5 de agosto de 2021

¿Qué tan lejos están Estados Unidos y Rusia de aceptar las reglas informáticas?

El presidente ruso, Vladimir Putin, antes de un desfile militar en la Plaza Roja de Moscú. Sergey Pyatakov / Sputnik

Gran parte del debate sobre campañas de espionaje como SolarWinds y ransomware llega a esta conclusión: Estados Unidos debe desarrollar algún tipo de entendimiento con Rusia sobre los derechos y obligaciones de un país en el ciberespacio. Esto a menudo se presenta en términos de que Rusia no se preocupa o de que Estados Unidos no saca un palo lo suficientemente grande como para inducir negociaciones.

Pero, ¿y si se hiciera un trato diplomático? Viernes en el Centro Belfer de Harvard publicó un solo artículo donde investigadores estadounidenses y rusos han explicado por separado la perspectiva de su nación sobre una posible negociación, lo que realmente quieren ambas partes y lo que podría beneficiar a ambas partes. Ese documento incluía a Lauren Zabierek, directora del programa de ciberseguridad del Centro Belfer, Christie Lawrence y Miles Neumann en representación de Estados Unidos, y Pavel Sharikov del Instituto de Estudios de Estados Unidos y Canadá de la Academia Rusa de Ciencias en representación de Rusia.

SC habló con Zabierek sobre algunos de los factores menos comentados que impiden un acuerdo entre Estados Unidos y Rusia.

El documento se lleva a cabo en un formato realmente interesante donde las perspectivas de los Estados Unidos y Rusia se han escrito y estudiado por separado, proporcionando una visión más completa de cómo surgen las diferentes visiones del mundo. ¿Como paso?

Entonces, el pensamiento detrás del proyecto en realidad proviene de algo llamado Elbe Group, que es un diálogo entre militares de alto rango y oficiales de inteligencia retirados del lado ruso y del lado estadounidense. Ha existido durante unos 10 años y normalmente se centra en cuestiones como la seguridad nuclear y similares. Decidieron que se centrarían en la ciberseguridad para la reunión de octubre de 2019. De hecho, pude asistir a esta â ???? Fui la primera mujer en participar en los diálogos, las discusiones en sí mismas, lo cual fue bastante salvaje. Después de esa reunión, un proyecto en Belfer llamado Russia Matters project se puso en contacto conmigo en el cyber project y me preguntó «Oye, ¿y si hacemos un documento para explorar si debería haber reglas de tránsito en el cyber con Rusia?» Al salir de esa reunión, quedó claro que había algunas áreas en las que había cierta convergencia, pero aún estaba claro que todavía estamos muy, muy distantes.

¿Por qué?

Tal vez esto sea un poco ingenuo, pero no creo que me di cuenta de que Rusia nunca ha admitido o reconocido que tiene ningún tipo de capacidad cibernética ofensiva. Siempre que los acusamos de entrometerse en nuestras elecciones, o de violar los vientos solares, y dicen «No, no, no fuimos nosotros». Mi primer pensamiento habría sido: «Bueno, claro, lo dirán porque era su brazo de inteligencia». Pero la diferencia es que Estados Unidos es muy flagrante en sus capacidades cibernéticas militares. Fuimos obvios cuando se elevó Cyber ​​Command, publicamos la doctrina informática, hablamos muy públicamente sobre CyberCom. Pero no lo hacen. No admiten ni reconocen ningún tipo de capacidad cibernética ofensiva. Y eso, para mí, fue realmente interesante. ¿Por qué, si está tratando de trabajar con una nación que no la reconoce, cómo inicia un diálogo?

Por supuesto, solo tiene las diferentes opiniones en Internet y cómo debe abordarse, lo que luego creo que entra en toda la discusión sobre el ciberdelito. Ven Internet como algo sobre lo que deberían tener más control estatal, y eso es lo que escribe Pavel en su artículo ». control sobre la narrativa y control sobre los disidentes. Estados Unidos y Occidente están muy preocupados por esto desde el punto de vista de los derechos humanos. Mientras que desde nuestro punto de vista, cuando hablamos de ciberdelito, estamos hablando de ransomware y ciberdelito basado en materiales. Entonces, nuevamente, solo existe este abismo que necesitamos salvar, y parte de eso es construir una definición, aceptar la definición y tratar de ir desde allí. Creo que este documento demuestra lo lejos que estamos realmente en muchas de estas áreas.

Pavel, el autor ruso estaba realmente preocupado por la escalada cinética. Creemos que la preocupación más urgente en este momento es el malware imprudente que se dirige a la infraestructura crítica y se propaga. Ambos somos propensos y vulnerables a estos ataques desde diferentes áreas. Y eso crea una necesidad imperiosa en ambas partes de querer llegar a algún tipo de acuerdo que al menos se enfoque en estas cosas muy, muy específicas para nuestra seguridad colectiva.

Evidentemente, esta ha sido una preocupación constante que nunca hemos podido ver a simple vista. Entonces, ¿qué se interpone en el camino para llegar a un acuerdo bilateral entre Estados Unidos y Rusia??

Bueno, especialmente de nuestra parte, como sugiere nuestro periódico, hay mucho cansancio en Rusia en este momento, especialmente después de todo lo que ha sucedido. Pero en realidad, la diferencia clave está entre un país que habla abiertamente sobre sus capacidades cibernéticas a través del ejército y un país que no lo hace. Nuevamente, ¿cómo inicias ese diálogo? Entonces, hay muchos pasos entre ahora y cualquier tipo de acuerdo potencial. Y el principal de ellos será alinear intereses, crear algún tipo de señal de que ambos nos tomamos en serio esto y también, ya sabes, echar un vistazo internamente y asegurarnos de que el mensaje no esté politizado y que realmente se centre solo en proteger nuestro país. y nuestra seguridad nacional.

Cuando la gente habla de desarrollar normas en el ciberespacio, a menudo surge la pregunta de si comenzar por hacer un acuerdo y luego aplicar el acuerdo, o aplicar líneas rojas para establecer las reglas. ¿Será una situación en la que aplicamos antes de acordar?

Creo que también va al corazón de uno de los problemas. Creo que cuando se celebra un acuerdo bilateral, se habla de aplicación mutua y también de verificación mutua, que, como sabemos, en cibernética es muy difícil. No es como si entraras a una instalación y contaras las armas, ¿verdad? Y así entra en toda la cuestión de la atribución.

Solicito un organismo de estándares internacionales, no un organismo que lleve a cabo la atribución a nivel internacional, sino algo para desarrollar realmente estándares comunes que las organizaciones puedan cumplir cuando realicen su atribución.

Desde un punto de vista comercial empresarial ¿¿¿¿a???? para una empresa que ve lo que pasó con Colonial Pipeline o JBS, se da cuenta de que seguirán siendo un objetivo de espionaje y ransomware, pero también sabe que no tiene voz en geopolítica ”. qué‘S el mejor resultado que pueden esperar?

Idealmente, habría una forma de decir, oye, esta operación está en marcha, tiene las señas de identidad de este actor que hemos visto antes, y al final, el gobierno ruso diría, entiéndelo, lo cerraremos. abajo. No es solo una capa de comunicación, también es una infraestructura para tener esa comunicación. Son las personas que se conocen las que tienen una comunicación, es la aceptación de la atribución básica, y luego es la confianza la que se cerrará.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *