La Casa Blanca ha publicado recientemente su nueva Estrategia Cibernética Nacional , rescindiendo un memorando de la Directiva de Política Presidencial-20 ( PPD-20 ) de la era Obama que establecía el proceso mediante el cual Estados Unidos emprendería ataques cibernéticos contra enemigos cibernéticos, incluidos los estados extranjeros. actores. La Estrategia consta de cuatro pilares principales diseñados para guiar cómo Estados Unidos emprenderá acciones defensivas y, quizás más importante, ofensivas para preservar sus intereses en el ciberespacio. Según la Estrategia, los cuatro pilares son:
- Proteger al pueblo estadounidense, la patria y el estilo de vida estadounidense . Los temas del primer pilar se centran en aspectos clave de la seguridad nacional de los EE. UU. e incluyen la protección de la infraestructura crítica, la seguridad de las redes federales, la gestión de la cadena de suministro, los contratistas externos y la mejora de la notificación de incidentes para mitigar la amenaza del delito cibernético.
- Promover la prosperidad estadounidense . Este pilar se centra en la tecnología que respalda la infraestructura digital. Los temas de innovación, protección de la propiedad intelectual, diseño e implementación de infraestructura de próxima generación y desarrollo y mantenimiento de la capacidad de la fuerza laboral para respaldar el flujo de talentos.
- Preservar la paz a través de la fuerza . El tercer pilar se centra en el comportamiento estatal responsable en el ciberespacio y en la implementación de estrategias disuasorias para influir en el comportamiento estatal. Tales actividades incluyen la construcción de una estrategia de disuasión creíble, la imposición de consecuencias a los actores hostiles y la lucha contra las operaciones de influencia.
- Avanzar en la influencia estadounidense . El cuarto pilar aborda la colaboración con otros gobiernos para hacer que Internet sea más segura y confiable. Centrarse en un enfoque de múltiples partes interesadas que involucre al gobierno y al sector privado para llegar a un consenso sobre temas como la libertad y la gobernanza de Internet.
La Estrategia sigue la línea de la Orden Ejecutiva del Presidente de mayo de que exigía auditorías de ciberseguridad de las agencias gubernamentales diseñadas para identificar «áreas de mejora o áreas donde se necesitaría legislación específica». La EO se centró principalmente en los aspectos defensivos del marco cibernético más amplio, centrándose en la necesidad de que las agencias federales adopten el Marco del Instituto Nacional de Estándares y Tecnología para mejorar la ciberseguridad de las infraestructuras críticas, considerado en gran medida el estándar de oro para las pautas de seguridad. La Oficina de Responsabilidad Gubernamental ( GAO ) ha otorgado frecuentemente malas calificaciones en materia de seguridad cibernética a las agencias gubernamentales de EE. UU. y, como se observó en la reciente violación del Departamento de Estado de EE. UU., persisten los desafíos para mejorar las posturas de seguridad cibernética de las agencias.
Sin embargo, la parte de la Estrategia que ha llamado la atención –y con razón– es el lenguaje que elimina claramente las ataduras que tradicionalmente han impedido a Estados Unidos participar en acciones cibernéticas ofensivas. Mientras que el PPD-20 parecía verse obstaculizado por disputas entre agencias, la nueva Estrategia deja claro que Estados Unidos se está descargando de esas disputas burocráticas y se está posicionando para lanzar contraataques rápida y resueltamente. Este cambio en la política cibernética de Estados Unidos se produce en un momento en que la sospecha de participación rusa en las elecciones estadounidenses de no logró provocar una “respuesta contundente” ni por parte de la entonces administración de Obama ni de la actual administración de Trump, una crítica frecuente de los políticos.
Ha habido varias iteraciones de una estrategia nacional de seguridad cibernética durante la última década. La Administración Clinton tuvo su Plan Nacional para Sistemas de Información , la Administración Bush tuvo su Estrategia Nacional para Proteger el Ciberespacio y la Administración Obama tuvo su Plan de Acción Nacional de Ciberseguridad.. Si bien ha habido temas consistentes en estas estrategias (por ejemplo, una Internet abierta y libre, el enfoque en la protección de la infraestructura crítica), la última Estrategia muestra una evolución más progresiva del pensamiento sobre cómo ha cambiado el panorama cibernético y cómo Estados Unidos necesita adaptarse a ello. Notablemente ausente en el título está “seguridad”; es sólo la Estrategia Cibernética Nacional la que transmite con precisión el hecho de que la “seguridad” no puede abordarse de forma independiente sin abordar cómo las acciones ofensivas pueden desempeñar un papel de apoyo. No se trata de condenar ni criticar las estrategias de administraciones pasadas; El conflicto cibernético ha sido evolutivo y, como tal, requiere que cada administración posterior revise la anterior para garantizar que satisface las necesidades y condiciones de su entorno.
Y, de hecho, a medida que los ciberataques se han vuelto más prolíficos y cada vez más graves, es fundamental para los gobiernos tratar de descubrir cómo utilizar los contraataques como castigo, represalia, disuasión o una combinación de ambos. Al determinar un curso de represalia cibernética, se debe considerar reconocer que las amenazas cibernéticas son más que simples ataques disruptivos/destructivos, sino que pueden aprovechar las plataformas de redes sociales, así como los medios de comunicación tradicionales e inventados para difundir propaganda, información errónea y desinformación para influir en los objetivos. acción. Por lo general, los adversarios no han sufrido ninguna respuesta cibernética punitiva oficial por parte de Estados Unidos, lo que puede servir para fomentar actividades de seguimiento como el espionaje cibernético, el robo de propiedad intelectual u operaciones de influencia indebida. La Estrategia articula claramente su intención de utilizar todos sus recursos internos y de colaboración con estados de ideas afines para mitigar inmediatamente la amenaza. No hay ninguna zona gris abierta a malas interpretaciones.
Sin lugar a dudas, la capacidad de realizar acciones ágiles es necesaria en un ámbito en el que los ataques ocurren instantáneamente y en el que la atribución puede ser, en el mejor de los casos, turbia. Dependiendo de la intención de llevar a cabo una represalia cibernética punitiva, la capacidad de responder rápidamente para demostrar que no se tolera la hostilidad cibernética es fundamental. Sin embargo, una gran advertencia es que antes de lanzar un contraataque, es necesario asegurarse de que el contraataque se realice de manera adecuada y proporcional. No hay duda de que Estados Unidos posee los medios y recursos para llevar a cabo tales contraataques. El mayor desafío para las represalias cibernéticas de Estados Unidos es garantizar que el objetivo sea viable y no esconderse detrás de alguna fachada civil ni operar desde un tercer país. Cuanto más Estados Unidos contrarreste estas actividades, cuantos más adversarios aprendan invariablemente y ajusten sus operaciones en consecuencia, equilibrando así la balanza nuevamente. Y todos los ojos estarán puestos una vez más en Estados Unidos para ver cómo reaccionará.
Esta es una publicación de blog invitada de Emilio Iasiello.