Ongeveer een maand geleden werd het langverwachte onderzoek van het Britse Inlichtingen- en Veiligheidscomité naar Russische cyberoperaties en desinformatiecampagnes tegen het Verenigd Koninkrijk officieel aan het publiek gepresenteerd.(1) Het verslag van de commissie over de inspanningen van Moskou om politieke besluitvormingsprocessen in een van haar belangrijkste inlichtingendoelen te beïnvloeden, concludeert, zij het op een sterk geredigeerde manier, dat de Russische invloed op het eiland het nieuwe normaal is. Het schetst verder een onflatteus beeld van de traagheid van de regering om een vrij aanhoudende dreiging tijdig en consequent aan te pakken.
Het rapport verwijst naar open source bewijsmateriaal over de invloed van het Kremlin en desinformatiecampagnes, dat meerdere malen niet gebruikt is voor verder onderzoek. Dat lijkt het geval te zijn met betrekking tot het EU-referendum dat tot Brexit leidde (uiteraard in de voorhoede van de casestudy van de commissie), maar ook met betrekking tot gemiste kansen voor onderzoek in het kader van de Schotse onafhankelijkheidsstemming in 2014. Het geeft verder commentaar op het gebrek aan duidelijke verantwoordelijkheidsverdeling - momenteel beschouwt geen enkele Britse overheidsinstantie (inclusief inlichtingen- en veiligheidsdiensten) het als haar taak om buitenlandse invloeden en desinformatie-inspanningen actief tegen te gaan en zo democratische processen te beschermen. Om de dreiging het hoofd te bieden, pleit de commissie voor nieuwe wetgeving die Britse inlichtingendiensten van de nodige instrumenten voorziet.
Bij het lezen van het rapport vraagt men zich af: wat is hier echt nieuw? Verborgen actie, waarvan desinformatie slechts één techniek is,(2) hoewel politiek gevoelig en ethisch getint, heeft een lange traditie in het inlichtingengedrag van zowel westerse als niet-westerse staten. De cybercapaciteit en ambitie van Rusland zijn even goed bekend. Politieke en technologische landschappen verschuiven immers samen. Het domineren van de laatste (althans wat betreft desinformatie en kwaadwillende cyberactiviteit) belooft meer invloed op de eerste. Ten slotte zijn argumenten voor extra inlichtingenbevoegdheden in het cyberdomein ook niet ongebruikelijk - die gaan hand in hand met (vermeende) tegenvallers en mislukkingen op het gebied van inlichtingen, zoals we hebben gezien na 9/11 en Snowden.
Niettemin zijn de bevindingen van de commissie op zijn zachtst gezegd zorgwekkend wanneer ze worden geplaatst in de context van de huidige suboptimale inspanningen om cyberspace te reguleren. Het duizelingwekkende tempo van cybernormen en andere mogelijkheden voor cyberregulering heeft tot dusver een toestand van strategische ambiguïteit in het vijfde domein in stand gehouden - door zich niet vast te leggen aan een regelgevend kader kunnen internationale actoren technologische en normatieve grenzen verleggen en tegelijkertijd cyberdreigingen en -capaciteiten verspreiden.(3) Deze ‘card blanche’ om te experimenteren met offensieve benaderingen is natuurlijk ook goed geweest voor inlichtingenactoren. Zonder duidelijke mandaten en grenzen voor cyberoperaties hebben inlichtingen- en veiligheidsdiensten de mogelijkheid gehad om de impact van cyberaanvallen ter plaatse te testen.
Het is dezelfde houding die gepaard gaat met desinformatie en beïnvloedingscampagnes. Het gebrek aan duidelijke regelgeving en toewijzing van verantwoordelijkheden vergemakkelijkt een ‘tit for tat’ houding onder tegenstanders. In tegenstelling tot cyberaanvallen (die in het ergste geval aanzienlijke fysieke en economische schade veroorzaken), richt desinformatie door machtige cyberactoren zich echter op de fundamentele politieke middelen waarover de burgers beschikken - juist de kennis en informatie die hen in staat stellen hun steentje bij te dragen in politieke besluitvormingsprocessen.(4)
In dat opzicht ligt het verschil met desinformatiecampagnes uit het verleden hier niet alleen in de operationele reikwijdte die in het rapport van de commissie wordt aangegeven; het is de reikwijdte in combinatie met informatieverontreiniging (dat wil zeggen, publieke debatten overspoelen met bepaalde onderwerpen om andere doelbewust in het bewustzijn van het publiek te onderdrukken) en de combinatie van valse en ware informatie die desinformatiecampagnes tot exponentiële bedreigingen maakt, waarvan de normatieve en bestuurlijke implicaties nog grotendeels onbekend zijn.
De commissie pleit dus terecht voor regulering. Regelgevingskaders mogen inlichtingenactoren echter geen extra bevoegdheden geven, maar moeten ervoor zorgen dat de juiste checks and balances aanwezig zijn. Het zijn tenslotte juist de online aanwezigheid en experimentele inspanningen van de bureaus die desinformatie een dagelijkse praktijk hebben gemaakt in het openbare digitale domein. Het onderzoek van de commissie en de resultaten ervan zijn zorgwekkend, maar vooral omdat ze een spiegel zijn voor de Britse inlichtingendienst, zijn bondgenoten en de nationale veiligheidsagenda's erachter. Het negeren van cyberregulering voor strategische doeleinden begint averechts te werken.
(1) https://docs.google.com/a/independent.gov.uk/viewer?a=v&pid=sites&srcid=aW5kZXBlbmRlbnQuZ292LnVrfGlzY3xneDo1Y2RhMGEyN2Y3NjM0OWFl
(2) https://www.tandfonline.com/doi/abs/10.1080/08850609008435142?journalCode=ujic20&
(3) Foreign intelligence in the digitale age: Navigating a state of ‘unpeace’
(4) https://www.tandfonline.com/doi/abs/10.1080/10999922.2019.1613832
(5) https://www.tandfonline.com/doi/abs/10.1080/10999922.2019.1613832
