Parece que cada día trae noticias de otro ciberataque o intrusión de alto perfil que afecta nuestros datos personales, la seguridad nacional o la propia integridad y disponibilidad de las instituciones y la infraestructura de la que dependemos.
Este artículo fue escrito por Christopher Painter, un comisionado de la Comisión Global para la Estabilidad del Ciberespacio y anteriormente el principal ciber diplomático del Departamento de Estado de los Estados Unidos. Fue becario distinguido visitante en 2018 en el Centro Internacional de Política Cibernética de ASPI.
Estas amenazas cibernéticas provienen de una gama de malos actores, incluidos delincuentes comunes, grupos delictivos organizados transnacionales y estados nacionales.
De hecho, a mediados de febrero, Australia, Estados Unidos, el Reino Unido y varios otros países atribuyeron el devastador gusano NotPetya ransomware -que causó daños por miles de millones de dólares en Europa, Asia y América- al ejército ruso como parte del Los esfuerzos del Kremlin para desestabilizar a Ucrania.
Al mismo tiempo, el abogado especial Robert Mueller en Washington dio a conocer una acusación penal notablemente detallada que acusa a una variedad de individuos y organizaciones rusas con un esfuerzo concertado para socavar las elecciones estadounidenses de 2016.
Aunque activo, Rusia no es el único actor destacado de amenaza del estado-nación en el ciberespacio. Corea del Norte orquestó los ataques contra Sony Pictures y fue responsable del reciente ransomware WannaCry, que afectó seriamente el sistema de salud del Reino Unido. Irán fue responsable de los ataques contra sitios web de instituciones financieras de los EEUU Y China llevó a cabo una campaña prolongada de robo de secretos comerciales con fines cibernéticos dirigida a empresas en Australia, Estados Unidos y muchos otros países.
Algunos estados también plantean desafíos de política internacional: usar cybertools para monitorear y reprimir a sus ciudadanos. Los criminales y otros actores no estatales han causado enormes pérdidas financieras y han comprometido datos personales a través de esquemas cibernéticos cada vez más sofisticados. Todavía no atacar la infraestructura crítica a través del ciberespacio, pero use Internet para planificar, reclutar y comunicarse.
En los 27 años que llevo lidiando con estos asuntos, primero como fiscal federal de los EE. UU., Luego en puestos de responsabilidad en el Departamento de Justicia, el FBI, la Casa Blanca y más recientemente como Coordinador de Asuntos Cibernéticos en el Departamento de Estado. Nunca hemos visto que las amenazas que enfrentamos colectivamente en el ciberespacio sean mayores o la necesidad de abordarlas para que sean más urgentes.
Afortunadamente, ahora hay mucha más atención pública y gubernamental sobre estos temas que hace algunos años. Australia ha lanzado una ciberseguridad ambiciosa y estrategias cibernéticas internacionales, ha creado nuevas instituciones y ha nombrado líderes experimentados para puestos clave. Estados Unidos se ha centrado en cuestiones cibernéticas durante la última década, entre otras muchas cosas, mejorando la respuesta a incidentes, creando estrategias nacionales e internacionales y promoviendo un marco para la estabilidad cibernética.
Otros gobiernos también priorizan cada vez más los problemas cibernéticos, al igual que algunos sectores empresariales clave. Además, ahora hay tantas 'cumbres cibernéticas' dedicadas a estos temas en todo el mundo que parece que estamos en el medio de los Cyber Alps (europeos o australianos).
Sin embargo, aunque cibernético puede ser el nuevo negro debido a toda esta atención y actividad, falta algo crítico. Cyber todavía no se ha tejido en la estructura de nuestra seguridad nacional central y otras políticas. Con demasiada frecuencia se lo ve como un problema boutique aparte.
Estuve en Australia a principios de este año, donde completé una temporada en el Centro internacional de política cibernética de ASPI, yendo a Canberra directamente desde la Conferencia de Seguridad de Munich (MSC), una especie de Davos para el público de la política de seguridad internacional. Cada año, MSC presenta una serie de líderes políticos, titanes de la industria y expertos en políticas de todo el mundo que debaten todo, desde el futuro de Europa hasta la paz en Oriente Medio (o la falta de ella) hasta el ascenso de China.
Cyber también está allí, representado en una variedad cada vez mayor de eventos paralelos. Pero, significativamente, no está en el escenario principal.
Aunque es genial que MSC se centre en cibernética en una miríada de reuniones paralelas y en eventos independientes, el problema con ese enfoque (y que es similar a otros foros importantes de seguridad nacional y económica) es que los eventos centrados en cibernéticos tienden a convertirse en cámaras de eco , con el mismo cuadro de cyber cognoscenti viajando como una tribu nómada de una reunión a otra.
Los jefes de gobierno, los asesores de seguridad nacional, los legisladores, los generales y los ministros que asisten a reuniones de alto nivel como el MSC deberían participar en esas discusiones, especialmente porque no se ocupan de esos temas todos los días y porque pueden estar fuera de lugar. su zona de confort normal.
Por supuesto, esto también requiere que los ciberdelincuentes hagan un mejor trabajo al poner estos asuntos en una forma que los principales responsables de la política entiendan -como asuntos centrales de seguridad nacional, derechos humanos y política exterior- en lugar de cuestiones principalmente técnicas.
El hecho de que los temas cibernéticos no se hayan "generalizado" en debates más amplios sobre seguridad nacional y políticas tiene consecuencias reales. Aunque en estos días hay una mayor conciencia entre los altos cargos de que 'el cyber' es importante, hay poca comprensión de qué hacer para contrarrestar las amenazas cibernéticas o cómo se puede usar el conjunto completo de herramientas de las capacidades nacionales fuera del ciberespacio.
También existe un riesgo real de que estos problemas no reciban la atención sostenida que merecen. Aunque creo que la discusión es más madura ahora, hay un precedente. Estados Unidos lanzó una estrategia de seguridad cibernética en 2003. Pero en 2005 se había dejado de lado debido a la falta de comprensión y al aumento de otras prioridades.
Además, realmente la integración de estos problemas con un enfoque estratégico sostenido conduce a nuevas soluciones a algunos de los problemas clave que enfrentamos en el ciberespacio. Cuando se consideró que el robo generalizado de secretos comerciales y propiedad intelectual por parte de China era un problema cibernético, había poca comprensión de sus implicaciones a largo plazo o de cómo responder. Solo cuando finalmente se reconoció como un problema central de seguridad económica y nacional, Estados Unidos estuvo dispuesto a arriesgarse a la fricción en la relación general con China, en lugar de solo comercializar barbies en los canales cibernéticos.
Eso permitió una gama más amplia de opciones en toda la relación bilateral, junto con un compromiso con un esfuerzo sostenido de varios años que produjo resultados tangibles. A menos que se entiendan e integren los problemas cibernéticos por parte de los responsables de políticas sénior que no son cibernéticos, su enfoque es con demasiada frecuencia episódico e ineficaz.
Por supuesto, esto también es cierto en la comunidad empresarial. Las personas de C-suite son cada vez más conscientes de que el cibernético es una gran cosa, pero al igual que muchos líderes gubernamentales, no saben qué hacer al respecto ni cómo integrarlo en la toma de decisiones corporativas o en la gestión de riesgos. Mientras más juntas corporativas están prestando más atención a los riesgos cibernéticos, la responsabilidad aún recae en el jefe de seguridad de la información que, en demasiados casos, tiene acceso limitado al CEO o al directorio, y con frecuencia es descartado como un centro de costos.
Hay algunos signos positivos de cambio. Aunque no hubo una sesión centrada en el ciberespacio en el escenario principal del MSC, el secretario general de la ONU, el primer ministro del Reino Unido, el asesor de seguridad nacional de los EEUU. Y otros líderes mencionaron el ciberespacio como parte de sus principales intervenciones. Hubo una mayor interacción entre la 'ciber tribu' y la comunidad más amplia en los márgenes, y la participación de ejecutivos de alto nivel tanto de la tecnología como de otras compañías. Cada vez más juntas corporativas reciben informes de asesores de ciberseguridad y el público, al menos por el momento, cada vez parece más preocupado por las ciberamenazas.
Sin embargo, si realmente queremos tener éxito en la lucha contra las crecientes amenazas en el ciberespacio y aprovechar las muchas oportunidades que ofrece, se necesita hacer más para desmitificar la política cibernética y hacer que forme parte de nuestro discurso nacional y económico más amplio. No podemos permitirnos que esto sea una moda pasajera o la provincia de un sacerdocio selecto. Más bien, la política cibernética debería ser una preocupación central de cada líder, ministro y CEO.
No hay comentarios:
Publicar un comentario