China heeft een computersysteem van de Nederlandse krijgsmacht geïnfecteerd met geavanceerde spionagesoftware, meldt de MIVD dinsdag. Dat las ik bij Nu.nl. De impact lijkt beperkt maar de ontdekking is bijzonder genoeg. Het riep ook vele vragen op: is dit juridisch gezien bijvoorbeeld een oorlogsdaad?
Het achterliggende rapport is bij de NCSC te downloaden. De kern is dat de malware via een bekende kwetsbaarheid in FortiGate-apparaten van leverancier Fortinet binnendringt en toegang op afstand faciliteert. Technisch niet heel spannend, het is vooral opmerkelijk dat de MIVD hiermee naar buiten treedt én zo expliciet China aanwijst als organisator.
Is het nu oorlog? Niemand die het ziet, maar juridisch gezien is hier weinig over te zeggen. Er is namelijk niet echt een definitie van ‘oorlog’. In de Conventie van Genève van 1952 is staat bijvoorbeeld “any difference arising
between two states and leading to the intervention of members of the armed forces”, oftewel het is oorlog als de strijdkrachten van twee landen tegen elkaar vechten.
De MIVD is deel van onze strijdkrachten en laten we aannemen dat deze malware ingezet is door de Chinese People’s Liberation Army Strategic Support Force, zeg maar hun cyberstrijdkrachten. Maar is dit een “interventie”, is hier sprake van gebruik van wapens?
Los daarvan: het is pas echt oorlog als minstens een van de twee landen dat vindt, of als een hogere macht (zoals de VN) dat verklaart. Daar is bij deze malware geen sprake van.
Arnoud