In 2007 viel Rusland kleine buur Estland aan. Niet met bommen en granaten, wel met botnets en digitale salvo’s die websites van overheden, banken en media lamlegden – de eerste gecoördineerde cyberaanval op een natiestaat. Voor Estland werd het een kantelpunt: vandaag geldt de Baltische staat als pionier op het vlak van cyberveiligheid. Wat kunnen andere landen leren?
In de schaduw van een bouwmarkt, op een militair kerkhof in een buitenwijk van Tallinn, staat de Bronzen Soldaat. Hij buigt het hoofd, balt zijn vuist. Aan zijn voeten liggen immer bloemen – neergelegd door de etnisch Russische bevolking van de Estse hoofdstad. Voor hen symboliseert het standbeeld, getooid in een uniform van het Rode Leger, de zege op de nazi’s. Maar voor de Esten begon met die overwinning een halve eeuw Sovjetbezetting.
Achttien jaar geleden, in april 2007, zette de Bronzen Soldaat de stad in lichterlaaie. De Estse regering had besloten om hem van een prominente plek in het centrum te verplaatsen naar deze zielloze buitenwijk. Aangevuurd door nepnieuws uit Moskou gingen Russische relschoppers loos – zowel locals als versterking vanuit Moeder Rusland. Ze vernielden etalages, staken auto’s in brand en plunderden winkels. Andres Hairk, destijds militair officier, herinnert zich hoe het leger zich voorbereidde op het ergste. ‘Op zo’n moment weet je niet wat er volgt. Eerst zijn het rellen, daarna vallen mogelijk conventionele troepen vanuit Rusland binnen.’ Na twee nachten stond de teller op meer dan duizend arrestaties, 150 gewonden en één dode.
De rust leek weer te keren, maar dan volgde nog een aanval, een digitale. Estse websites werden het doelwit van een reeks DDoS-aanvallen – Distributed Denial of Service. Denk aan een stoet auto’s die tegelijk een dorp binnenrijden via een smalle toegangsweg. De straat slibt dicht, niemand kan door. Zo werkt een DDoS-aanval: hackers bezoeken met honderdduizenden computers tegelijk een website. Ze gebruiken daarvoor botnets – wereldwijde netwerken van toestellen, besmet met malware en vanop afstand aan te sturen zonder dat de eigenaars het beseffen. In Estland begaven websites van overheden, banken en nieuwsmedia het, e-mailverkeer haperde, in bankautomaten viel geen geld meer op te nemen. De aanvallen hielden drie weken aan. Op de piek – de Russische Dag van de Overwinning – lagen meer dan vijftig websites plat.
Toomas Hendrik Ilves, destijds president van Estland, was op zijn boerderij in het zuiden van het land toen hij doorhad dat er iets grondig mis was. Tijdens de rellen hadden de veiligheidsdiensten hem uit de hoofdstad weggehaald. ‘Ik probeerde via Estse media het nieuws te volgen, maar geraakte niet op hun sites’, zegt hij. Buitenlandse websites werkten wel. ‘DDoS-aanvallen waren niets nieuws. Vooral maffiose botnetbendes gebruikten die, om kleine bedrijven af te persen.’ Maar, zegt Ilves, dit was anders. Groter, gerichter. De natie lag digitaal onder vuur. Finaal weerde Estland de aanval af door tijdelijk over te schakelen op eilandmodus: geen buitenlandse dataverbinding kwam er nog in, het land functioneerde tijdelijk als digitaal eiland. Een noodgreep, want zo sneed het zich ook af van de wereldeconomie. Maar het werkte.
Een cyberaanval laat schade na, maar zelden een vingerafdruk. Zeker bij DDoS-acties, waarbij alle kanten je belagen. Ondanks een gebrek aan hard bewijs twijfelt niemand in Tallinn: het Kremlin orkestreerde de aanval. ‘We zijn zeker dat de aanvallen van onze buur kwamen’, zegt Gert Auväärt, die het Ests Nationaal Centrum voor Cyberbeveiliging leidt. ‘En dan heb ik het niet over Letland. Kwaakt het als een eend, dan is het wellicht een eend.’ Legerofficier Hairk: ‘Behalve de zon komt uit het oosten zelden iets goeds.’
Estland was in 2007 net lid van de NAVO. De premier vroeg zich af wat het verschil is tussen een blokkade van een haven of van een overheidssite. Maar vanuit NAVO-hoek bleef het stil. Ook nu nog zitten de lauwe reacties uit het westen president Ilves hoog. ‘Bijna niemand nam ons serieus. Typische West-Europese arrogantie! Duitsland – dat tot op vandaag het verschil niet kent tussen een laptop en een broodrooster – vertelde ons dat wij, kleine Oost-Europeanen, niet wisten waarover we spraken. Terwijl we enkel wilden dat de buitenwacht begreep hoe zo’n cyberaanval een land kan platleggen.’
Cyberaanvallen blijven vaak onder de drempel van een formele oorlogsverklaring – lees: buiten bereik van NAVO-artikel 5, dat leden verplicht elkaar te helpen bij een gewapende aanval. Het voorval bleek de blauwdruk van een nieuwe Russische tactiek: hybride oorlogsvoering. Cyber is een ferm wapen in dat arsenaal – onzichtbaar, maar ontwrichtend. Dezelfde tactieken uit 2007 hanteerde Rusland een jaar later – toen het Georgië digitaal onder vuur nam én binnenviel met tanks. Of in 2015, toen Russische hackers twee Oekraïense oblasten zonder stroom zetten. Ook in de huidige oorlog wordt de cyberspace van Oekraïne continu bestookt.
Onzichtbaar reserveleger
Terwijl Moskou zijn digitale musketten liet spreken in Tbilisi, ontwaakte Estland uit een illusie van veiligheid. Het land realiseerde zich dat bytes net zo gevaarlijk kunnen zijn als kogels. Tanel Sepp, nu cyberambassadeur, bekeek de rellen vanuit Brussel via weercamera’s. Hij benadrukt het belang van veerkracht. ‘We werden op onze knieën gedwongen, maar stonden snel weer recht. Snel je digitale diensten herstellen, daar draait het om.’
De crisis legde evenwel iets anders bloot: een reservoir aan IT-talent. Vanuit hun kantoren bij privébedrijven meldden programmeurs, IT-consultants en netwerkbeheerders zich bij de overheid. ‘Hoe kunnen we helpen?’ Uit die spontane opwelling van burgerschap groeide de Küberkaitseliit, de cyberunit van de Estse Defensieliga. In die vrijwilligersorganisatie worden burgers getraind om het land te verdedigen – van bosgevechten tot evacuaties. ‘In 2007 realiseerden we ons dat ook de cyberruimte moet verdedigd worden’, zegt oud-militair Andres Hairk, die nu de cyberunit leidt. Met zo’n 450 vrijwilligers bewaakt zijn eenheid de e-levensstijl van Estland.
De cyberunit wordt ad hoc ingezet – waar en wanneer nodig. Leden geven lessen over veilig internetgebruik, helpen politie en justitie met digitaal speurwerk en springen in bij cyberincidenten. ‘We analyseren wat er gebeurde, verzamelen bewijsmateriaal en ondersteunen waar nodig IT-afdelingen. Als een webserver gehackt is, kunnen we een nieuwe omgeving opbouwen, zodat organisaties snel weer operationeel zijn.’ Toen in het begin van de oorlog in Oekraïne via Estse accounts Russische propaganda opdook, sprokkelde de cyberunit screenshots, accountgegevens en metadata. Die gingen naar de ordediensten voor verdere stappen.
De eenheid werkt nooit op eigen houtje, Hairk komt pas in actie wanneer de autoriteiten dat vragen. In geval van een cyberaanval kan het leger of een ministerie rechtstreeks een beroep doen op zijn team. ‘Als de IT’ers van een overheidsagentschap handen te kort komen, zoeken ze versterking bij ons.’ Bedrijven kunnen de eenheid niet rechtstreeks inschakelen, maar indirecte samenwerking is wel mogelijk. ‘Wij helpen vooral door hun systemen te testen en te trainen – bijvoorbeeld door een aanval te simuleren op een netwerk, om kwetsbaarheden bloot te leggen.’
Dankzij de cyberunit kan Estland in crisistijden rekenen op digitaal talent dat anders buiten bereik van de overheid blijft. De motivatie van de vrijwilligers zit diepgeworteld in de geschiedenis van het land. ‘Wie onder de Russische bezetting leefde, weet dat enkel je buurman je steunt’, zegt Hairk. ‘In 2007 stonden we er alleen voor, niemand hielp ons. Daarom besloten we het zelf te doen.’
Stofzuiger als wapen
In een vergaderzaal negen hoog grijnst Gert Auväärt geamuseerd wanneer ik vraag of Estland vandaag beter bestand is tegen cyberaanvallen als die van 2007. Als hoofd van RIA, het Informatieagentschap – dat de digitale ruggengraat van Estland beheert – én het Nationaal Centrum voor Cyberbeveiliging is hij bij uitstek geplaatst om die vraag te beantwoorden. ‘De aanvallen zijn nu intenser. Vorig jaar kregen we één enkele aanval te verwerken die op zich al vele malen zwaarder woog dan álle aanvallen van 2007 samen.’ Sinds de oorlog in Oekraïne nam de digitale dreiging flink toe. Als loyale bondgenoot van Kyiv vangt Estland geregeld klappen. ‘Voorheen waren er jaarlijks zo’n zeventig DDoS-aanvallen op kritieke infrastructuur, nu zijn het er meer dan vijfhonderd. Dankzij jarenlange investeringen houden we stand.’
De bescherming van het digitale landschap is niet louter een kwestie van firewalls en softwarepatches. RIA traint schooldirecteurs en IT-verantwoordelijken van ziekenhuizen en waterbedrijven in digitale paraatheid. Elke organisatie moet aan strikte normen voldoen: van wachtwoordbeleid tot noodprocedures bij een aanval. ‘Vroeger leerden ingenieurs in energiecentrales wat te doen bij een overstroming, een brand of een omgevallen boom op een leiding’, zegt Auväärt. ‘Vandaag trainen we hen ook op cyberaanvallen.’ Het agentschap monitort de cyberspace, simuleert aanvallen, test systemen en controleert of bedrijven hun zaken op orde hebben. Wie achterop hinkt, krijgt eerst een waarschuwing – maar Auväärt kan eveneens vergunningen intrekken.
Het blijft een constant kat-en-muisspel. ‘Cyberveiligheid is geen vinkje dat je zet en dan klaar. We moeten continu verbeteren.’ Want, zegt hij, verdedigen is altijd moeilijker dan aanvallen. ‘Een aanvaller hoeft maar op één plek een ladder tegen de muur te zetten. Wij moeten 24/7 de hele muur bewaken.’ Dat betekent: mensen op post met Kerstmis én midzomer. ‘In cyberspace zijn er geen tijdzones – er is altijd iemand wakker om aan te vallen’, zegt Auväärt. ‘Ons doel is niet perfectie, wel de digitale samenleving draaiende houden.’
‘Een aanvaller hoeft maar op één plek een ladder tegen de muur te zetten. Wij moeten 24/7 de hele muur bewaken’
Toen een cyberaanval Estland trof in 2007, was het al een van de meest gedigitaliseerde landen ter wereld. Na de onafhankelijkheid zette het zwaar in op technologie: na vijftig jaar Sovjetbewind zag het land digitalisering als een manier om aansluiting te vinden bij het Westen. ‘We waren straatarm’, zegt ex-president Toomas Hendrik Ilves. ‘Everything in this country sucked, alles was een ramp. De telefonie dateerde van voor de oorlog, de wegen en gezondheidszorg waren van Sovjetkwaliteit. Maar op digitaal vlak begon iedereen vanaf nul. Dáár konden we het verschil maken.’
Gert Auväärt, hoofd van het Ests Nationaal Centrum voor Cyberbeveiliging: ‘Na de bezetting waren we één ding grondig beu: aanschuiven. We hadden vijftig jaar in rijen gestaan, vaak zonder te weten wat er op het einde ervan wachtte. Soms zeg ik dat die ingebouwde allergie voor aanschuiven de reden is waarom we zo vroeg digitaliseerden. Maar de echte reden is geld: we hadden niet de middelen om alles op de klassieke analoge manier te doen.’
Voor de eeuwwisseling gingen alle scholen in het land online. In 2000 kon je in Tallinn enkel parkeren via sms, munten waren geen optie. Belastingen invullen, stemmen bij verkiezingen, bedrijven oprichten, documenten ondertekenen, een kind aangeven: bijna alle publieke diensten zijn online beschikbaar. Overheidsinstanties mogen bovendien geen informatie dubbel opvragen – data worden versleuteld uitgewisseld. ‘Vergelijk het met een kerstboom vol ballen’, zegt Ilves. ‘Elke bal is één type data: uniek en verspreid.’ Daarin zit al veiligheid ingebakken: klassieke databanken zijn voor hackers veel interessanter.
Maar hoe meer je online doet, hoe kwetsbaarder je als land wordt. ‘Wie digitale diensten uitrolt, verlegt ook de landsgrenzen’, zegt Auväärt. ‘En die grenzen moet je beschermen.’
De dreiging komt niet enkel van staten, maar ook van ordinaire criminelen. Hun motivatie is financieel, maar kan een risico vormen voor de samenleving – denk aan ransomware-aanvallen op ziekenhuizen. ‘Was cybercriminaliteit een land, dan had het na de VS en China de derde grootste economie ter wereld’, zegt Auväärt. Cyberveiligheid, meent hij, is niet alleen een opdracht voor politie of overheid. ‘Aanvallen slagen vooral door het menselijke element. Iemand klikt op een foute link, opent een bijlage of geeft een wachtwoord prijs. Zelfs een stofzuiger op fabrieksinstellingen kan als wapen dienen.’ Vandaar dat RIA inzet op bewustmaking bij de bevolking. Met radioprogramma’s en tv-spotjes over phishing en social engineering. En met sessies over online veiligheid in buurthuizen. ‘Als je bij je grootouders de batterijen van de rookmelder vervangt, praat dan meteen even over sterke wachtwoorden of pincodebeveiliging’, tipt Auväärt. ‘Zij leven in dezelfde digitale wereld. En de zwakste schakel telt.’
Ook koks worden gehackt
In Kehtna, een dorp omringd door velden ten zuiden van Tallinn, wordt dat principe in de praktijk gebracht. De plaatselijke beroepsschool leidt jonge Esten op tot bouwvakkers, automechanici, buschauffeurs, koks en IT’ers. Triin Muulmann, verbonden aan de Technische Universiteit van Tallinn als onderzoeker cyberveiligheid, geeft er les aan de IT-afdeling. Elders geeft ze cursussen online hygiëne en organiseert ze zomerkampen voor meisjes.
Vanaf volgend schooljaar krijgen alle richtingen in Kehtna een basispakket cyberveiligheid. ‘Ook een kok kan gehackt worden’, zegt Muulmann. ‘Werk je in een restaurant waar de ovens en koffiemachines met het internet verbonden zijn, dan heeft dat gevolgen voor de hele zaak. Hetzelfde geldt voor een automonteur. Moderne wagens zijn door en door digitaal. Laatst moest ik een nieuwe afspraak maken bij de garage omdat hun systeem plat lag. Dat toont aan hoe cruciaal basiskennis is, voor iedereen.’
Voor Muulmann draait het niet alleen om bewustzijn, maar ook om inzicht. ‘Mijn belangrijkste focus is: studenten laten denken als een hacker.’ Zo leert ze hen kwetsbaarheden herkennen. ‘Soms merk ik dat twee meisjes elkaars wachtwoorden kennen. Dan vraag ik: ‘Nu zijn jullie beste vriendinnen, maar wat als dat verandert?’’
Ook cyberwedstrijden en online ondervragingen betrekken jongeren op een speelse manier bij het thema. De jongsten leren met puzzels en sudoku’s over veilig gedrag op sociale media. Oudere leerlingen buigen zich over ingewikkeldere scenario’s en mogen onder begeleiding hacken. Wie zich wil verdedigen, moet begrijpen hoe een aanval werkt. De beste jongeren stromen door naar educatieve zomerkampen of internationale wedstrijden – tegelijk een zoektocht naar nieuw cybertalent. Volgens statistieken namen de laatste zeven jaar meer dan 75.000 jongeren deel. Het past in de Estse onderwijsrichtlijnen, die aanraden om kinderen al vanaf de kleuterklas hun eerste stappen te laten zetten in de digitale wereld.
Crimsonia en Berylia
Wie in Tallinn de Bronzen Soldaat de rug toekeert, weg van de bouwmarkt, en oostwaarts wandelt, belandt na een kleine kilometer bij het Cooperative Cyber Defence Centre of Excellence – het cyberexpertisecentrum van de NAVO. Opgericht in 2008, een jaar na de aanvallen op Estland. ‘Voor de NAVO was Tallinn ineens de logische plek: vlak bij de dreiging, midden in de actie’, zegt Mart Noorma, directeur van het centrum.
Sinds 2007 groeide cyber uit een volwaardig oorlogsgebied, naast land, lucht, zee en ruimte. Elk NAVO-lid blijft zelf verantwoordelijk voor zijn digitale veiligheid, maar het bondgenootschap staat in principe paraat om collectief op te treden als de nood hoog is. Het centrum in Tallinn ondersteunt de leden met kennis, kaders en connecties. ‘We hacken niet, voeren geen cyberaanvallen uit en verdedigen geen NAVO-systemen’, zegt Noorma. ‘Wel werken we cyberdoctrines uit, ontwikkelen we scenario’s en organiseren we conferenties, cursussen en trainingen.’
Een jaarlijkse afspraak heet Locked Shields, een oefening die een cyberaanval op een fictieve natie simuleert. Tijdens de meest recente editie verklaarde een door AI gegenereerde nieuwslezeres: ‘Ooit waren Crimsonia en Berylia één – verenigd door taal, cultuur en geschiedenis. Tot buitenlandse inmenging hen uit elkaar dreef.’ Vervolgens vechten teams op een digitaal slagveld. Het rode team valt aan. Het blauwe team beschermt de kritieke infrastructuur van Berylia – van waterzuiveringsinstallaties tot luchtafweer, van 5G-netwerken tot de centrale bank.
Niet alleen militairen en firewall- experts doen mee aan Locked Shields, ook cyberadvocaten schuiven aan. Want een digitale oorlog voer je niet alleen met code, maar eveneens met het internationaal humanitair recht in het achterhoofd. Noorma: ‘We moeten de impact van een cyberoperatie begrijpen. Ook op het vlak van burgerbescherming: offensieve acties mogen burgers geen buitensporige schade toebrengen. Landen als Rusland zal dat worst wezen, maar voor democratische landen is het wel van belang.’
Ook daarom is samenwerking essentieel – vooral tussen mensen. ‘Onze leuze luidt niet voor niets: facing cyber threats as a coalition, samen cyberbedreigingen aanpakken. Daarom zit samenwerking ingebakken in de oefening. Multinationale teams zijn de norm. Zodat je leert: die expert in dat andere land is maar een telefoontje van me verwijderd. Diplomatieke relaties onderhouden, politieke beslissingen maken: het wordt veel gemakkelijker als de experts elkaar kennen en vertrouwen.’
Cyberdiplomatie
In het Openluchtmuseum van Tallinn, het Bokrijk van Estland, zitten cyberdiplomaten uit alle hoeken van de wereld aan houten tafels in een oude stal. Ze klinken shotglazen handsa – een vurige drank gestookt uit ’s werelds oudste roggevariëteit – en eten vers gepekelde komkommers. En ze luisteren naar een panelgesprek met onder meer Luukas Ilves, zoon van Toomas Hendrik en adviseur cyberveiligheid van Oekraïne. Het is de afsluiter van de zomerschool voor cyberdiplomatie, georganiseerd door het ministerie van Buitenlandse Zaken.
Cyberdiplomatie is voor Estland een belangrijke pijler van het buitenlands beleid. ‘IT is overal’, zegt cyberambassadeur Tanel Sepp. ‘Elke seconde van ons leven hangen we af van IT-oplossingen. Globaal hebben we afgesproken dat het internationaal recht ook geldt in de cyberspace. Cyberdiplomatie draait rond die wetten en welke maatregelen we nemen als landen die niet volgen. Dat gaat van statements van een hoge vertegenwoordiger tot sancties.’
Naar voorbeelden is het niet ver zoeken. De landen Crimsonia en Berylia uit Locked Shields mogen dan fictief zijn, wie het geopolitieke nieuws met een half oog volgt, herkent moeiteloos Rusland en Oekraïne. Ook de scenario’s zijn levensecht: Rusland combineert in Oekraïne cyberaanvallen op communicatiediensten, elektriciteitsnetwerken en energiecentrales met fysieke offensieven met drones en artillerie. ‘Door de Russische agressie is cyber nu volledig geïntegreerd in de conventionele oorlogsvoering’, zegt Sepp. ‘Toch slaagt Oekraïne erin zijn digitale systemen draaiende te houden. Het is momenteel bij uitstek de plek om te leren hoe je veerkracht toont.’
Rusland richt zich ook op de bondgenoten van Oekraïne. In maart 2025 wezen westerse inlichtingendiensten Rusland aan als drijvende kracht achter een reeks sabotageacties. Die variëren van moordpogingen, hacks op politici, brandstichtingen en cyberaanvallen. Door politiek onrust te zaaien, knabbelt het aan het vertrouwen in de vrije democratie. En hoopt het de steun voor Oekraïne te laten afbrokkelen. Hybride oorlogsvoering is een misleidende term, vindt Toomas Hendrik Ilves. ‘Het woord hybride laat het onschuldig klinken. Maar een staat probeert andere staten schade toe te brengen. Dat is gewoon oorlogsvoering, punt.’
Wat betreft cyberaanvallen, zegt Noorma, ‘die zijn frequenter en verfijnder dan in 2007. Kwaadaardige spelers proberen voortdurend de cyberspace voor hun eigen gewin te gebruiken. In Europa zitten we 24/7 in een cyberoorlog.’ Kan een cyberaanval alleen voldoende zijn om NAVO-artikel 5 in te roepen? Theoretisch wel, zegt Noorma. ‘En de reactie hoeft niet beperkt te blijven tot het digitale; militaire, economische of diplomatieke gevolgen kunnen ook.’ Waar precies die rode lijn ligt, zegt hij niet. Vijandige staten zouden dan de grens opzoeken. ‘Maar speculeren kan wel’, aldus Noorma. ‘Om zo’n collectieve reactie uit te lokken, moet een aanval wellicht gepaard gaan met aanzienlijke economische schade en een aanzienlijk verlies aan mensenlevens. Ik ken minstens één geval waarin een land overwoog artikel 5 in te roepen na een massale cyberaanval.’
Het toont aan dat moderne oorlogsvoering lang niet meer alleen om raketten draait. Terwijl militaire budgetten in Europa stijgen, groeit het besef dat de bescherming van cyberspace net zo essentieel is. Estland laat zien dat dat geen puur technische kwestie meer is. Intussen blijft het zich profileren als pionier: momenteel werkt het aan een trainingscentrum voor cyberveiligheid in de ruimte. ‘Je hebt een crisis nodig om oplossingen te vinden’, glimlacht Sepp wrang. ‘Bedankt, Poetin.’
