alles is geregeld in de EU General Data Protection Regulation (GDPR) - onze AVG - die in het VK nationaal gekoppeld is aan de Data Protection Act (DPA) (en in Nederland dus aan de Uitvoeringswet AVG). Daarin staat: ‘National security - personal data processed for the purposes of safeguarding national security or defence is outside the UK GDPR’s scope’. Maar niet zonder voorwaarden: ‘In line with the accountability principle, you should justify and document your reasons for relying on an exemption so you can demonstrate your compliance. If you cannot identify an exemption that covers what you are doing with personal data, you must comply with the UK GDPR as normal’. Ook hier is natuurlijk toezicht op, maar er is een fundamenteel verschil tussen de Britse en de Nederlandse regeling. Het Britse voorbeeld staat niet op zichzelf. Ook in Frankrijk is er voor nationale veiligheid, nationale defensie of openbare veiligheid een uitzondering gemaakt in de werking van de AVG.

In het VK en Frankrijk staat vertrouwen in het veiligheidsapparaat (inclusief Defensie) centraal, terwijl in Nederland bevoegdheden en uitzonderingen zo zijn vastgetimmerd dat de krijgsmacht in ‘vredestijd’ eigenlijk niet wordt vertrouwd en dus mag ze (vrijwel) niets. Belangrijke vragen zijn daarom: Wat heeft Defensie gedaan om dit te voorkomen? En wat doet ze nu? Als blijkt dat de defensieleiding op dit punt (te) weinig heeft gedaan om de krijgsmacht haar hoofdtaken te kunnen laten uitvoeren, dan heeft ze voor zichzelf een enorm probleem geschapen. Dat móet worden opgelost!

Het probleem is fundamenteel

Het bovenstaande kaart zodoende een fundamentele kwestie aan: vertrouwt onze bevolking - die wij moeten beschermen - ons voldoende om ook in het cyberdomein en soms met hun persoonlijke informatie (die overigens vaak open en bloot op het internet staat) te werken aan de verdediging van onze samenleving? Als dat niet zo is, zou daaraan toch eerst moeten worden gewerkt, voordat er nog veel meer geld wordt geïnvesteerd in capaciteiten die pas mogen worden ingezet als het al te laat is.

Opvallend is overigens dat een onderzoeksjournalist, op wie geen enkele screening plaatsvindt omtrent zijn/haar motieven of werkwijzen, niet alleen alles omtrent burgers mag uitpluizen (op manieren die sterk doen denken aan de methoden waarvan de inlichtingendiensten zich slechts onder strikte voorwaarden mogen bedienen), maar zelfs wordt beschermd tegen Justitie als ernaar wordt gevraagd. Een kazerne of vliegbasis mag in vredestijd niet eens nagaan wie er rond de kazerne wonen en een schip van onze marine mag op zee formeel niet eens een Russisch marineschip afluisteren, fotograferen of uitpeilen (terwijl dit omgekeerd ongebreideld plaatsvindt).

De vraag of Defensie er klaar voor is als het gaat om informatiegestuurd optreden moeten wij helaas met nee beantwoorden. De hele Defensievisie 2035 is doordrenkt van het belang van informatie, de noodzaak om informatiegestuurd te kunnen opereren en het kunnen beschikken over een gezaghebbende informatiepositie. Dat is echter alleen te realiseren als de krijgsmacht beschikt over het mandaat, de bevoegdheden en mogelijkheden om op te kunnen treden in de informatieomgeving, vooral ook in de grey zone, het schemergebied tussen (verklaarde) oorlog en vrede. Alleen op die manier is zij in staat de aan haar toevertrouwde taken succesvol uit te voeren. De huidige wet- en regelgeving, m.n. de Uitvoeringswet AVG, biedt hiervoor op dit moment echter te weinig ruimte. Het is daarom de hoogste tijd dat we niet langer om de hete brij heen draaien, maar een fundamentele en scherpe discussie voeren over het belang hiervan. Dat vereist, naast politieke moed, vooral leiderschap en daarvan kun je in de huidige veiligheidscontext nooit genoeg hebben. Redactie

Eindnoten

1. www.bi-kring.nl. Benelux Intelligence Kring (Benelux Intelligence Community) 2. Gen USAF Jay Raymonds, Chief US Space Command in een speech op het Pentagon, 15 September 2020 3. Bron: Cisco 5. IBM view on UK's information asset threats, researchgate.net