UPDATE 2012-04-26: official English translation of the report available here (.pdf).
UPDATE 2012-04-09: Dutch cabinet responded to the advice. See here.
UPDATE 2012-02-09: highly relevant –> Loving the Cyber Bomb? The Dangers of Threat Inflation in Cybersecurity Policy (.pdf), Jerry Brito and Tate Watkins, Harvard NatSec Journal, 2012
UPDATE 2012-02-06: highly relevant –> NATO CCD-CoE International Cyber Security Legal & Policy Proceedings 2010
UPDATE 2012-01-25: interesting writing by krypt3ia: Real Cyberwar: A Taxonomy (2012-01-18).
In December 2011 the Dutch Advisory Council on International Affairs published an advisory (.pdf, in Dutch) entitled “Digitale Oorlogsvoering” (English: “Digital Warfare”) intended for the Dutch government. The council describes itself as “an independent body which advises government and parliament on foreign policy, particularly on issues relating to human rights, peace and security, development cooperation and European integration”. Its existence originates in Dutch law (.pdf, in Dutch). The council is administratively co-located at the Dutch Ministry of Foreign Affairs.
Below is my careful translation of the conclusions and recommendations of their advisory. Any less-than-graceful use of the English language is due to me translating as literally as possible. Hyperlinks and parts between […] are mine.
Remember that in November 2011, the Pentagon stated that they reserve the right to meet cyber attacks with kinetic force? The Dutch advisory states the same (see recommendation 17): “A digital attack that meets the requirements of an armed attack can justify a response with conventional armed means”.
WARNING: this is an unofficial translation.
Dutch Advisory Council on International Affairs
Original Dutch: “Adviesraad Internationale Vraagstukken”
Conclusions and recommendations
Original Dutch: “Conclusies en aanbevelingen”
The issue of definition
Original Dutch: “De definitiekwestie”
- Threats to digital security can originate from digital warfare, digital espionage, digital terrorism, digital activism and digital crime. Definition of these manifestations is needed to prevent conceptual mix-ups. This does not mean that different manifestations cannot be related to each other. The same technical means are often used to different ends. Distinguishing the end is, however, important in determining the right national response to specific threats, for example to reduce the risk of overreacting.
Original Dutch: “De bedreiging van de digitale veiligheid kan voortkomen uit digitale oorlogvoering, digitale spionage, digitaal terrorisme, digitaal activisme en digitale criminaliteit. Definiëring van deze verschijningsvormen is nodig om te voorkomen dat ze conceptueel met elkaar worden vermengd. Dit betekent niet dat deze dreigingsvormen geen samenhang kunnen vertonen. Vaak komen de gebruikte technieken overeen en verschilt alleen het beoogde doel. Het onderscheiden van de doelstelling is echter van belang voor het bepalen van de juiste nationale respons op specifieke dreigingen, bijvoorbeeld om het risico van een overreactie te beperken.”
- The AIV/CAVV therefore recommends that the Dutch government applies clear and uniform definitions. It is essential that governments and organizations establish common interpretations internationally, if one wants to be able to establish international agreements about addressing digital threats.
Original Dutch: “De AIV/CAVV beveelt daarom aan dat de overheid gebruik maakt van duidelijke en uniforme begripsomschrijvingen. Op internationaal niveau is het eveneens noodzakelijk dat overheden en organisaties tot eensluidende interpretaties komen, wil men in staat zijn om internationale afspraken te maken over de aanpak van digitale dreigingen.”
The digital threat
Original Dutch: “De digitale dreiging”
- The Dutch administration notes that the dependency of the functioning of digital networks entails new security risks. Besides digital crime, which is largely outside the scope of this advice, there seems to be an increase of digital espionage activities. However, more systematic and quantitative research is needed on the size of the various digital threats. Considering that these are pre-eminently cross-border problems and available capacities can be bundled best in that way, AIV/CAVV recommends initiating independent research at EU and NATO level.
Original Dutch: “De regering constateert dat de afhankelijkheid van het functioneren van digitale netwerken nieuwe veiligheidsrisico’s met zich meebrengt. Naast digitale criminaliteit, dat grotendeels buiten het bestek van dit advies valt, lijkt er sprake van een toename van digitale spionageactiviteiten. Er is echter meer systematisch en kwantitatief onderzoek nodig naar de omvang van de verschillende digitale dreigingsvormen. Aangezien het bij uitstek grensoverschrijdende problematiek betreft en omdat de aanwezige capaciteiten zo het best gebundeld kunnen worden, beveelt de AIV/CAVV aan een dergelijk onafhankelijk onderzoek in EU- en NAVO-verband te initiëren.”
The digital domain is considered to be the ‘fifth dimension’ that may involve military action, next to land, air, sea and space. Based on what political and military aims should operational cybercapabilities be developed and used? What is the nature and role of operational cybercapabilities in military operations?
Original Dutch: “Het digitale domein wordt naast land, lucht, zee en ruimte beschouwd als de ‘vijfde dimensie’ waarin sprake kan zijn van militair optreden. Op grond van welke politieke en militaire doelstellingen moeten operationele cybercapaciteiten worden ontwikkeld en kunnen worden ingezet? Wat is de aard en rol van operationele cybercapaciteiten bij militaire operaties?”
- It is expected that the digital domain will play an important role in every future conflict. A `cyberwar’, exclusively being fought in the digital domain, and with devastating consequences, is however not likely. Therefore, the more restricted notion of `digital warfare’ will be used in this advice, to be considered as part of a military operation that can also include other (non digital) dimensions.
Original Dutch: “Het digitale domein zal naar verwachting in elk toekomstig conflict een belangrijke rol spelen. Een ‘cyberoorlog’, die uitsluitend in het digitale domein wordt uitgevochten, en met verwoestende gevolgen, is echter niet aannemelijk. Daarom wordt in dit advies de meer afgebakende term ‘digitale oorlogvoering’ gebruikt, te beschouwen als onderdeel van een militaire operatie die ook andere (niet digitale) dimensies kan omvatten.” - Operational cybercapabilities – being part of military power – can contribute to the achievement of a political goal. For the deployment of these capabilities, a clear political framework is essential. The existing national security strategy is nationally oriented. The AIV/CAVV recommends that operational cybercapabilities and developments on this area become part of an integrated strategy for homeland and foreign security policy.
Original Dutch: “Operationele cybercapaciteiten – deel uitmakend van militair vermogen – kunnen een bijdrage leveren aan het bereiken van een politiek doel. Voor de inzet van deze capaciteiten is een helder politiek kader essentieel. De bestaande nationale veiligheidsstrategie is nationaal gericht. De AIV/CAVV beveelt aan dat operationele cybercapaciteiten en ontwikkelingen op dit gebied een plaats krijgen in een geïntegreerde strategie voor het binnenlands en buitenlands veiligheidsbeleid.” - Besides the development of operational cybercapabilities, it is also of importance to invest in a coherent `cyberdiplomacy’, where in response to concrete threats, using expert knowledge, a wide range of measures is considered, varying from political pressure, the use of economic sanctions, the insistence on criminal measures to – ultimately – the use of sanctioned force.
Original Dutch: “Naast de ontwikkeling van operationele cybercapaciteiten is het tevens van belang te investeren in een samenhangende ‘cyberdiplomatie’, waarbij als reactie op concrete dreigingen met kennis van zaken een breed palet aan maatregelen wordt overwogen, variërend van politieke druk, de inzet van economische sancties, het aandringen op strafrechtelijke maatregelen tot – in laatste instantie – het gebruik van gesanctioneerd geweld.”
- The use of cybercapabilities should serve to assist the main tasks of the armed forces. This use can be related to the security of own defense systems, the gathering of intelligence and digital attacks aimed at the disruption, damaging or destruction of computers and networks of the adversary.
Original Dutch: “De inzet van cybercapaciteiten dient ten dienste te staan van de hoofdtaken van de krijgsmacht. Deze inzet kan betrekking hebben op de beveiliging van de eigen defensiesystemen, het vergaren van inlichtingen en digitale aanvallen gericht op het verstoren, beschadigen of vernietigen van computers en netwerken van de tegenstander.” - Although digital weapons are characterized by the small size of material investment, the development of a technically complex attack requires specialized knowledge. Digital weapons have a limited shelf life, their use often entails indirect effects and the attacker is difficult to trace. It is however certainly possible to establish the identity of the attacker via non-technical attribution.
Original Dutch: “Digitale wapens worden weliswaar gekenmerkt door geringe materiële instapkosten, maar de ontwikkeling van een technisch complexe aanval vereist gespecialiseerde kennis. Digitale wapens kennen een beperkte houdbaarheidsduur, de inzet ervan brengt veelal indirecte effecten met zich mee en de aanvaller is moeilijk herleidbaar. Het kan echter zeker mogelijk zijn om mede door het gebruik van niet-technische attributie de identiteit van de aanvaller vast te stellen.” - The AIV/CAVV recommends that – considering the technological developments – it is reviewed whether the current separation in the Dutch Intelligence and Security Services Act (WIV) between wired and wireless data needs to be maintained.
Original Dutch: “De AIV/CAVV beveelt aan dat – gezien de technologische ontwikkelingen – wordt bezien of het huidige onderscheid in de Wet- op de Inlichtingen en Veiligheidsdiensten (WIV) tussen kabelgebonden en niet-kabelgebonden data gehandhaafd moet blijven.” - With good reasons WIV does not permit that an intelligence service used a placed exploit for a network attack with military intention that has the change or destruction of a system as intended purpose. Such an attack ought to take place under responsibility of the Chief of Defense (CDS), after obtained political approval. It is necessary within the armed forces to establish clear procedural agreements that follow from this separation of duty.
Original Dutch: “Het is om goede redenen op basis van de WIV niet toegestaan dat een inlichtingendienst een geplaatste exploit gebruikt voor een netwerkaanval met een militair oogmerk, die het wijzigen of beschadigen van een systeem tot doel heeft. Een dergelijke aanval dient onder verantwoordelijkheid van de Commandant der Strijdkrachten (CDS) plaats te vinden, na verkregen politieke toestemming. Het is noodzakelijk binnen de krijgsmacht ook op digitaal terrein duidelijke procedurele afspraken te maken, die volgen uit deze functiescheiding.”
- In conducting military operations it can be decided to also use digital attacks. In essence it is about the use of a means – digital capabilities – from the toolbox of military means that can contribute to achieving a political target. The operational use of cybercapabilities, which ought to take place in agreement with legal frameworks, is limited by technical features of digital weapons and the available knowledges within the armed forces. The AIV/CAVV therefore recommends to currently use the scarce means only at limited scale for the development of offensive capabilities and to emphasize the improving of the defense of the own networks and the building of an adequate digital intelligence capability.
Original Dutch: “Bij het uitvoeren van militaire operaties kan er voor worden gekozen ook gebruik te maken van digitale aanvallen. In essentie gaat het om de inzet van een middel – digitale capaciteit – uit de toolbox van militaire middelen die een bijdrage kunnen leveren aan het bereiken van een politiek doel. De operationele inzet van cybercapaciteiten, die overeenkomstig de juridische kaders dient plaats te vinden, wordt begrensd door de technische kenmerken van digitale wapens en de beschikbare kennis binnen de krijgsmacht. De AIV/CAVV beveelt daarom aan om vooralsnog de schaarse defensiemiddelen slechts op beperkte schaal in te zetten voor het ontwikkelen van offensieve capaciteiten en de nadruk te leggen op het verbeteren van de verdediging van de eigen netwerken en het opbouwen van een adequate inlichtingencapaciteit op digitaal gebied.” - Also due to the scarce technical knowledge and capabilities, a more decompartmentalized approach is advocated within the Dutch National Cyber Security Centre that is operational since January 2012. In time, the centre could develop to a sort of national CERT that performs the aggregated monitoring of vital networks, making increased use of the capabilities at GOVCERT.NL, MIVD, AIVD, KLPD and sometimes supplemented by commercial and scientific organizations. In addition, with respect to the intelligence function, further cooperation between AIVD and MIVD is possible. The AIV/CAVV recommends that the available capital intensive and knowledge intensive signals intelligence (SIGINT) and cybercapabilities are accommodated in a common unit.
Original Dutch: “Mede gezien de schaarse technische kennis en capaciteiten wordt een nog meer ontkokerde aanpak binnen het per januari 2012 operationele Nationaal Cyber Security Centrum bepleit. Het centrum zou zich op termijn kunnen ontwikkelen tot een soort nationale CERT die de geaggregeerde monitoring van vitale netwerken voor zijn rekening neemt, meer gebruikmakend van capaciteit die nu aanwezig is bij GOVCERT.NL, MIVD, AIVD, KLPD en soms wordt aangevuld door commerciële en wetenschappelijke organisaties. Verder is ten aanzien van de inlichtingentaak verdergaande samenwerking tussen de AIVD en de MIVD mogelijk. De AIV/CAVV beveelt aan om de beschikbare kapitaal- en kennisintensieve signals intelligence (SIGINT) en cybercapaciteiten in een gezamenlijke eenheid onder te brengen.”
Under what circumstances can a cyberthreat be considered to be the threat or use of force in the sense of Article 1, clause 4 of the UN Charter? [That is: “All Members shall refrain in their international relations from the threat or use of force against the territorial integrity or political independence of any state, or in any other manner inconsistent with the Purposes of the United Nations.”]
Under what cirumstances can a cyberattack be considered to be an armed attack against which force can be used in self-defense based on Article 51 of the UN Charter? [That is: “Nothing in the present Charter shall impair the inherent right of individual or collective self-defence if an armed attack occurs against a Member of the United Nations, until the Security Council has taken measures necessary to maintain international peace and security. Measures taken by Members in the exercise of this right of self-defence shall be immediately reported to the Security Council and shall not in any way affect the authority and responsibility of the Security Council under the present Charter to take at any time such action as it deems necessary in order to maintain or restore international peace and security.”]
Original Dutch: “Onder welke omstandigheden kan een cyberdreiging worden beschouwd als het gebruik van geweld of een dreiging hiermee, in de zin van artikel 2 lid 4 van het VN-Handvest? Onder welke omstandigheden kan een cyberaanval worden beschouwd als een gewapende aanval waartegen geweld mag worden gebruikt ter zelfverdediging op basis van artikel 51 van het VN-Handvest?”
- Article 2, clause 4 of the UN Charter forbids the threat and use of force in international relations. The ban includes armed violence that has a real or potentially physical effect on the target state. The ban, however, also relates to other forms of violence that have resulted or could have resulted in death, injury of damage to property or infrastructure.
Original Dutch: “Artikel 2 lid 4 van het Handvest van de Verenigde Naties verbiedt het gebruik of dreigen met het gebruik van geweld in internationale betrekkingen. Onder het verbod valt gewapend geweld met een feitelijk of mogelijk fysiek effect op de staat die het doelwit is. Het verbod heeft echter ook betrekking op andere vormen van geweld die hebben geleid of hadden kunnen leiden tot dood, letsel of schade aan goederen of infrastructuur.” - The use of force in self-defense based on Article 51 of the UN Charter is, according to international law, an exceptional measure, that in armed digital attacks is justified only in situations that transcend the threshold of digital crime or espionage. Before a digital attack justifies the right to self-defense, its consequences must be comparable to that of a conventional armed attack. When a digital attack results in substantial number of deadly victims [sic] or large-scale destruction of or damage to vital infrastructure, military platforms or installations of civil property, this must be equated to an ‘armed attack’.
Original Dutch: “Het gebruik van geweld in het kader van zelfverdediging op basis van artikel 51 van het VN Handvest is volgens het internationaal recht een uitzonderlijke maatregel, die bij gewapende digitale aanvallen slechts gerechtvaardigd wordt in situaties die uitstijgen boven de drempel van digitale criminaliteit of spionage. Voordat een digitale aanval het recht tot zelfverdediging rechtvaardigt, moet deze gevolgen hebben die vergelijkbaar zijn met die van een conventionele gewapende aanval. Wanneer een digitale aanval leidt tot een aanmerkelijk aantal dodelijke slachtoffers of grootschalige vernietiging van of schade aan vitale infrastructuur, militaire platforms of installaties of civiele goederen, moet deze gelijk gesteld worden met een ‘gewapende aanval’.” - An organized digital attack aimed at essential functions of the state must, also when it does not result in physical damage or injury, but potentially or actually results in severe disruption of the functioning of the state or severe and prolonged consequences for the stability of the state, be earmarked as an ‘armed attack’ in the sense of Article 51 of the UN Charter. There must be (persistent attempt to) disruption of the state and/or society and not merely an obstruction or delay of the normal performance of tasks.
Original Dutch: “Een georganiseerde digitale aanval op essentiële functies van de staat moet, ook wanneer deze geen fysieke schade of letsel tot gevolg heeft, maar mogelijk of daadwerkelijk leidt tot ernstige verstoring van het functioneren van de staat of ernstige en langdurige gevolgen voor de stabiliteit van de staat, worden aangemerkt als een ‘gewapende aanval’ in de zin van artikel 51 van het VN-Handvest. Hierbij moet dan sprake zijn van een (aanhoudende poging tot) ontwrichting van de staat en/of de samenleving en niet slechts een belemmering of vertraging bij het normaal uitvoeren van taken.” - The use of force in response to a digital attack must meet the requirements of necessity and proportionality in exercising the right of self-defense. The measures must be aimed at ending the attack and preventing its repetition in the near future, and there must not exist usable alternative means.
Original Dutch: “Het gebruik van geweld naar aanleiding van een digitale aanval moet voldoen aan de vereisten van noodzakelijkheid en proportionaliteit ten aanzien van de uitoefening van het recht tot zelfverdediging. De maatregelen moeten gericht zijn op het beëindigen van de aanval en het voorkomen van herhaling ervan in de nabije toekomst en er moeten geen bruikbare alternatieven zijn.” - The principle of proportionality does not require that a response to an attack is of the same nature as the attack itself. A digital attack that meets the requirements of an armed attack can justify a response with conventional armed means.
Original Dutch: “Het principe van proportionaliteit vereist niet dat een respons op een aanval van dezelfde aard is als de aanval zelf. Een digitale aanval die voldoet aan de voorwaarden van een gewapende aanval kan een respons met conventionele gewapende middelen rechtvaardigen.” - Taking measures against digital aggression is only lawful if sufficient certainty exists about the origin and source of the attack.
Original Dutch: “Het treffen van maatregelen tegen digitale agressie is voorts uitsluitend rechtmatig indien er een voldoende mate van zekerheid bestaat omtrent de herkomst en bron van de aanval.”
When does humanitarian law apply to behavior in the digital domain? Must it be coherent with kinetic use of force? In such an application, how should the principles of distinction and proportionality be shaped, and the obligation to take precautionary measures?
Original Dutch: “Wanneer is er sprake van toepasselijkheid van het humanitair oorlogsrecht op gedragingen in het digitale domein? Moeten deze samenhangen met kinetisch geweldsgebruik? Hoe zou bij een dergelijke toepassing gestalte moeten worden gegeven aan de oorlogsrechtelijke principes van onderscheid en proportionaliteit, en aan de verplichting tot het nemen van voorzorgsmaatregelen?
- Humanitarian law only applies in context of armed conflict, at the international or non-international level. Cyberoperations that do not cross the threshold of armed conflict are therefore outside the scope of applicability of humanitarian law.
Original Dutch: “Het humanitair oorlogsrecht is alleen van toepassing in de context van een gewapend conflict, in internationaal of niet-internationaal verband. Cyberoperaties waarbij de drempel van een gewapend conflict niet wordt overschreden, vallen derhalve buiten het toepassingsveld van het humanitair oorlogsrecht.” - Digital attacks that are more than sporadic, isolated armed incidents and (can) result in loss of human life, injury, destruction or prolonged damage to physical objects, can be qualified as armed conflict in the sense of humanitarian law. This primarily applies to digital attacks that are conducted in combination with a kinetic attak. It also applies, however, to a digital attack that – without the use of kinetic means of warfare – result in destruction or prolonged and severe damage to computer systems for administration of critical military or civil infrastructure, or that seriously affect the state’s ability to perform essential government functions and thereby damage the economical or financial stability of the state and its population.
Original Dutch: “Digitale aanvallen die meer zijn dan sporadische, geïsoleerde gewapende incidenten en die resulteren in verlies van mensenlevens, letsel, vernietiging of langdurige schade aan fysieke objecten tot gevolg (kunnen) hebben, kunnen worden gekwalificeerd als gewapend conflict in de zin van het humanitair oorlogsrecht. Dit is in de eerste plaats het geval bij digitale aanvallen die in combinatie met een kinetische aanval worden uitgevoerd. Dit geldt echter ook voor een digitale aanval die – zonder de inzet van kinetische middelen van oorlogvoering – leidt tot vernietiging of langdurige en ernstige schade aan computersystemen voor het beheer van kritieke militaire of civiele infrastructuur, of die het vermogen van de staat om essentiële overheidsfuncties te vervullen ernstig aantast en daarbij ernstige en langdurige schade toebrengt aan de economische of financiële stabiliteit van de staat en zijn bevolking.” - In every armed conflict, both at international and non-international levels, rules to the conduct of hostilities apply to the use of all sorts, means and methods of warfare, including means and methods of digital nature. These rules comprise among others the foundations of distiction, proportionality and the taking of precautionary measures. Furthermore, a ban applies on the use of a protected or neutral status with the intent to attack and to abuse such a status, including the IP-identity [?], as shield against an attack.
Original Dutch: “In ieder gewapend conflict, zowel in internationaal als niet-internationaal verband, zijn de regels inzake het voeren van vijandelijkheden van toepassing op het gebruik van alle soorten, middelen en methoden van oorlogvoering, inclusief middelen en methoden van digitale aard. Deze regels betreffen onder meer de beginselen van onderscheid, proportionaliteit en het nemen van voorzorgsmaatregelen. Verder geldt er een verbod op het voorwenden van een beschermde of neutrale status met het oogmerk aanvallen uit te voeren en het misbruiken van een dergelijke status, waaronder de IP-identiteit, als schild tegen een aanval.”
How should the international legal concepts of sovereignty and neutrality be shaped in the cyberdomain?
Original Dutch: “Hoe zou in het cyberdomein gestalte moeten worden gegeven aan de volkenrechtelijke begrippen soevereiniteit, neutraliteit?”
- The right of neutrality applies to the use of digital weapons and methods of warfare. It basically prevents the use by belligerent parties of computers or computer systems located on neutral territory, insofar as possible, as well as attacks aimed at computernetworks or information systems located on neutral territory. It enables a neutral state to prevent a belligerent party from using computers and information systems that are located on their territory or jurisdiction. The sole transmission of data via a part of the internet located on neutral territory does however not result in violation or loss of neutrality.
Original Dutch: “Het neutraliteitsrecht is van toepassing bij de inzet van digitale wapens en methoden van oorlogvoering. Het belet in principe het gebruik door belligrente partijen van computers of computersystemen die zich op neutraal grondgebied bevinden, voor zover dit mogelijk is, evenals aanvallen op computernetwerken of informatiesystemen op neutraal terrein. Het staat een neutrale staat toe een oorlogvoerende partij te verhinderen gebruik te maken van computers en informatiesystemen die zich op zijn grondgebied bevinden of onder zijn rechtsmacht vallen. De enkele doorgifte van gegevens via een op neutraal grondgebied gelegen deel van internet levert echter geen schending of verlies van de neutraliteit op.”
To what extent can international standards of conduct about the use of the digital domain effectively contribute to the improvement of cybersecurity? Can we learn from experiences with existings codes of conduct, for example related to nonproliferation?
Original Dutch: “In hoeverre kunnen internationale gedragsnormen over het gebruik van het digitale domein een effectieve bijdrage leveren aan het vergroten van cyber security? Kunnen we lering trekken uit ervaringen met bestaande gedragscodes, bijvoorbeeld op het gebied van nonproliferatie?”
- Standards of conduct can relate to the protection of networks, judicial cooperation, the application of international law and mutual information provisioning. It is important to broaden the scope of existing agreements within the Council of Europe’s Convention on Cybercrime (2001). It is important that the convention states that countries ought to prosecute or extradite groups or individuals guilty of committing digital crime in third countries from the territory belonging to the involved state. This provides possibilities to address illegal activities, such as largescale blackmarket trade in malware and identity data. Above it has been concluded that existing international law applies to the digital domain regarding requirements for the use of force, war law and principles of sovereignty and neutrality. Therefore it is not necessary to establish a special `cybertreaty’. In the opinion of AIV/CAVV, though, an important empowering effect would result from states elaborating on these principles via an international code of conduct or a declaration.
Original Dutch: “Gedragsnormen kunnen betrekking hebben op de bescherming van netwerken, strafrechtelijke samenwerking, de toepassing van het internationaal recht en wederzijdse informatievoorziening. Het is van belang de bestaande afspraken binnen het kader van de Raad van Europa Conventie inzake Cybercrime een bredere reikwijdte te geven. Belangrijk is dat de conventie stelt dat landen dienen over te gaan tot vervolging of uitlevering van groepen of individuen die zich schuldig maken aan digitale criminaliteit in derde landen vanaf het grondgebied van de staat in kwestie. Dit biedt aanknopingspunten om illegale activiteiten, zoals grootschalige zwarte handel in malware en identiteits gegevens, aan te pakken. Hierboven is geconcludeerd dat het bestaande internationaal recht van toepassing is op het digitale domein waar het gaat om de voorwaarden van geweldsgebruik, het oorlogsrecht en principes van soevereiniteit en neutraliteit. Het is daarom niet noodzakelijk hiervoor een speciaal ‘cyberverdrag’ op te stellen. Wel is de AIV/CAVV van mening dat er een belangrijke versterkende werking vanuit zou gaan indien staten aan deze principes door middel van een internationale gedragscode of verklaring nadere uitwerking zouden geven.” - Generally speaking, the private sector could take more responsibility for the protection of the critical infrastructure it operates. This could be promoted by better regulation of (financial) liability of companies. Also, it ought to be ensured that basic services are guaranteed in case of partial failure of critical infrastructure.
Original Dutch: “In algemene zin zou de private sector meer verantwoordelijkheid kunnen nemen voor de bescherming van de kritieke infrastructuur die het beheert. Dit zou kunnen worden bevorderd door de (financiële) aansprakelijkheid van bedrijven op dit punt beter te regelen. Ook dient te worden gewaarborgd dat een minimum aan dienstverlening is gegarandeerd bij gedeeltelijke uitval van kritieke infrastructuur.” - It is striking that the Dutch administration is – justly – very active on the terrain of freedom of expression on internet, but less involved in global discussion about the establishment of norms aimed at conflict management on digital terrain. The AIV/CAVV recommends that the Netherlands starts participating in initiatives aimed at the establishment of norms on this terrain such as Group of Governmental Experts that is to be established again by the Secretary-General of the United Nations .
Original Dutch: “Het valt op dat waar de Nederlandse regering – met recht – erg actief is op het terrein van de vrijheid van meningsuiting op internet, de Nederlandse betrokkenheid tot op heden minder groot is bij mondiaal overleg gericht op het formuleren van normen met als doel conflictbeheersing op digitaal gebied. De AIV/CAVV beveelt aan dat Nederland zich als deelnemer aansluit bij initiatieven die het formuleren van normen op dit terrein tot doel hebben zoals een wederom door de SGVN in te stellen Group of Governmental Experts.” - Neither possibility nor necessity exists for establishing a global non-proliferation regime. Important differences exist between WMDs and digital `weapons’. Insufficient possibilities exist for establishing and enforcing export restrictions on digital technology and software in protection of one’s own military and civil digital infrastructure.
Original Dutch: “Er is noch de mogelijkheid noch de noodzaak tot het overeenkomen van een wereldwijd non-proliferatieregime. Er zijn belangrijke verschillen tussen massavernietigingswapens en digitale ‘wapens’. Er zijn evenmin voldoende aanknopingspunten voor het instellen en afdwingen van beperkingen aan de uitvoer van bepaalde digitale technologie en software ter bescherming van de eigen militaire en civiele digitale infrastructuur.”
How can NATO and EU give specific meaning to the principles of common defense, deterrence and the solidarity clause regarding cyberthreats? How can NATO and EU improve information exchange for the purpose of threat analysis?
Original Dutch: “Hoe kunnen de NAVO en de EU concreet inhoud geven aan de principes van common defence, deterrence en de solidariteitsclausule ten aanzien van cyberdreigingen? Hoe kunnen de NAVO en de EU de informatie-uitwisseling ten behoeve van dreigingsanalyses verbeteren?”
- It is expected that NATO will only be able to develop modest offensive digital capabilities for the protection of their own systems and networks, or active defense. The conventional and nuclear means in possession of individual NATO countries already have a deterring effect. In future NATO operations, offensive digital capabilities of individual member states could be used though.
Original Dutch: “De NAVO zal naar verwachting slechts bescheiden offensieve digitale capaciteiten kunnen ontwikkelen ter bescherming van de eigen systemen en netwerken, ofwel in het kader van de actieve verdediging. Van de conventionele en nucleaire middelen waarover afzonderlijke NAVO-landen beschikken gaat al een afschrikwekkende werking uit. Bij toekomstige NAVO-operaties kunnen wel offensieve digitale capaciteiten van de afzonderlijke lidstaten worden ingezet.” - It is necessary that coherency is increased between activities related to digital security of the various Directorates-General of the European Commission – including Home Affairs (HOME), Information Society and Media (INFSO), Justice (JUST) and Internal Market and Services (MARKT) – as well as the European External Action Service (EEAS), by implementing a joint strategy.
Original Dutch: “Het is noodzakelijk dat er meer samenhang komt in de activiteiten op het terrein van digitale veiligheid van de verschillende directoraten-generaal van de Europese Commissie – waaronder Binnenlandse Zaken (HOME), Informatiemaatschappij en media (INFSO), Justitie (JUST) en Interne Markt en Diensten (MARKT) – evenals EDEO, door uitvoering te geven aan een gezamenlijke strategie.” - Article 4 and 5 of the UN Charter can relate to attacks in the digital domain. Article 5 is formulated so generally that it can be considered to apply to every form of armed violence. The less far-reaching Article 4 can apply to digital attacks that affect national security but don’t yet exceed the threshold of an armed attack. It is expected that in practice, in case of digital attacks, Article 4 is more likely to be invoked.
Original Dutch: “Artikel 4 en 5 van het NAVO-verdrag kunnen betrekking hebben op aanvallen in het digitale domein. Artikel 5 is dermate algemeen geformuleerd dat hier alle vormen van gewapend geweld onder kunnen worden geschaard. Het minder verstrekkende artikel 4 kan van toepassing zijn op digitale aanvallen die raken aan de nationale veiligheid maar nog niet de drempel van een gewapende aanval overschrijden. Naar verwachting zal er in praktijk bij digitale aanvallen eerder een beroep op dit artikel 4 worden gedaan.” - The EU Solidarity Clause (Article 42.7 of the Treaty on the Functioning of the European Union (.pdf)) will probably be used primarily for political endorsements. The EU can, however, fulfill a leading role in promoting digital security in the private sector of member states.
Original Dutch: “De bijstandsclausule van de EU (artikel 42.7 van het EU-Verdrag) zal waarschijnlijk vooral worden aangewend ten behoeve van politieke steunbetuigingen. De EU kan wel een leidende rol vervullen bij het bevorderen van de digitale beveiliging in de private sector van de lidstaten.” - Information exchange between EU and NATO related to digital security confronts the same familiar institutional barriers as the cooperation between both organizations on different areas. An addition problem is that potential information provisioning in the first period will mostly show to be one-way traffic, because both policy-making and capabilities of the EU on the area of Common Foreign and Security Policy and cyber are limited. For now, informal exchange of intelligence between member states of EU and NATO, taking into account privacy regulations, should be exploited as much as possible.
Original Dutch: “Informatie-uitwisseling tussen de EU en de NAVO op het terrein van digitale veiligheid loopt tegen dezelfde bekende institutionele belemmeringen aan als de samenwerking tussen beide organisaties op andere terreinen. Bijkomend probleem is dat mogelijke informatievoorziening de eerstkomende periode vooral eenrichtingsverkeer zal blijken, aangezien zowel de beleidsvorming als de capaciteiten van de EU op het terrein van het GBVB en cyber beperkt zijn. Informele inlichtingenuitwisseling tussen de staven [sic] van de EU en NAVO, met inachtneming van de privacyregels, moet vooralsnog zoveel als mogelijk worden benut.”
EOF.