Cuatro conclusiones de la nueva estrategia de ciberseguridad del Reino Unido: PanaTimes


Hace dos semanas, con mucha fanfarria, el Reino Unido lanzó una nueva estrategia que establece el enfoque del gobierno del Reino Unido para mejorar la seguridad cibernética del país durante los próximos cinco años.

Sigue el esfuerzo anterior del Reino Unido que se remonta a 2011 y asigna £ 1.9 mil millones ($ 2.36 mil millones) durante cinco años, duplicando la inversión anterior de £ 860 millones ($ 1 mil millones). Este nuevo plan de cinco años tiene la tarifa habitual. Identifica las amenazas y vulnerabilidades que enfrenta el Reino Unido, crea tres pilares utilizando la aliteración (defender, disuadir y desarrollar) y está lleno de lenguaje gubernamental que podría haber sido extraído de The Thick of It o Veep (“necesitamos invertir en pruebas nosotros mismos contra futuras amenazas “).

Las amenazas que identifica el Reino Unido no son sorprendentes. Destaca el ciberdelito organizado en ruso, las amenazas patrocinadas por el estado, los grupos terroristas (aunque advierte que es probable que los grupos terroristas prefieran los ataques físicos a los digitales por el momento), los hacktivistas y, curiosamente, los script kiddies. La estrategia también señala las vulnerabilidades del Reino Unido, como la proliferación de dispositivos inseguros de Internet de las cosas, la mala higiene cibernética, los sistemas heredados y sin parches, y la disponibilidad de recursos de piratería listos para usar. Estas amenazas y vulnerabilidades no son exclusivas del Reino Unido: todos los países conectados a Internet enfrentan desafíos idénticos o similares.

Hay cuatro conclusiones de la nueva estrategia.

En primer lugar, parece haber una tensión inherente entre los incentivos del mercado para estimular una mejor ciberseguridad y la regulación en todo el documento. Se pone un gran énfasis en la importancia de utilizar una combinación de intercambio de inteligencia, incentivos para estimular la creación de productos de ciberseguridad como esquemas de certificación o incentivos para crear software que sea “seguro por defecto” y utilizar al gobierno como un caso de prueba para la ciberseguridad. enfoques con la esperanza de que caigan en cascada en el sector privado. Sin embargo, la estrategia reconoce que muchos de estos mismos esfuerzos se llevaron a cabo en la iteración anterior de la estrategia, con un efecto algo limitado. La estrategia deja la puerta abierta a la regulación, pero no detalla cómo podría verse. Tampoco se menciona la directiva de seguridad de la información y las redes de la UE, que el Reino Unido todavía debe implementar técnicamente hasta que abandone formalmente la Unión Europea.

En segundo lugar, la estrategia pone un gran énfasis en tomar medidas de “defensa cibernética activa” para proteger el Reino Unido. En general, el término defensa cibernética activa ha sido sinónimo de piratería, por el cual las empresas y otros actores no gubernamentales pueden tomar represalias en el ciberespacio y es controvertido. En su estrategia, eso no es lo que defiende el Reino Unido. En cambio, la ciberdefensa activa se define como una serie de medidas técnicas, tomadas por el gobierno en cooperación con la industria (principalmente proveedores de servicios de comunicaciones), para hacer “significativamente más difícil atacar los servicios y usuarios de Internet del Reino Unido”. Las medidas técnicas incluyen filtrado de DNS, coordinación de eliminación de botnets, DMARC y otros métodos para reducir el phishing, los ataques de intermediarios y los secuestros del Protocolo de puerta de enlace fronteriza. Si tiene una mentalidad técnica, puede leer más sobre el enfoque de defensa activa del Reino Unido aquí.

En tercer lugar, el Reino Unido, como muchos otros países, parece estar más abierto a recurrir al uso de operaciones cibernéticas ofensivas para proteger y defender sus intereses. Hace cinco años, los países detestaban hablar abiertamente sobre las capacidades cibernéticas ofensivas, y muchos solo se referían a las capacidades defensivas en lo que se podía deducir de la doctrina oficial. Ahora, el Reino Unido está abierto a la necesidad de invertir en su Programa Cibernético Ofensivo Nacional para garantizar que las capacidades del Reino Unido “se puedan implementar en el momento y lugar” que elija.

La estrategia también deja en claro que el Reino Unido atribuirá públicamente los incidentes cibernéticos patrocinados por el estado cuando “lo juzguemos en el interés nacional”. A diferencia de Estados Unidos, Alemania, Canadá, Corea del Sur y otros, el Reino Unido aún no ha acusado públicamente a un estado de estar detrás de un incidente cibernético específico. Quizás la nueva estrategia indique que los funcionarios del Reino Unido estarán más abiertos a nombrar y avergonzar como parte de sus esfuerzos de disuasión cibernética.

Cuarto, la estrategia hace explícito el deseo del Reino Unido de desarrollar capacidades criptográficas soberanas, “desarrolladas en el Reino Unido por ciudadanos británicos”. Esto genera un montón de preguntas. ¿El Reino Unido no confía en las criptomonedas defendidas por sus otros socios de Five Eyes o en los organismos de estandarización? ¿Es una respuesta al supuesto debilitamiento por parte de la NSA de un estándar de cifrado ampliamente utilizado que salió a la luz como resultado de Edward Snowden? ¿Está el Reino Unido tratando de estimular el desarrollo de criptomonedas que puedan ser descifradas por las fuerzas del orden para solucionar el problema de “apagarse”?

Como ocurre con cualquier documento de estrategia gubernamental, su implementación determinará su efectividad. Gran parte de la estrategia se basa en el desarrollo de las capacidades gubernamentales con la esperanza de que el sector privado del Reino Unido se apropie descaradamente de las mejores ideas y enfoques. La ciberseguridad es probablemente una de las pocas áreas donde el plagio se celebra, no se desaprueba.

.



Source link