Cortesía del Consejo de Relaciones Exteriores (CFR)

Entrevistado: Michael V. Hayden, Director, Grupo Chertoff

La Internet abierta y global está amenazada por una variedad de fuentes, y  Washington debería forjar alianzas para construir un marco de seguridad cibernética global basada en normas y prácticas comunes, según un nuevo informe del Grupo de Trabajo CFR sobre la política digital de EE.UU.. El General Michael Hayden, ex director de la CIA y miembro del Grupo de Trabajo, dice que el gobierno debe apoyar al sector privado en la seguridad cibernética, el suministro de información sobre las amenazas y clarificar lo que las empresas pueden y no pueden hacer para proteger mejor sus redes. Mientras que el Pentágono ha tenido tradicionalmente el liderazgo en los esfuerzos de seguridad cibernética de Estados Unidos, Hayden dice que es hora el Departamento de Estado se traslade a la delantera en este tema. “Sería a la vez signo y la sustancia de mayor interés de EE.UU. en el mercado internacional dimensiones de toda esta cuestión cibernética “, señala.

Una conclusión principal de este informe es la necesidad de que los Estados Unidos para construir más alianzas entre los gobiernos y entre otras organizaciones. ¿Dónde nos encontramos actualmente en esto?

Una consecuencia muy importante de tratar de crear [ciberseguridad] coaliciones de voluntarios entre los países de ideas afines es que obliga a [los Estados Unidos] para pensar en realidad este tema a través y para tener una mejor idea de qué es lo que piensan acerca de varios compensaciones que tendrán que hacerse.

En segundo lugar, la geografía importa menos en este ámbito que lo hace en cualquier otro lugar. Es muy amable de tonto para pensar en esto como un problema nacional. El tercer punto es que la mayor parte de esto no es cosa del gobierno – es el sector privado.

La pregunta es, en cuanto a [ciberseguridad]: ¿Quién está apoyado y de apoyo, entre el gobierno y el sector privado? Yo sugeriría que puede ser que el “comando de apoyo”, a falta de una palabra mejor, es el sector privado, y que el gobierno tiene que reunir sus recursos en apoyo de lo que es fundamentalmente una tarea del sector privado para defender.

Hemos visto las críticas de ciberespionaje chino cada vez más fuerte en los últimos meses, EE.UU.. ¿Cómo ve el espectro de amenazas cibernéticas?

“El sombrero [W] que tienes es la guerra submarina casi sin restricciones por parte de los chinos, va después de los secretos comerciales, propiedad intelectual, posiciones de negociación, etc. Y es en una escala absolutamente sin precedentes.”

Prácticamente todo lo que nos preocupa en este momento es gente que roba de nosotros, no tratando de hacernos daño. Así que el primer fin de la amenaza actual es el espionaje. Yo solía correr varias agencias de espionaje, y todo el mundo lo hace – we’re muy bueno en eso, incluso en el dominio cibernético. Pero sólo nos robamos cosas para mantenerlo libre y seguro, no robamos cosas para hacerte rico. Los chinos simplemente no cumple con esos parámetros. Así que lo que tienes es la guerra submarina casi sin restricciones por parte de los chinos, va después de los secretos comerciales, propiedad intelectual, posiciones de negociación, y así sucesivamente. Y es en una escala absolutamente sin precedentes.

Y si eso es todo lo que había, sería bastante malo y debe impulsar la acción. Pero lo que también estamos viendo es la presencia de invitados no deseados en [ Control de Supervisión y Adquisición de Datos ] redes de sistemas de control industrial [a menudo se encuentran en las infraestructuras críticas EE.UU., tales como la generación de energía, fabricación de productos químicos, sistemas de agua, etc]. Y en la actualidad, no hay mucho de valor de inteligencia en esos sistemas. Por lo tanto, el gran temor es que esto no es un robo, esto es el reconocimiento a largo plazo de las acciones destinadas a ser destructiva a las redes controladas por estos sistemas. Por desgracia, estamos viendo más y más de esto.

El Congreso reconoce que muchas de estas vulnerabilidades en el ciberespacio, pero ha habido estancamiento legislativo sobre esta cuestión. ¿Qué quiere decir este informe a los legisladores en materia de ciberseguridad?

Dice que lo que está llevando a cabo con nosotros para arriba no es la tecnología o personal capacitado, aunque se puede usar mucho más de ellos, y que es el momento de tomar decisiones – es el momento de empezar a dibujar líneas: ¿Qué quieres gobierno haga? ¿Qué quiere esta parte del Gobierno, a saber, la NSA, que hacer? ¿Cuál es la responsabilidad del sector privado? ¿Se puede legislar eso? Puedes regularlo? No lo creo. Este es un grito para que el gobierno se mueva hacia fuera.

Así que no necesitamos del gobierno para establecer normas mínimas de seguridad cibernética?

Aquí está el problema: Es un dominio tal de rápido movimiento. Hablando desde la experiencia – treinta y nueve años dentro del gobierno – cuando el gobierno hace algo como esto, usted termina con una mentalidad de cumplimiento lista en lugar de la mentalidad de respuesta ágil que realmente se necesita para hacer las cosas bien.

Así que sugiero que el gobierno – la NSA, el FBI, DHS – necesita trabajar más estrechamente con el sector privado en materia de ciberseguridad?

Nuestro mayor problema ahora es que no tenemos la política. En realidad no hemos tenido un debate adulto porque no tenemos una base de datos común acuerdo sobre [ciberamenazas]. ¿Por qué no tenemos un común acuerdo sobre [ciberamenazas] base de datos? Debido a que no compartimos la información.

El Gobierno no comparte porque pretenden su secreto, y, francamente, no son demasiado ansiosos por hacer algunas de estas vulnerabilidades públicas, ya que pueden explotar a algunos de ellos en jugar a la ofensiva. Y, francamente, cuando hago este discurso a los grupos de la industria, y me pongo a conseguir una ronda de aplausos de la sala, yo digo: “Ustedes no son nada mejor, por razones de responsabilidad, etc.” Así que creo que la amenaza cibernética más información se comparte, más rápidamente nos llevamos.

Este informe también señaló la necesidad de aclarar las leyes de “defensa activa” para el sector privado. ¿Puede explicar esto un poco?

Aquí está el problema: En este momento, el Fraude y Abuso Ley de golosinas [ciber] actividad claramente en legítima defensa de la misma forma en que trata a la acción agresiva aun más ofensivo. Pero hay una diferencia, y hay cosas que las industrias pueden hacer para protegerse a sí mismos. La Ley de Abuso y Fraude Informático, ya que actualmente redactadas, o al menos tan interpretan hoy, evita las industrias de tomar medidas sencillas y adecuadas para su propia defensa. Aunque esto no es un llamado para hacer el dominio cibernético de una digital “zona de fuego”, yo creo que hay cosas razonables que el gobierno puede hacer para que la industria sea más activo en su propia defensa.

¿Puede dar un ejemplo de esto?

Claro. ¿Cuáles son las consecuencias legales de la industria de la inserción de virus destructivos en la información que está siendo hurtado de su red? ¿Qué pasa si un masivo ataque de denegación de servicio distribuida está siendo monitoreada desde determinados servidores identificables? ¿Cuál sería irracional pensar industria puede tener el derecho de hacer algo para desactivar los servidores? Por la naturaleza del dominio, toda ventaja va a la ofensiva, y estamos haciendo lo que es peor, limitando a nosotros mismos en términos de respuesta.

Los Estados Unidos quieren desalentar a otros adversarios potenciales de desarrollo y uso de armas cibernéticas. Pero, ¿cómo se hace eso si no hay un reconocimiento de que los usamos nosotros mismos?

Nos hemos reconocido, sólo de una manera muy limitada, tipo de acciones de autodefensa dentro de las zonas de guerra. Ahora, usted y yo podemos especular que tal vez nos hemos hecho más cosas, pero en términos de reconocimiento, que es lo que tenemos.

Eso no incluye Stuxnet, sin embargo, ¿no?

Por supuesto que no. Somos el primer país en la tierra para crear un Comando Cibernético, y también somos el primer país del mundo que habla sobre el comportamiento apropiado en el dominio cibernético. Entiendo la ironía.

Y el informe del Grupo de Trabajo pide, en concreto, una mayor desclasificación de la información relacionada con armamento cibernético y las amenazas informáticas en general. ¿Cuál es la motivación para que?

En el ejército, se llama un COP – cuadro de operaciones común. Si quieres que la gente de armonizar su acción, a cooperar, tener una visión relativamente coherente de la amenaza, que todas tienen que estar buscando la misma cosa. Y la única manera de crear la “misma cosa” es que este punto de vista bastante común de lo que está pasando en realidad. Si todo el mundo está escondiendo el balón a todos los demás, es difícil conseguir que la opinión común.

Hablamos un poco acerca de las normas relacionadas con la ciberseguridad y la guerra cibernética. El informe del Grupo de Trabajo menciona el Manual de Tallinn que aborda algunas de estas cuestiones. ¿Puedes hablar de eso, y como el informe dice que los EE.UU. debería aprovechar esto?

Debemos construir sobre ella como un primer corte, pero no tomar todo en el Manual de Tallinn, que fue escrito por el Centro de Defensa Cibernética de la OTAN de Excelencia en Estonia. Se trata de asumir algunas de estas preguntas inquietantes: ¿Cómo debemos pensar en esta acción? Es esta acción en la Web una práctica internacional aceptada que llamamos el espionaje? ¿Es un crimen? Es un acto de guerra?

Y así, el Manual Tallinn intenta iniciar el proceso de definición. En ese sentido, es una gran idea. Se trata de un primer corte y lo correcto para que podamos hacer para empezar a trabajar a través de estas cosas para que podamos comenzar a desarrollar normas de comportamiento internacional.

Y el Departamento de Estado debería liderar este, de acuerdo con el informe?

Hay un elemento muy fuerte en este informe que dice que el Departamento de Estado tiene que reorganizarse para hacer frente a este problema, ya que el artículo más influyente en la vista de EE.UU. hacia el dominio cibernético fue en Foreign Affairs hace tres años. Y a pesar de que estaba en Relaciones Exteriores, que fue escrito por William Lynn III, el subsecretario de Defensa.

Le digo audiencias públicas que la línea más importante en ese artículo es el que bajo el título: “por Bill Lynn, subsecretario de Defensa,” secretaria no adjunto de Estado, no subprocurador, no subsecretario de Seguridad Nacional, no el asesor científico del presidente. Así, uno podría hacer la afirmación de que EE.UU. pensamiento cibernético ha sido liderado por el Departamento de Defensa. No estoy diciendo que es malo, pero no puedo quedarme así para siempre. Se tiene que tener más equilibrio de otras partes del gobierno. El Departamento de Estado es un buen eje alrededor del cual se organizan.

¿Podría elaborar un poco más en la necesidad de que el Departamento de Estado para realinear para hacer frente a la seguridad cibernética?

En otras palabras, ¿quién tiene la pelota dentro del Estado? No tengo una respuesta. No creo Estado hace bien. Y así, el número uno, no sería más que un buen esfuerzo de organización. Número dos, que sería a la vez signo y la sustancia de mayor interés de EE.UU. en el mercado internacional dimensiones de toda esta cuestión cibernética.

El informe aboga por una estrategia integral para abordar el espionaje cibernético y el robo. En concreto, se sugiere el uso de instrumentos de política comercial. ¿Puedes hablar un poco sobre eso?

Cuando decimos que el espionaje cibernético, fundamentalmente, la cuestión es China. Los chinos están haciendo esto con fines comerciales. ¿Por qué no debería ser nuestra respuesta en el carril económico, no en el carril de la informática? Estoy totalmente de acuerdo con este punto del informe: el que recibe visas para visitar los Estados Unidos, ¿qué productos obtener la licencia, que llega a cotizar en la Bolsa de Nueva York, que tiene visas de estudiante para venir a las universidades de Estados Unidos para los cursos , todos se verán afectados por el comportamiento cibernético chino. Estoy totalmente a favor de la utilización de todas las herramientas en nuestra aljaba.

Si podemos tocar brevemente el tema de la gobernanza: Algunas naciones se están moviendo para blindar partes de la Internet como una extensión de su soberanía, lo que podría fragmentar la Internet global. Lo que tiene Estados Unidos necesita hacer al respecto?

En general, los Estados Unidos le gusta el Internet la manera que es, sólo queremos que sea un poco más seguro, un poco más seguro. Nuestro problema con Internet es su mal uso, no su uso. Por otro lado, los chinos no están preocupados por el robo en Internet. Están preocupados por lo que creemos que hace que Internet sea maravillosa, que es la libre circulación de la información. Así que la respuesta a esto es tener los límites que todo el mundo está acostumbrado a en el espacio físico y soltarlos en el ciberespacio.

Puedo imaginar un mundo, lamentablemente, en el que tenemos visas y pasaportes ciber ciber y requisitos informáticos de residencia, y un montón de cosas que podrían destruir la Internet como la conocemos, que es unitaria, global, igualitaria y accesible por igual . Nos gustan los aspectos de Internet, eso es lo que queremos preservar.

Comparte esta información: en Twitter en Facebook en Google+ en LinkedIn