Internationale Spectator 4 – 2015 (jrg. 69) – Item 17 van 20

artikel

Digitale dreiging

Is afschrikking van cyberaanvallen mogelijk?

Sico van der Meer

Eén van de grootste dreigingen waar Nederland mee te maken heeft, is onzichtbaar: criminelen, spionnen, terroristen en wellicht zelfs buitenlandse krijgsmachten die met kwade bedoelingen actief zijn in het digitale domein. Naarmate de afhankelijkheid van digitalisering toeneemt, groeit ook deze dreiging. Afschrikking van cyberaanvallers lijkt de beste methode om de dreiging te verminderen, maar daarbij dienen zich wel de nodige valkuilen aan.[1]

Cyberdreigingen, ook wel digitale dreigingen genoemd, vormen één van de grootste dreigingen waar Nederland thans mee wordt geconfronteerd.[2] Cyberdreigingen beslaan een breed spectrum; zo kan gedacht worden aan digitale oorlogvoering, digitaal terrorisme, digitale spionage, digitaal activisme en digitale criminaliteit. Waar het doel van deze activiteiten verschilt, is de gebruikte techniek hetzelfde: gebruikmaken van zwakke plekken binnen het cyberdomein.

Onopgemerkte aanvallen

Dat het aantal cyberaanvallen sterk toeneemt, is duidelijk. Het is echter zeer lastig een juiste inschatting van het aantal gevallen te maken. De meeste gevallen worden nooit gemeld of zijn bij de aangevallen personen of organisaties niet eens bekend; vaak gaat het immers om het inbreken op computers of computernetwerken waarbij het bij uitstek de bedoeling is dat niemand dat doorheeft.

Inbreuken op cyberveiligheid hebben zoveel verschijningsvormen en typen daders, dat het moeilijk is ze op één hoop te vegen. Het varieert letterlijk van een studentikoze hacker die voor de lol rondsnuffelt op andermans computers, via grootschalige industriële spionage, tot aan werkelijke digitale oorlogvoering met als doel het ontwrichten van de gehele samenleving. Binnen de beperkingen van dit artikel wordt niettemin een voorzichtige poging ondernomen een algemeen beeld te schetsen.

Cyber

Foto: Ministerie van Defensie

Spionnen en criminelen

De grootste cyberdreiging voor Nederland gaat momenteel uit van cyberspionage en cybercriminaliteit, aldus het meest recente Cybersecuritybeeld Nederland (CSBN) van het Nationaal Cyber Security Centrum (NCSC).[3] Dit vooral omdat deze twee vormen van cyberaanvallen veruit het meeste voorkomen in Nederland; tegelijk constateert het NCSC dat de voortdurend toenemende digitalisering van de Nederlandse maatschappij de risico’s van grootschaliger cyberaanvallen, gericht op maatschappelijke ontwrichting, doet groeien. Hoe meer persoonlijke en maatschappelijke veiligheid afhankelijk worden van digitalisering, hoe groter de gevolgen als kwaadwillenden die digitalisering misbruiken voor eigen doeleinden.

Cyberspionage en cybercriminaliteit zijn met name een grote economische schadepost. Vooral cyberspionage heeft naast economische gevolgen (zoals aantasting van de Nederlandse concurrentiepositie) een belangrijk veiligheidsaspect: potentiële vijanden van Nederland (statelijke dan wel niet-statelijke actoren) kunnen via cyberspionage veel te weten komen over de Nederlandse nationale veiligheid en mogelijke zwakke plekken daarin. Gestolen gegevens over bijvoorbeeld vitale infrastructuur of militaire operaties zouden misbruikt kunnen worden om via digitale dan wel niet-digitale wegen kwaad aan te richten.

Maatschappelijke verstoring

Waar cyberaanvallen op organisaties, bedrijven en personen wereldwijd inmiddels vrij normaal zijn, blijven cyberaanvallen met als doel grootschalige maatschappelijke verstoring te veroorzaken tot nu toe beperkt. De meest bekende voorbeelden zijn cyberaanvallen in Estland in 2007 (cyberaanval op overheid, banken en media), de Verenigde Staten in 2012 (cyberaanval op diverse banken) en, eveneens in 2012, Zuid-Korea (cyberaanval op banken en media).

Er zijn ook voorbeelden van grootschalige cyberaanvallen die niet in eerste instantie maatschappelijke ontwrichting ten doel hadden: Georgië in 2008 (ter ondersteuning van de conventionele militaire operatie door Rusland); Iran in 2010 (gericht op sabotage van het nucleair programma); Saoedi-Arabië in 2012 (cyberaanval op staatsoliemaatschappij Saudi Aramco, mogelijk om olie-export te saboteren); en de Verenigde Staten in 2014 (cyberaanval op filmproducent Sony, wellicht om het uitbrengen van een film over de Noord-Koreaanse leider Kim Jong-Il te voorkomen).

In een aantal van deze gevallen was de economische schade aanzienlijk. Niettemin zijn grootschalige cyberaanvallen op werkelijk vitale infrastructuur van een land, bijvoorbeeld energie- en drinkwatervoorziening of (in Nederland van belang) waterbouwkundige werken, nog niet bekend.

Kwetsbaarheid neemt toe

Hoewel het beeld van het aantal cyberincidenten momenteel diffuus is, valt met zekerheid vast te stellen dat de cyberdreiging voor Nederland in de nabije toekomst alleen maar zal toenemen. Dit komt voornamelijk doordat de digitalisering van de Nederlandse maatschappij verder zal doorgroeien, ook in vitale sectoren. Het aantal apparaten (inclusief medische apparatuur, huishoudelijke apparaten, voertuigen, enz.) dat met elkaar en met het internet verbonden is, zal wereldwijd exponentieel toenemen tot zo’n 25 miljard in 2020.[4] Hoe groter deze afhankelijkheid, hoe kwetsbaarder de maatschappij is voor cyberdreigingen. Doordat steeds meer processen digitaal verlopen en steeds meer apparaten met cybernetwerken zijn verbonden, neemt het risico dat processen en apparaten door onbevoegden worden gemanipuleerd navenant toe.[5]

Weliswaar is in Nederland de alertheid op cyberdreigingen de afgelopen jaren aanzienlijk toegenomen, tegelijkertijd verlopen de technologische ontwikkelingen in het cyberdomein zo razendsnel dat cyberbeveiligingsmaatregelen voortdurend gemoderniseerd moeten worden om de strijd tegen kwaadwillenden niet te verliezen. Het zijn momenteel vooral cyberexperts van gespecialiseerde bedrijven en overheidsdiensten (bijvoorbeeld het Nationaal Cyber Security Centrum en het Defensie Cyber Commando) die actief zijn in de voortdurende strijd tegen cyberdreigingen.

Cyberaanvallers zijn vrijwel altijd in het voordeel op de verdedigers

De gebruikers van cybertechnologie, zowel organisaties als particulieren, blijven ondanks het toegenomen bewustzijn van risico’s een zwakke schakel bij het tegengaan van cyberdreigingen. Het Cybersecuritybeeld Nederland memoreert bijvoorbeeld dat ongeveer 35% van alle gebruikers geen antivirussoftware heeft geïnstalleerd op zijn of haar computer, terwijl dat toch de meest basale eerste stap richting cyberveiligheid is.[6]

Virus

Flickr / Yuri Samoilov

Cyberwapenwedloop

Terwijl aan de kant van de beveiliging van het cyberdomein veel vorderingen worden gemaakt, variërend van vergroting van het bewustzijn van de dreiging tot en met het technologische beveiligingsniveau van (vitale) cyberinfrastructuur, staan ook andere partijen niet stil. In veel landen (waaronder Nederland zelf) wordt geïnvesteerd in offensieve cyberoorlog-capaciteiten, en ook niet-statelijke actoren investeren daar voortdurend in – er wordt in dit verband herhaaldelijk gesproken over een internationale cyberwapenwedloop.[7]

Cyberaanvallers zijn vrijwel altijd in het voordeel op de verdedigers. Zodra een gat in de veiligheid is gedicht, zoeken ze meteen naar nieuwe zwakheden. Het is onmogelijk alle zwakke plekken van cyberinfrastructuur te dichten, dus zal cyberveiligheid altijd een wedstrijd blijven tussen aanvallers die een nieuwe zwakte exploiteren en verdedigers die dat gat zo snel mogelijk proberen te dichten.

Toekomstige dreigingen

De belangrijkste toekomstige dreigingen zullen blijven voortkomen uit cybercriminaliteit en cyberspionage en deze blijven daarmee een gevaar voor de nationale veiligheid. Cybercriminelen worden steeds professioneler, de cyberaanvallen steeds complexer en omvangrijker. Ook cyberspionage zal verder toenemen, zowel door staten als door private organisaties (bedrijfsspionage).

Voorts blijft het risico dat cyberterroristen hun slag slaan een mogelijk nachtmerriescenario. Cyberterroristen die bijvoorbeeld energievoorzieningen, waterbouwkundige werken, ziekenhuizen, chemische fabrieken, lucht- of spoorverkeersleiding of betalingssystemen saboteren, kunnen veel schade veroorzaken, hetgeen ook tot maatschappelijke onrust kan leiden. Wat dat betreft geldt voor cyberterrorisme hetzelfde als voor terrorisme in het algemeen: de kans dat een aanslag plaatsvindt is statistisch relatief gering, maar als zo’n aanslag zich voordoet zal de impact aanzienlijk zijn.

Werkelijke cyberoorlogvoering gericht tegen Nederland ligt niet direct voor de hand, hoewel een diplomatiek conflict tussen Nederland en een willekeurige andere staat wellicht ook zou kunnen leiden tot verstoring van bepaalde cyberdiensten – zie bovengenoemde buitenlandse voorbeelden.

Niet onbelangrijk is dat ook cyberincidenten in het buitenland gevolgen voor Nederland kunnen hebben. Om slechts enkele voorbeelden te schetsen: als het Amerikaanse GPS-systeem verstoord wordt, zal dit ook in het Nederlandse verkeer ontregelende gevolgen (kunnen) hebben. Indien een cyberterrorist erin zou slagen een nucleaire ramp bij een kerncentrale elders in Europa te veroorzaken, kan Nederland ook te maken krijgen met radioactieve fall-out. En een cyberaanval op de Europese Centrale Bank kan ook het Nederlandse betalingsverkeer schade berokkenen. Wat dat betreft maakt de toenemende digitalisering ook de verwevenheid tussen Nederland en het buitenland alleen maar groter.

Afschrikking van cyberaanvallers

Over de verdediging- en afschrikkingsmogelijkheden in het cyberdomein wordt nog volop gediscussieerd door onderzoekers en beleidsmakers. Hoewel het zeer de vraag is of inbreuken op cyberveiligheid volledig te voorkomen zijn, kan afschrikking mogelijk een deel van de cyberaanvallen voorkomen. Het is daarbij belangrijk te beseffen dat Nederland in het cyberdomein geen geïsoleerd gebied vormt; welke methoden ook worden ingezet om cyberdreigingen te verminderen, internationale samenwerking zal altijd noodzakelijk zijn. Afschrikking als methode om de cyberdreigingen te verminderen zal veelal ook verlopen via internationale samenwerkingsverbanden, zoals de EU en de NAVO.

Wat betreft afschrikking valt allereerst te denken aan vergeldingsmaatregelen die in het vooruitzicht worden gesteld – dit wordt vaak actieve afschrikking genoemd. Dit kunnen vergeldingsmaatregelen binnen het cyberdomein zelf zijn (cyberaanval door getroffene op de aanvaller), maar ook diplomatieke en/of economische sancties, of zelfs conventionele militaire actie tegen de aanvaller. Zo heeft de NAVO in 2014 besloten dat een cyberaanval op een van de lidstaten onder artikel 5 van het NAVO-verdrag valt, waarmee de weg is vrijgemaakt voor een militaire operatie van het bondgenootschap tegen cyberaanvallers.[8]

Tot op bepaalde hoogte zal de drempel voor cyberaanvallers door dergelijke afschrikking ongetwijfeld een tikje hoger zijn dan zonder enige vorm van afschrikking het geval zou zijn geweest. Door diverse specifieke eigenschappen van het cyberdomein is afschrikking tegen cyberaanvallers echter relatief moeilijk toepasbaar.

Cyber operations

Foto: Ministerie van Defensie

Attributieprobleem

Het belangrijkste obstakel om dergelijke afschrikkingsmaatregelen effectief te laten zijn binnen het cyberdomein is het attributieprobleem. Het is bijzonder lastig om onomstotelijk vast te stellen welke dader(s) verantwoordelijk is/zijn voor een (niet opgeëiste) cyberaanval. In tegenstelling tot conventionele wapens zijn cyberwapens en hun oorsprong niet duidelijk zichtbaar en traceerbaar. Zo kunnen aanvallers gebruik maken van een keten van gehackte of geïnfecteerde computers waarvan de eigenaren zich van geen kwaad bewust zijn.

Hoewel het technisch mogelijk is via IP-adressen de bron van een cyberaanval te achterhalen, is altijd het risico aanwezig dat deze geïdentificeerde bron ook slechts een schakel in de aanval is geweest en de eigenaar er niet bewust mee te maken heeft gehad. Daarnaast kunnen statelijke actoren hun betrokkenheid verbergen door de cyberaanval door zogenaamde niet-statelijke actoren (bijvoorbeeld hackergroepen) te laten uitvoeren, en andersom: niet-statelijke aanvallers kunnen zich verbonden verklaren met staten, terwijl dit niet zo is.

Bovendien kunnen cyberaanvallers binnen zeer korte tijd hun slag slaan en direct daarna de eigen sporen wissen, terwijl het onderzoek naar de bronnen van de aanval ingewikkeld en tijdrovend is – vergelding tijdens of direct na de aanval is daarmee al vrijwel uitgesloten.

Vergelding tegen onschuldige

Omdat het vrijwel onmogelijk is met honderd procent zekerheid vast te stellen wie verantwoordelijk is voor een cyberaanval, zeker als de beschuldigde partij ontkent, bestaat het risico dat een vergeldingsactie tegen een onschuldige partij wordt ingezet. In de praktijk zullen weinig statelijke actoren dit risico willen nemen, en dat beseffen de cyberaanvallers op hun beurt.[9]

Er valt wellicht te argumenteren dat in sommige gevallen geen onbetwistbaar sluitend bewijs nodig is, maar dat men ook zou kunnen vergelden indien een (statelijke) partij ofwel vrijwel zeker direct betrokken is, ofwel de aanvallers geen strobreed in de weg heeft gelegd.[10] Los van de wenselijkheid hiervan, inclusief het risico van onterechte beschuldigingen, is het de vraag of het internationale recht dit toestaat – ook wat dat betreft is het cyberdomein nog volop in ontwikkeling.[11]

Om ervoor te zorgen dat de schuldige van een cyberaanval wel aangewezen kan worden, is het voorhanden hebben van sterke forensische capaciteit op cyberterrein uiterst belangrijk. Zodra er een grotere kans bestaat dat een dader ontmaskerd kan worden, zal dit ook een afschrikwekkend effect hebben op potentiële daders. Hierbij is internationale samenwerking, zoals informatie-uitwisseling over geconstateerde cyberwapens en cyberkwetsbaarheden, eveneens essentieel.

Geloofwaardigheid

Naast de moeilijkheid om de schuldige van een cyberaanval overtuigend aan te wijzen, zijn er ook andere problemen verbonden aan afschrikking van dergelijke aanvallen. Een belangrijk vraagstuk vormt de geloofwaardigheid van afschrikking in combinatie met escalatiegevaar.

Afschrikking via vergelding werkt alleen als de afschrikkende partij duidelijk communiceert wat eventuele vergeldingsmaatregelen bij een cyberaanval zullen zijn. Wanneer wordt iets als een te vergelden cyberaanval beschouwd? Wordt via digitale weg teruggeslagen of kan een aanvaller conventionele militaire vergelding verwachten? Worden de vergeldingsmaatregelen niet duidelijk gecommuniceerd, dan zal een potentiële aanvaller hier wellicht geen rekening mee houden en zich niet van de cyberaanval laten weerhouden. Afschrikking werkt immers alleen als de tegenstander weet waarvoor hij moet terugschrikken.

De moeilijkheid is dat het trekken van ‘rode lijnen’ in het cyberdomein ook averechts kan werken. Cyberaanvallers kunnen bewust net een stapje over de rode lijn heengaan om escalatie te veroorzaken, wellicht zelfs terwijl ze zich onder de dekmantel van het attributieprobleem voordoen als een andere partij dan ze in werkelijkheid zijn. Als de afschrikkende partij de afschrikking geloofwaardig wil houden, is deze wel gedwongen om te vergelden, hoe onwenselijk dat op dat moment ook is. Houdt men zich niet aan de gecommuniceerde afschrikkingsmechanismen, dan verwatert die afschrikking ook meteen. Blijkbaar vallen de getrokken rode lijnen in de praktijk wel mee, zullen potentiële tegenstanders dan denken.[12]

Onbedoelde consequenties

Een derde probleem met afschrikking via vergelding in het cyberdomein vormt de proportionaliteit van de maatregelen. Wanneer de vergeldingsactie met conventionele middelen verloopt, is dit meestal wel redelijk in te schatten; wanneer echter een cyberaanval eveneens via het cyberdomein wordt beantwoord, is er minder greep op de gevolgen. Een cyber(vergeldings)aanval kan immers eenvoudig onbedoelde consequenties hebben, juist omdat in het cyberdomein alles met elkaar verbonden is.

Een cyberaanval op, bijvoorbeeld, overheidsnetwerken kan per ongeluk ook effect hebben op netwerken van, eveneens bijvoorbeeld, ziekenhuizen, drinkwaterinstallaties, en dergelijke. Het risico bestaat dat een vergeldingsaanval via het cyberdomein grotere effecten heeft dan bedoeld, waardoor de vergeldende partij zelf in het internationale beklaagdenbankje belandt.[13] Tevens blijft het een probleem wanneer en in welke mate vergeldingsmaatregelen kunnen worden ingezet; waar liggen in het cyberdomein de grenzen tussen het aanrichten van economische schade, verstoring, ontwrichting, en evidente oorlogshandelingen? Over dergelijke vraagstukken bestaat nog volstrekt geen duidelijkheid.

Niet-statelijke groeperingen

Tot slot, maar zeker niet onbelangrijk, is afschrikking in het cyberdomein lastig door de diversiteit aan actoren. Statelijke aanvallers hebben meestal belangen genoeg die bij een vergeldingsactie in het geding kunnen komen. Maar niet-statelijke groeperingen, bijvoorbeeld een hackers- of terreurgroep, hebben soms geen belangen of goederen van waarde waar een vergeldingsaanval zich op zou kunnen richten, hetgeen meteen de geloofwaardigheid van de vergelding teniet doet.

Bovendien is het de vraag of dergelijke niet-statelijke groeperingen, die ondanks beperkte middelen krachtige cyberaanvallen kunnen uitvoeren, zich altijd rationeel gedragen en zich überhaupt laten afschrikken.[14]

Slot

Foto: Flickr / Dennis Skley

Passieve afschrikking

Naast actieve afschrikking door vergeldingsmaatregelen in het vooruitzicht te stellen, kunnen potentiële daders ook via verdedigingsmiddelen (lees: betere beveiliging) worden afgeschrikt; dit wordt vaak passieve afschrikking genoemd.

Ruim een derde van alle computer­gebruikers heeft nog steeds geen antivirus-software geïnstalleerd

Het verbeteren van de digitale beveiliging verhoogt zowel de kosten die een aanvaller moet maken voor een succesvolle aanval, alsook het risico dat ondanks die kosten de aanval niet het gewenste effect sorteert en dus niet de gewenste baten tot gevolg heeft. Om een dergelijke vorm van afschrikking te bereiken, dient de cyberinfrastructuur van het potentiële slachtoffer zodanig beveiligd te zijn dat eventuele aanvallers tegen barrières zullen aanlopen die de kans op succes van hun aanval aanzienlijk verminderen.

Als overheden, organisaties en particulieren zich bewust zijn van de gevaren van cyberaanvallen en voortdurend de modernste beveiligingsmethoden geïnstalleerd hebben op hun computer(netwerken), is al een grote stap richting passieve afschrikking gezet. Daarbij dienen netwerken ook voortdurend gemonitord te worden, zodat bij tekenen van een aanval direct tegenmaatregelen kunnen worden genomen.

Honeypots

Bij het versterken van beveiligingsmaatregelen valt verder te denken aan veelgelaagde firewalls en geavanceerde encryptie- en authenticatiemiddelen. Om de beveiliging te versterken kan ook gebruik worden gemaakt van zogenaamde ‘honeypots’. Dit lijken kwetsbare plekken in een systeem, waarnaar cyberaanvallers altijd op zoek zijn. In feite zijn deze bewust opgezet om informatie te verzamelen over de werkwijze van de binnendringers. In de praktijk blijkt dat cybercriminelen vanwege deze ‘honeypots’ Nederland en Nederlandse servers mijden, een teken dat het middel werkelijk afschrikt.[15]

Zwakste schakel

Het verbeteren van beveiliging is met minder potentiële valkuilen verbonden dan afschrikking door vergelding.[16] Het grootste probleem is dat deze vorm van afschrikking kostbaar en ingewikkeld is en voortdurend nieuwe investeringen vergt – in het technologisch supersnel veranderende cyberdomein betekent stilstand achteruitgang.

Daarnaast is het lastig het bewustzijn bij honderd procent van de betrokkenen te vergroten, terwijl dit tot op bepaalde hoogte noodzakelijk is aangezien cyberaanvallers altijd gebruik zullen maken van de zwakste schakel die zij kunnen vinden – bij wijze van spreken die ene onoplettende werknemer die besmette bestanden downloadt zodat de aanvaller een voet tussen de deur heeft. Zoals al eerder opgemerkt, heeft circa 35% van de computergebruikers niet eens antivirus-software geïnstalleerd, dus er valt nog veel te verbeteren qua bewustzijn.

Daarnaast zijn cyberaanvallers altijd in het voordeel: waar zij alle tijd hebben naar kwetsbare punten in cyberinfrastructuur te speuren, moet het slachtoffer onmiddellijk reageren zodra zo’n (tot dan toe onbekend) kwetsbaar punt bij verrassing wordt gebruikt voor een cyberaanval.

Conclusie

Terwijl de digitale afhankelijkheid in Nederland toeneemt, neemt ook de dreiging van kwaadwillenden in het digitale domein toe. Cyberspionage en cybercriminaliteit vormen momenteel het belangrijkste gevaar, maar cyberterrorisme of cyberoorlogvoering tegen Nederlandse doelen vallen ook zeker niet uit te sluiten.

Afschrikking kan een deel van de dreiging wegnemen. Actieve afschrikking, door het in het vooruitzicht stellen van vergelding, is daarbij nuttig maar behoorlijk lastig. Passieve afschrikking, in de zin van voortdurende verbetering en modernisering van digitale beveiliging, is ingewikkeld en kostbaar maar het meest effectief. Door de kosten voor een geslaagde digitale aanval te laten toenemen, zal een potentiële dader eerder eieren voor zijn geld kiezen en van een aanval afzien. De grootste uitdaging daarbij is waarschijnlijk de noodzaak om iedere gebruiker van de digitale snelweg bewust te maken van de gevaren.

Noten

Dit artikel is een bewerking van: Sico van der Meer, ‘Cyber’, bijlage in: Frans-Paul van der Putten, Jan Rood & Minke Meijnders, Afschrikking als veiligheidsconcept tegen niet-traditionele dreigingen, Clingendael Rapport, te verschijnen in mei/juni 2015.
AIVD, Jaarverslag 2014, Den Haag: AIVD, april 2015.
Cybersecuritybeeld Nederland: CSBN-4, Nationaal Cyber Security Centrum (NCSC), juli 2014, p. 7.
Cybersecuritybeeld Nederland: CSBN-4, Nationaal Cyber Security Centrum (NCSC), juli 2014, p. 77.
Cybersecuritybeeld Nederland: CSBN-4. Nationaal Cyber Security Centrum (NCSC), juli 2014; Jan Rood (red.), Een wankele wereldorde. Clingendael Strategische Monitor 2014, Instituut Clingendael, 2014, pp. 110-119 & 126-128.
Cybersecuritybeeld Nederland: CSBN-4, Nationaal Cyber Security Centrum (NCSC), juli 2014, p. 43.
Zie bijv.: Michael Riley & Ashlee Vance, ‘Cyber Weapons: The New Arms Race’, Businessweek, 20 juli 2011.
David E. Sanger, ‘NATO Set to Ratify Pledge on Joint Defense in Case of Major Cyberattack’, New York Times, 31 augustus 2014.
Emilio Iasiello, ‘Is cyber deterrence an illusory course of action?’, Journal of Strategic Security, jrg. 7 (2013), nr. 1, pp. 54-67, aldaar 58; Adviesraad Internationale Vraagstukken, Digitale oorlogvoering, AIV-rapport nr. 77, december 2011, p. 13.
Jason Healy, Beyond attribution. Seeking national responsibility for cyber attacks, Atlantic Council Issue Brief, januari 2012.
Voor een discussie over internationaal recht en cyberaanvallen, zie: Adviesraad Internationale Vraagstukken, Digitale oorlogvoering, AIV-rapport nr. 77, december 2011, pp. 19-27.
Martin C. Libicki, Cyberdeterrence and cyberwar, RAND Research Report, RAND Corporation, 2009, in het bijzonder pp. blz. 65-73.
Emilio Iasiello, ‘Is cyber deterrence an illusory course of action?’, Journal of Strategic Security, jrg. 7 (2013), nr. 1, pp. 54-67, aldaar 59-60.
Clorinda Trujillo, ‘The limits of cyberspace deterrence’, Joint Forces Quarterly, jrg. 75 (2014), nr. 4, pp. 43-52, aldaar 49; Emilio Iasiello, ‘Is cyber deterrence an illusory course of action?’, Journal of Strategic Security, jrg. 7 (2013), nr. 1, pp. 54-67, aldaar 64-65.
European Cyber Security Perspectives 2015, KPN, TNO, Politie en Nationaal Cyber Security Center, 2015, pp. 49-51.
David Elliott, ‘Deterring Strategic Cyberattack’, IEEE Security & Privacy, jrg. 9, oktober 2011, pp. 36-40, aldaar 38-39.