What do you think?
Rate this book
Cyber Persistence Theory: Redefining National Security in Cyberspace
A bold re-conceptualization of the fundamentals driving behavior and dynamics in cyberspace.
Most cyber operations and campaigns fall short of activities that states would regard as armed conflict. In Cyber Persistence Theory , Michael P. Fischerkeller, Emily O. Goldman, and Richard J. Harknett argue that a failure to understand this strategic competitive space has led many states to misapply the logic and strategies of coercion and conflict to this environment and, thus, suffer strategic loss as a result. The authors show how the paradigm of deterrence theory can neither explain nor manage the preponderance of state cyber activity. They present a new theory that illuminates the exploitive, rather than coercive, dynamics of cyber competition and an analytical framework that can serve as the basis for new strategies of persistence. Drawing on their policy experience, they offer a new set of prescriptions to guide policymakers toward a more stable, secure cyberspace.
Most cyber operations and campaigns fall short of activities that states would regard as armed conflict. In Cyber Persistence Theory , Michael P. Fischerkeller, Emily O. Goldman, and Richard J. Harknett argue that a failure to understand this strategic competitive space has led many states to misapply the logic and strategies of coercion and conflict to this environment and, thus, suffer strategic loss as a result. The authors show how the paradigm of deterrence theory can neither explain nor manage the preponderance of state cyber activity. They present a new theory that illuminates the exploitive, rather than coercive, dynamics of cyber competition and an analytical framework that can serve as the basis for new strategies of persistence. Drawing on their policy experience, they offer a new set of prescriptions to guide policymakers toward a more stable, secure cyberspace.
266 pages, Hardcover
Published May 20, 2022
2 people are currently reading
106 people want to read
Ratings & Reviews
Friends & Following
Create a free account to discover what your friends think of this book!
Community Reviews
Displaying 1 - 4 of 4 reviews
April 22, 2024
Fischerkeller, Michael P., Emily O. Goldman, Richard J. Harknett, Cyber Persistence Theory: Redefining National Security in Cyberspace (Oxford University Press, 2022). Dit boek is mij aanbevolen door onze cyberteams, en terecht. De drie auteurs weten waarover ze spreken. Richard Harknett, hoogleraar aan de University or Cincinnati, is een bekende cyberauteur, die ook in Nederland voordrachten heeft verzorgd. Emily Goldman werkt als strategisch adviseur voor US Cyber Command. En Michael Fischerkeller is IT-onderzoeker voor een aan het Pentagon gerelateerd onderzoeksinstituut. Gezamenlijk zijn zij de grondleggers geweest van de ‘persistent engagement’-strategie van US Cybercom sinds 2016. Dat admiraal Michael S. Rogers (voormalig commandant van US Cyber Command en directeur van de National Security Agency) het boek op de achterflap aanbeveelt en zijn opvolger generaal Paul M. Nakasone het voorwoord heeft geschreven, is eveneens veelzeggend.
De auteurs doen de lezer een groot plezier door hun theorie — gepositioneerd “[at the] intersection of global networked computing and international relations theory and policy” (3) — al in het eerste hoofdstuk op hoofdlijnen uit de doeken te doen. In dat introducerende hoofdstuk brengen ze scherp onder woorden dat het heersende paradigma over gewapend conflict, met sleuteltermen als afdwinging (‘coerce’) en afschrikking (‘deter’), in de weg heeft gestaan van een goed begrip van cyberspace. “This is a book about aligning theory with reality to create a basis for properly applied policy,” schrijven ze aan het einde van hun introductie. (7)
De kern van hun betoog is dat cyberspace moet worden gezien als “a third strategic environment” met eigen structurele kenmerken waardoor staten zich er anders in gedragen dan in de andere twee domeinen (“conventional” en “nuclear”). Conventioneel, nucleair én cyber dus als aparte, maar tevens onderling verbonden handelingsruimtes voor staten om strategische effecten te sorteren: “States must manage all three of these strategic environments simultaneously…” (8).
In cyberspace zijn staten er vooral en bij voortduring op uit langs digitale weg kwetsbaarheden uit te buiten teneinde strategische voordelen te behalen zónder de drempel van gewapend conflict te overschrijden.“Each intrusion, hack, or technical action — although not strategically consequential on its own — often cumulatively results in effects that, in past generations, required armed conflict or a threat thereof.” (7) En: “Whereas security requires States to triumph in war in the conventional environment and avoid war in the nuclear environment, States in the cyber strategic environment may have a true alternative through which to achieve strategically relevant outcomes.” (157) Om deze reden is de afgelopen decennia een voorkeursmethode ontstaan waarmee staten hun belangen najagen, “the emergence of a non-coercion-based primary mechanism for achieving strategically relevant outcomes.” (7) Cyberspace is volgens de auteurs allang geen zijtoneel meer van de strategische competitie tussen staten, maar is daarvan het hoofdtoneel geworden: “exploitation of cyberspace vulnerabilities and opportunities and not coercion is the primary route toward gain.” (7)
Volgens de auteurs heeft het gebrek aan een goed begrip van de dynamiek in cyberspace er niettemin toe geleid dat veel staten, vooral die in het westen (maar dat vul ik zelf in), de militaire logica van afschrikken en afdwingen zijn blijven toepassen op een domein dat zich daarvoor juist niet leent: “The reality of State behavior and interaction in cyberspace over the past two decades has been quite different from the model of war, catastrophic attack, and coercion upon which the cyber strategy and policy of many countries is based.” (6) Of zoals politicoloog Erik Gartzke stelde: “[t]he internet is generally an inferior substitute to terrestrial force in performing the functions of coercion or conquest. Cyber ‘war’ is not likely to serve as the final arbiter of competition in an anarchical world… .” (5)
Dit betekent ook dat ‘cyberwar’ niet in de plaats zal komen van conventionele oorlogvoering, zelfs al voegen cyberoperaties daaraan een belangrijke dimensie toe. De Russische aanval op Oekraïne in 2022 en de oorlog tussen Israël en Hamas in 2023 lijken het gelijk van de auteurs te bevestigen. De stelling dat “cyberspace must be understood primarily as an environment of exploitation rather than coercion” klopt ook nog in oorlogstijd, als statelijke en mogelijk ook niet-statelijke activiteiten in cyberspace onderdeel worden van een politiek en militaire strategie gericht op afdwinging.
Ook in Nederland is onbegrip over de ware aard van cyberspace helaas invloedrijk geweest. De geïntensiveerde samenwerking tussen de MIVD en het DCC is erop gericht constructiefouten, die teruggaan tot de oprichting van het DCC onder het commando Landstrijdkrachten in 2014, te corrigeren. Ook de vooralsnog te beperkte toegang tot het digitale verkeer — en daarmee malware — over kabelgebonden netwerken heeft Nederland vanuit het oogpunt van cyber security op een strategische achterstand gezet, die met de tijdelijke wet en de brede wetsherziening moet worden ingelopen.
De auteurs hebben, zoals gezegd, een theorie ontwikkeld om bij te dragen aan een beter begrip van en effectievere strategie in het cyberdomein: de cyber persistence theory. In plaats van afschrikking en afdwinging gaat het volgens de auteurs in cyberspace in de eerste plaats om “persistence in seizing and maintaining the initiative to set the conditions of security in and through cyberspace in one’s favor.” (56)
In het belang van digitale veiligheid pleiten zij in het verlengde daarvan voor “new strategies of persistence”, die vooral in hoofdstuk zes worden uitgewerkt. Belangrijke notie daarbij is de noodzaak om in cyberspace campagnes te voeren: “Given that exploitative campaigns below the threshold of armed attack are the dominant form of cyber behavior, policymakers seeking enhanced security in and through cyberspace should adopt a ‘campaign mindset’ when they prepare, plan, and posture. They should view adversary behavior through the lens of campaigns rather than individual intrusions, hacks, or incidents. (…) In strategic cyber competition, the campaign is the relevant unit of analysis…” (122) En: “resources and planning efforts should focus on precluding adversary options for exploitation (action) rather than trying to alter the adversary’s cost-benefit analysis…” (122). Kortom, een handelende en initiatiefrijke dienst is in het digitale domein een voorwaarde voor veiligheid en stabiliteit. “Cyberspace is continuously changing through both intentional action and organic evolution. Myriad vulnerabilities exist, as do opportunities to alter the terrain (physical, logical, persona) and interactions within it. If a State is not controlling the tempo of activity with respect to an adversary, then that State is reacting and the odds are that it is operating under less than favorable conditions set by more active States, who have gained the initiative.” (123) De vraag is: zijn wij daarop in Nederland conceptueel, organisatorisch en juridisch al voldoende ingericht?
Al met al is dit boek, voorzien van een omvangrijk notenapparaat, een indrukwekkende poging een nieuw theoretisch kader aan te reiken om de alledaagse werkelijkheid in cyberspace mee te bevatten. Zelf heb ik cyberspace de afgelopen tijd vaak geschaard onder het iets bredere begrip ‘grey zone’, het schemergebied tussen oorlog en vrede waarin sprake is van openlijke en heimelijke strategische competitie in tal van dimensies. Polemologen spreken ook wel van ‘negatieve vrede’: de afwezigheid van oorlog, zonder dat van duurzame vrede kan worden gesproken. Fischerkeller, Goldman en Harknett voegen daaraan voor mij een nieuw en relevant vocabulaire toe.
De auteurs doen de lezer een groot plezier door hun theorie — gepositioneerd “[at the] intersection of global networked computing and international relations theory and policy” (3) — al in het eerste hoofdstuk op hoofdlijnen uit de doeken te doen. In dat introducerende hoofdstuk brengen ze scherp onder woorden dat het heersende paradigma over gewapend conflict, met sleuteltermen als afdwinging (‘coerce’) en afschrikking (‘deter’), in de weg heeft gestaan van een goed begrip van cyberspace. “This is a book about aligning theory with reality to create a basis for properly applied policy,” schrijven ze aan het einde van hun introductie. (7)
De kern van hun betoog is dat cyberspace moet worden gezien als “a third strategic environment” met eigen structurele kenmerken waardoor staten zich er anders in gedragen dan in de andere twee domeinen (“conventional” en “nuclear”). Conventioneel, nucleair én cyber dus als aparte, maar tevens onderling verbonden handelingsruimtes voor staten om strategische effecten te sorteren: “States must manage all three of these strategic environments simultaneously…” (8).
In cyberspace zijn staten er vooral en bij voortduring op uit langs digitale weg kwetsbaarheden uit te buiten teneinde strategische voordelen te behalen zónder de drempel van gewapend conflict te overschrijden.“Each intrusion, hack, or technical action — although not strategically consequential on its own — often cumulatively results in effects that, in past generations, required armed conflict or a threat thereof.” (7) En: “Whereas security requires States to triumph in war in the conventional environment and avoid war in the nuclear environment, States in the cyber strategic environment may have a true alternative through which to achieve strategically relevant outcomes.” (157) Om deze reden is de afgelopen decennia een voorkeursmethode ontstaan waarmee staten hun belangen najagen, “the emergence of a non-coercion-based primary mechanism for achieving strategically relevant outcomes.” (7) Cyberspace is volgens de auteurs allang geen zijtoneel meer van de strategische competitie tussen staten, maar is daarvan het hoofdtoneel geworden: “exploitation of cyberspace vulnerabilities and opportunities and not coercion is the primary route toward gain.” (7)
Volgens de auteurs heeft het gebrek aan een goed begrip van de dynamiek in cyberspace er niettemin toe geleid dat veel staten, vooral die in het westen (maar dat vul ik zelf in), de militaire logica van afschrikken en afdwingen zijn blijven toepassen op een domein dat zich daarvoor juist niet leent: “The reality of State behavior and interaction in cyberspace over the past two decades has been quite different from the model of war, catastrophic attack, and coercion upon which the cyber strategy and policy of many countries is based.” (6) Of zoals politicoloog Erik Gartzke stelde: “[t]he internet is generally an inferior substitute to terrestrial force in performing the functions of coercion or conquest. Cyber ‘war’ is not likely to serve as the final arbiter of competition in an anarchical world… .” (5)
Dit betekent ook dat ‘cyberwar’ niet in de plaats zal komen van conventionele oorlogvoering, zelfs al voegen cyberoperaties daaraan een belangrijke dimensie toe. De Russische aanval op Oekraïne in 2022 en de oorlog tussen Israël en Hamas in 2023 lijken het gelijk van de auteurs te bevestigen. De stelling dat “cyberspace must be understood primarily as an environment of exploitation rather than coercion” klopt ook nog in oorlogstijd, als statelijke en mogelijk ook niet-statelijke activiteiten in cyberspace onderdeel worden van een politiek en militaire strategie gericht op afdwinging.
Ook in Nederland is onbegrip over de ware aard van cyberspace helaas invloedrijk geweest. De geïntensiveerde samenwerking tussen de MIVD en het DCC is erop gericht constructiefouten, die teruggaan tot de oprichting van het DCC onder het commando Landstrijdkrachten in 2014, te corrigeren. Ook de vooralsnog te beperkte toegang tot het digitale verkeer — en daarmee malware — over kabelgebonden netwerken heeft Nederland vanuit het oogpunt van cyber security op een strategische achterstand gezet, die met de tijdelijke wet en de brede wetsherziening moet worden ingelopen.
De auteurs hebben, zoals gezegd, een theorie ontwikkeld om bij te dragen aan een beter begrip van en effectievere strategie in het cyberdomein: de cyber persistence theory. In plaats van afschrikking en afdwinging gaat het volgens de auteurs in cyberspace in de eerste plaats om “persistence in seizing and maintaining the initiative to set the conditions of security in and through cyberspace in one’s favor.” (56)
In het belang van digitale veiligheid pleiten zij in het verlengde daarvan voor “new strategies of persistence”, die vooral in hoofdstuk zes worden uitgewerkt. Belangrijke notie daarbij is de noodzaak om in cyberspace campagnes te voeren: “Given that exploitative campaigns below the threshold of armed attack are the dominant form of cyber behavior, policymakers seeking enhanced security in and through cyberspace should adopt a ‘campaign mindset’ when they prepare, plan, and posture. They should view adversary behavior through the lens of campaigns rather than individual intrusions, hacks, or incidents. (…) In strategic cyber competition, the campaign is the relevant unit of analysis…” (122) En: “resources and planning efforts should focus on precluding adversary options for exploitation (action) rather than trying to alter the adversary’s cost-benefit analysis…” (122). Kortom, een handelende en initiatiefrijke dienst is in het digitale domein een voorwaarde voor veiligheid en stabiliteit. “Cyberspace is continuously changing through both intentional action and organic evolution. Myriad vulnerabilities exist, as do opportunities to alter the terrain (physical, logical, persona) and interactions within it. If a State is not controlling the tempo of activity with respect to an adversary, then that State is reacting and the odds are that it is operating under less than favorable conditions set by more active States, who have gained the initiative.” (123) De vraag is: zijn wij daarop in Nederland conceptueel, organisatorisch en juridisch al voldoende ingericht?
Al met al is dit boek, voorzien van een omvangrijk notenapparaat, een indrukwekkende poging een nieuw theoretisch kader aan te reiken om de alledaagse werkelijkheid in cyberspace mee te bevatten. Zelf heb ik cyberspace de afgelopen tijd vaak geschaard onder het iets bredere begrip ‘grey zone’, het schemergebied tussen oorlog en vrede waarin sprake is van openlijke en heimelijke strategische competitie in tal van dimensies. Polemologen spreken ook wel van ‘negatieve vrede’: de afwezigheid van oorlog, zonder dat van duurzame vrede kan worden gesproken. Fischerkeller, Goldman en Harknett voegen daaraan voor mij een nieuw en relevant vocabulaire toe.
April 12, 2024
I read this book for a class, I’m not a cyber security expert in the slightest and this book felt like the perfect start to modern cybersecurity theory.
April 1, 2025
I had to read this for class, and it was interesting, but a little challenging to get through.
Displaying 1 - 4 of 4 reviews