‘We are not ready’: a cyber expert on US vulnerability to a Russian attack

‘We are not ready’: a cyber expert on US vulnerability to a Russian attack

Oekraïense websites zijn het doelwit geweest van een meedogenloze reeks aanvallen – maar wat gebeurt er als de sites op Amerika worden gericht?

Er wordt algemeen verwacht dat de oorlog tussen Rusland en Oekraïne zich niet alleen op de grond, maar ook online zal afspelen.

De cyberwar-capaciteiten van Moskou zijn al lang reden tot bezorgdheid. Rusland heeft een staat van dienst als het gaat om het coördineren van cyberaanvallen op de VS, Oekraïne en andere tegenstanders. En het land heeft zich de afgelopen jaren opgeworpen als een internationaal centrum voor cybercriminaliteit.

Het verleden van Rusland heeft de vrees gewekt voor een grootschalige cyberoorlog tegen Oekraïne en zijn bondgenoten, waaronder de VS. Hoewel de regering-Biden naar verluidt mogelijke reacties op cyberoorlogsvoering heeft uitgespeeld, hebben sommige deskundigen betoogd dat de VS niet goed is voorbereid op een cyberaanval van betekenis.

Wij spraken met Glenn S Gerstell, senior adviseur bij het Center for Strategic and International Studies en voormalig algemeen raadsman van de National Security Agency, over de waarschijnlijkheid van serieuze cyberoorlogsvoering – en of de VS voorbereid is om te reageren.

“Als we dit 20 jaar geleden op de juiste manier hadden aangepakt, zouden we grotendeels onkwetsbaar zijn voor cyberaanvallen,” zei hij. “Maar helaas is dat niet het geval.”

We zien een onophoudelijke reeks aanvallen tegen Oekraïense websites, vooral die websites die gelinkt zijn met en gecontroleerd worden door de overheid. Dat is onderdeel van een patroon dat we de afgelopen acht jaar hebben gezien, waarbij Rusland Oekraïne als een soort cyberboksbal beschouwt.

Wat we nog niet hebben gezien zijn volledig destructieve aanvallen op de infrastructuur in Oekraïne, zoals die we zagen in 2015 en 2016, toen Rusland het elektriciteitsnet leek te hebben platgelegd.

Waarom wordt een Russische cyberaanval op Oekraïne of zijn bondgenoten zo algemeen verwacht?

Rusland heeft in het verleden zijn zeer formidabele cybervaardigheden tegen de VS en andere landen gebruikt – we hebben gezien wat het kan doen in de vorm van SolarWinds, de Colonial Pipeline-hack, en scores van ransomware-aanvallen in elke industrie in de Verenigde Staten.

We weten dus dat ze een geraffineerde cyberaanvaller zijn, we weten dat ze een motief hebben om dit te doen – ze willen graag zand in onze raderen strooien om hier de boel te verstoren en een strategisch voordeel te behalen in het conflict.

Maar of Vladimir Poetin het risico zou nemen om zich actief in te laten met destructieve cyberoorlogsvoering is een andere zaak.

Wat zou er gebeuren als Rusland de VS zou aanvallen en hoe waarschijnlijk is zo’n aanval?

Ik zie Rusland niet het licht uitdoen in de Verenigde Staten, en wel om een aantal redenen: veel mensen in de VS hebben het standpunt ingenomen dat een cyberaanval met reële vernietigende effecten hetzelfde is als een raketaanval of een bom, en daarom zou worden beschouwd als een oorlogsdaad.

In dat geval is er geen voordeel voor Poetin, omdat hij weet dat dit zou leiden tot een zeer onduidelijke reeks escalaties en vergeldingsmaatregelen. Het zal geen strategisch doel bereiken, en het kan heel slecht aflopen, waardoor Rusland er netto slechter aan toe is.

Heeft de VS een vaste reactie op een cyberoorlog, zoals op een fysieke oorlogsdaad?

De VS zouden op een aantal manieren kunnen reageren: met een heimelijke cyberaanval op Russische agentschappen of een meer zichtbare cyberaanval waarvan de VS openlijk toegeeft dat ze die heeft uitgevoerd.

We zouden ook een militaire actie kunnen uitvoeren, als reactie op een cyberaanval en iets fysieks doen. Natuurlijk kunnen de VS ook economische sancties tegen Rusland nemen, diplomaten verwijderen – de reactie is nogal veranderlijk.

Hoe voorbereid is de VS om te reageren op een cyberaanval van Rusland?

We zijn voorbereid om te reageren in de zin dat ons leger een buitengewone offensieve capaciteit heeft om op cyberniveau te reageren – maar we zijn niet klaar om ons als land te verdedigen.

De private sector is niet voorbereid op aanvallen. Hij vertrouwt op buggy software om zichzelf te beschermen, en de cyberdreigingen nemen sneller toe dan ons vermogen om ons eraan aan te passen. We moeten een soort verplichte oplossing opleggen, want de zuivere marktoplossing is niet levensvatbaar.

De VS is reactief geweest en heeft cyberverantwoordelijkheid omzeild door het simpelweg op bestaande overheidsinstanties te enten en elke instantie verantwoordelijk te maken voor haar eigen gebied.

Alles, van ziekenhuizen en bruggen tot wegen en tunnels, is van belang voor de nationale veiligheid, dus we hebben overheidsingrijpen nodig om dit met een gecentraliseerde oplossing aan te pakken – ons nationale welzijn hangt ervan af.

Kunt u iets verder uitleggen hoe niet-gouvernementele entiteiten kwetsbaar zijn voor hacks, en welke gevolgen dat kan hebben?

De regering-Biden doet zijn best om de cyberdefensie van de particuliere sector te versterken, maar die is kwetsbaar – van banken tot ziekenhuizen, van gigantische overheidsbedrijven tot kleinere particuliere bedrijven.

Of Poetin het risico zou nemen van een ernstig destructieve aanval op ziekenhuizen, watersystemen of chemische fabrieken is de grote vraag. De logica zou je vertellen dat het het risico van onze vergelding niet waard is en dat het voor hem weinig oplevert. Maar als hij in het nauw zit of het gevoel heeft dat hij niet veel meer te verliezen heeft, wie weet?

Hoe staat de internationale gemeenschap tegenover cyberaanvallen?

Wanneer een bom op een soeverein grondgebied landt, veroorzaakt dat echte gewonden en schade, en we weten meestal precies waarvandaan de bom gelanceerd is en hoe we moeten reageren.

Maar bij cyberaanvallen is dat niet het geval. Het internet wordt niet begrensd door soevereine grenzen. Soms zijn hacks destructief, andere keren dringt een tegenstander gewoon een netwerk binnen en schendt de privacy, steelt geheimen en gegevens zonder fysieke schade aan te richten.

Er bestaat echter een ruwe consensus dat indien een cyberdaad schade veroorzaakt in de echte wereld, zoals het verwonden van mensen of het veroorzaken van fysieke schade, het zou worden behandeld als een equivalent van een fysieke aanval door een bom of raket. Dat wil zeggen dat het als een oorlogshandeling kan worden beschouwd, die volgens het internationaal recht het recht op fysieke vergelding zou kunnen ontketenen.

Waarom hebben we zo’n gigantische vernietigende hack nog niet gezien, en zou dat kunnen veranderen?

We kunnen het zeker niet uitsluiten, maar ik denk dat we het om een aantal redenen nog niet hebben meegemaakt: deels omdat de Oekraïners succesvoller zijn geweest bij het verdedigen en beveiligen van hun netwerk, of dat Rusland een strategische beslissing heeft genomen om niet de economie te vernietigen van een land dat zij hoopten spoedig te kunnen bezetten.

Wat de aanvallen op de VS betreft, weet Poetin dat als hij een vernietigende hack zou toestaan, hij een zeer krachtige reactie zou krijgen. Het verhoogt de kans op onze militaire vergelding, en dat is niet goed voor hem. Hij maakt waarschijnlijk een strategische berekening die niemand echt kan begrijpen, tenzij je in Poetin’s hoofd zit.

Het is echter heel goed mogelijk dat als we in een situatie terechtkomen waarin Poetin in het nauw gedreven wordt of het gevoel heeft dat hij niet zal slagen, hij irrationeel zal handelen.

De calculus kan veranderen als Rusland redeneert dat ze al burgers bombarderen, dat ze de internationale gemeenschap al woedend maken. Waarom schakelen we het elektriciteitsnet niet uit? Dat kunnen we niet uitsluiten.

Bron: https://www.theguardian.com/technology/2022/mar/10/us-russia-cyber-attack-prepared

=====================
original content:
=====================

Ukrainian websites have been subjected to a relentless series of attacks – but what will happen when the sites are set on America?

The war between Russia and Ukraine has been widely anticipated to play out online, in addition to on the ground.

Moscow’s cyberwar capabilities have long been cause for concern. Russia has a record of coordinating cyber-attacks on the US, Ukraine, and other adversaries. And the country has established itself in recent years as an international hub for cybercrime.

Russia’s past has raised fears of a large scale cyberwar effort targeting Ukraine and its allies, including the US. While the Biden administration has reportedly played out potential responses to cyber warfare, some experts have argued that the US is not well prepared for a significant cyber-attack.

We spoke with Glenn S Gerstell, a senior adviser at the Center for Strategic and International Studies and the former general counsel of the National Security Agency, about the likelihood of serious cyber warfare – and whether the US is prepared to respond.

“If we had approached this correctly 20 years ago, we would be largely invulnerable to cyber-attacks,” he said. “But unfortunately that is not the case.”

We’re seeing a relentless series of attacks against Ukrainian websites, especially those that are government linked and government controlled. That’s part of a pattern we have seen for the past eight years in which Russia has regarded Ukraine as its sort of cyber punching bag.

What we have not yet seen are completely destructive attacks on the infrastructure in Ukraine, such as the ones we saw in 2015 and 2016 when Russia seemingly shut down the electric grid.

Why is a Russian cyber-attack against Ukraine or its allies so widely anticipated?

Russia has used its very formidable cyber skills against the US and other countries in the past – we have seen what it can do in the form of SolarWinds, the Colonial Pipeline hack, and scores of ransomware attacks in every industry in the United States.

So we know they are a sophisticated cyber adversary, we know they have a motive to do so – they’d like to throw sand in our gears to disrupt things here and achieve a strategic advantage in the conflict.

But whether Vladimir Putin would take the risk of actively engaging in destructive cyber warfare is another matter.

What would happen if Russia were to attack the US and how likely is such an attack?

I do not see Russia turning off the lights in the United States, for a number of reasons: many people in the US have taken the position that a cyber-attack with real-world destructive effects is the same as a missile attack or bomb, and therefore would be viewed as an act of war.

In that case, there is no upside for Putin, because he knows it would trigger a very unclear set of escalations and retaliations. It’s not going to achieve a strategic objective, and may end up very badly, making Russia net worse off.

Does the US have a set response to a cyber act of war, like it would for a physical act of war?

The US could respond in a number of ways: with a stealth cyber-attack on Russian agencies or a more visible cyber-attack the US openly admits to carrying out.

We could also carry out a military action, in response to a cyber-attack and do something physical. There is, of course also a range of economic sanctions the US could take against Russia, it could remove diplomats – the response is quite fluid.

How prepared is the US to respond to a cyber-attack from Russia?

We’re prepared to respond in the sense that our military has an extraordinary offensive capability to respond on a cyber level – but we are not ready to defend as a country.

The private sector is not prepared for attacks. It has relied on buggy software to protect itself, and cyberthreats are growing faster than our ability to adapt to them. We need to impose some kind of mandatory solution, because the pure market solution isn’t viable.

The US has been reactive and side-stepped cyber responsibility by simply grafting it on to existing government agencies, making each agency responsible for its own area.

Everything from hospitals to bridges to roads and tunnels are relevant to national security, so we need government action to address it with a centralized solution – our national wellbeing depends on it.

Could you explain bit further how non-governmental entities are vulnerable to hacks, and what effects that could have?

The Biden administration is doing its best to shore up the private sector’s cyberdefenses, but it’s vulnerable – from banks to hospitals, from giant public companies to smaller privately owned ones.

Whether Putin would take the risk of a seriously destructive attack on hospitals or water systems or chemical plants is the big question. Logic would tell you that it’s not worth the risk of our retaliation and has little upside for him. But if he’s cornered or feels he doesn’t have much more to lose, who knows?

Where does the international community stand on cyber-attacks?

When a bomb lands on a sovereign territory, it causes real-world injuries and damage, and we typically know exactly where it launched from and how to respond.

But with cyber-attacks, this is not the case. The internet is not constrained by sovereign boundaries. Sometimes hacks are destructive while other times an adversary simply enters a network and violates privacy, stealing secrets and data without causing physical harm.

There is, however, a rough consensus that if a cyber act produces a real world harm such as injuring people or causing physical damage, it would be treated as an equivalent to a physical attack by a bomb or missile. This is to say it could be viewed it could be viewed as an act of war and trigger under international law the right to retaliate physically.

Why haven’t we seen such a giant destructive hack yet, and could that change?

We surely cannot rule it out, but I think we have not experienced it yet for a number of reasons: partly because Ukrainians have been more successful when defending and securing their network, or that Russia has made a strategic decision not to destroy the economy of a country that they hoped to soon occupy.

In terms of attacks on the US, Putin knows if he were to authorize a destructive hack he would be met with a very strong response. It raises the stakes of our military retaliation, which is not good for him. He is likely making a strategic calculation that nobody can really understand unless you are in Putin’s mind.

However, it is entirely possible that if we get to a situation where Putin is cornered or feels that he’s going to not succeed, he might act irrationally.

The calculus may change as Russia reasons that they are already bombing civilians, they are already are infuriating the international community. Why not turn off the electric grid? We cannot rule that out.

Bron: https://www.theguardian.com/technology/2022/mar/10/us-russia-cyber-attack-prepared

beheer