Sí, puede pedir una casa pequeña de contenedor de envío en Amazon
Mar 06, 20239 casas de contenedores baratas y eficientes que puedes comprar en Amazon
Mar 08, 2023Diga adiós al desorden con estas 38 opciones de almacenamiento Genius
Mar 10, 2023Niña que no podía entrar en un refugio de Kiev muere en un ataque en Rusia, Zelensky exige un cambio
Mar 12, 2023Cosas brillantes para su hogar con las calificaciones más altas de Amazon que nunca supo que existían
Mar 14, 2023Veinte
Nota del editor: este artículo es el primero de una serie de dos partes sobre las políticas de ciberseguridad de la Casa Blanca. La parte 2 de esta serie se publicará en los próximos días.
Hace veinticinco años, el 22 de mayo de 1998, la administración Clinton publicó la primera política cibernética nacional de la Casa Blanca: la Decisión Presidencial 63 (PDD 63). El 2 de marzo de 2023, la administración Biden publicó la última estrategia cibernética de la Casa Blanca, la Estrategia Nacional de Ciberseguridad (NCS).
En comparación con otros problemas nacionales persistentes, como el cambio climático o la inmigración, este artículo destaca un amplio consenso sobre políticas cibernéticas en tres administraciones demócratas y dos republicanas. Las nuevas administraciones no han derribado las iniciativas de sus antecesores; más bien, cada Casa Blanca se ha basado en ellos y los ha refinado. Sin embargo, hay una desventaja en este consenso y trabajo en equipo. A pesar de las diversas iteraciones de estrategias cibernéticas (y el esfuerzo de quienes trabajaron para crearlas e implementarlas) a lo largo de los años, muchos de los problemas cibernéticos subyacentes que enfrenta Estados Unidos hoy en día son peores que en 1998. En consecuencia, algo debe cambiar si la El impacto de esta estrategia va a ser diferente.
La comparación de la nueva estrategia con las de las últimas décadas destaca cómo ha cambiado la política cibernética de EE. UU. y dónde esta estrategia representa más la continuidad o el cambio. Los temas de comparación más importantes son la promesa y las amenazas del ciberespacio, lograr que los mercados brinden seguridad, las asociaciones entre los sectores público y privado y contrarrestar a los adversarios.
Concepto Estratégico y Priorización
El cambio más importante en el nuevo NCS (que ayudé a redactar como representante del gobierno) no son las acciones que acaparan los titulares, como la regulación (mencionada a continuación), sino aquellas que establecen un concepto estratégico real en lugar de solo una lista de artículos necesarios. comportamiento.
Los conceptos estratégicos reales deben ser simples y breves. La estrategia de la Guerra Fría de EE. UU. fue una sola palabra (contención). La estrategia de contrainsurgencia del Ejército podría resumirse en una frase simple (más o menos, para ganar corazones y mentes). Además, un concepto estratégico debe ser ampliable, es decir, los profesionales pueden tomar la idea estratégica básica y desarrollarla para desarrollar objetivos más profundos en línea con el concepto establecido. Ambos también son negables, de modo que un crítico puede argumentar que no, no "corazones y mentes", sino "matar a los insurgentes". Juntos, estos esfuerzos impulsan las prioridades, de modo que la burocracia, cuando se enfrenta a prioridades en competencia que mejoran la seguridad cibernética, puede decidir en cuáles invertir más y cuáles desaprobar.
Las estrategias cibernéticas anteriores de EE. UU. carecían de cualquier concepto estratégico expansible y negable. En gran medida han sido solo listas de acciones, con poca conexión y con pocas formas de priorizar entre ellas. Por ejemplo, la Estrategia Nacional para la Seguridad del Ciberespacio (2003) del presidente George W. Bush tenía tres objetivos estratégicos: prevenir ataques cibernéticos, reducir la vulnerabilidad nacional y minimizar los daños y el tiempo de recuperación, pero no indicaba cuál de los tres era más importante.
En consecuencia, el NCS abre nuevos caminos al pedir dos turnos y una teoría del cambio. El NCS primero exige un cambio de las cargas de los usuarios finales a los "actores cibernéticos más capaces y mejor posicionados" que son los más capaces de realizar mejoras de ciberseguridad a escala. Más específicamente, la estrategia tiene como objetivo transferir la responsabilidad de defenderse contra los ataques cibernéticos de las pequeñas empresas y los usuarios independientes, por ejemplo, al gobierno federal. El segundo cambio exige un cambio para realinear los incentivos para inversiones a más largo plazo. En otras palabras, los recursos federales deben reasignarse y dirigirse a obtener dos malvaviscos mañana en lugar de solo uno hoy.
La teoría del cambio que subyace a los dos cambios anteriores es el apalancamiento. La inversión más pequeña de recursos, el cambio más pequeño, "producirá las mayores ganancias en defensa y resiliencia sistémica". Este énfasis en el apalancamiento, tomado del Grupo de Trabajo Cibernético de Nueva York, debería ayudar a impulsar elecciones difíciles de decisiones de inversión.
Promesas y amenazas del ciberespacio
Los documentos de la Casa Blanca de los últimos 25 años presentan la tensión entre la promesa de nuevas tecnologías de la información para los Estados Unidos y sus correspondientes peligros.
Si bien el PDD 63 (1998) inició esta tendencia, el Plan Nacional para la Protección de los Sistemas de Información de 2000 la delineó más claramente, comenzando con el primer párrafo del "Mensaje del Presidente", que es esencialmente el inmueble más costoso para texto en cualquier documento del gobierno de EE. UU.:
En menos de una generación, la revolución de la información y la introducción de la computadora en prácticamente todas las dimensiones de nuestra sociedad ha cambiado la forma en que funciona nuestra economía, cómo brindamos seguridad nacional y cómo estructuramos nuestra vida cotidiana. … Sin embargo, esta nueva era de promesa conlleva peligros. Todos los sistemas controlados por computadora son vulnerables a la intrusión y la destrucción. Un ataque concertado a las computadoras de cualquiera de nuestros sectores económicos clave o agencias gubernamentales podría tener efectos catastróficos [sic].
Todos los presidentes desde entonces han usado un lenguaje generalmente similar en su mensaje personal para cubrir este dilema de promesa/peligro para impulsar un enfoque en la seguridad cibernética.
Mientras que la Estrategia Nacional para Asegurar el Ciberespacio (2003) del presidente Bush enmarcó el problema de manera similar al PDD 63, la Revisión de Seguridad Cibernética del presidente Barack Obama (2009) atribuye la culpa de la seguridad deficiente al "amplio alcance de una infraestructura digital flexible y ligeramente regulada".
Comparativamente, la Estrategia Cibernética Nacional del presidente Donald Trump (2018) reconoció el dilema promesa/peligro pero enfatizó adversarios maliciosos e implacables en lugar de la vulnerabilidad estadounidense. Excepcionalmente para tal estrategia, en la introducción de su estrategia para 2023, el presidente Joe Biden casi elude la mitad del dilema del "peligro", enfocándose no en las amenazas sino en las oportunidades si Estados Unidos tiene la seguridad correcta:
La tecnología digital actual toca casi todos los aspectos de la vida estadounidense. … Esta [estrategia detalla el enfoque] para proteger mejor el ciberespacio y garantizar que Estados Unidos esté en la posición más sólida posible para aprovechar los beneficios y el potencial de nuestro futuro digital.
Durante 25 años, los presidentes han reconocido las increíbles ventajas de una sociedad y una economía conectadas, pero también han lamentado los peligros. Incluso con ese amplio consenso en el reconocimiento del problema (especialmente en comparación con, digamos, el racismo sistémico o el cambio climático), parece que se ha avanzado poco, ya que las estrategias posteriores lamentan las mismas preocupaciones.
Hacer que los mercados funcionen
¿Se mejora mejor la seguridad cibernética dejando que los mercados funcionen o, si los mercados han fallado, mediante la regulación? Este ha sido el debate más polémico en política cibernética y es donde la estrategia de Biden hace la ruptura más limpia con las políticas anteriores de la Casa Blanca.
Hasta la nueva estrategia, las posiciones de las administraciones anteriores sobre los mercados y las regulaciones se mantuvieron generalmente consistentes desde que se establecieron por primera vez hace 25 años en el PDD 63:
Los incentivos que brinda el mercado son la primera opción para abordar el problema de protección de infraestructura crítica; la regulación se utilizará solo ante una falla material del mercado para proteger la salud, la seguridad o el bienestar del pueblo estadounidense.
La Estrategia Nacional para la Seguridad del Ciberespacio de 2003 reiteró este enfoque dependiente del mercado (o tal vez tímido con las regulaciones):
La regulación federal no se convertirá en un medio principal para asegurar el ciberespacio. Las regulaciones amplias que exigen cómo todas las corporaciones deben configurar sus sistemas de información podrían desviar esfuerzos más exitosos al crear un enfoque de mínimo común denominador para la seguridad cibernética, que la tecnología en evolución marginaría rápidamente. … Por ley, algunas agencias reguladoras federales ya incluyen consideraciones de seguridad cibernética en su actividad de supervisión. Sin embargo, se espera que el propio mercado proporcione el mayor impulso para mejorar la ciberseguridad.
A pesar de llamar a la "infraestructura digital laxa y ligeramente regulada" como un factor clave que impulsa la mala seguridad, la revisión de Obama tenía poco que decir sobre los mercados y la regulación. Más allá de algunos llamados a la notificación obligatoria de incidentes cibernéticos, la atención se centró en gran medida en los incentivos para mejorar el funcionamiento de los mercados, no en la regulación de donde habían fallado.
La estrategia de Trump, a su vez, evitó abordar directamente si ha habido una falla de mercado para la cual se necesita regulación. Sin embargo, la estrategia presenta varios objetivos para mejorar el mercado, como promover "mejores prácticas y desarrollar estrategias para superar las barreras del mercado a la adopción de tecnologías seguras" y mejorar "la conciencia y la transparencia de las prácticas de ciberseguridad para generar demanda en el mercado". para productos y servicios más seguros".
Por el contrario, la estrategia de Biden afirma al menos cinco veces que los mercados han fallado. La primera acción importante de la estrategia, el objetivo estratégico 1.1, exige más regulación:
Si bien los enfoques voluntarios para la seguridad de la infraestructura crítica han producido mejoras significativas, la falta de requisitos obligatorios ha dado lugar a resultados inadecuados e inconsistentes. El mercado actual recompensa de manera insuficiente, ya veces pone en desventaja, a los propietarios y operadores de infraestructura crítica que invierten en medidas proactivas para prevenir o mitigar los efectos de los incidentes cibernéticos. La regulación puede nivelar el campo de juego, permitiendo una competencia sana sin sacrificar la ciberseguridad o la resiliencia operativa.
El papel de la regulación es uno de los pocos temas de política cibernética que muestra esta división partidista. Las estrategias de las administraciones republicanas argumentan que las nuevas regulaciones empeoran el problema o no las mencionan en absoluto. Las administraciones democráticas reconocen que los mercados pueden fallar, o lo han hecho, y por lo tanto es necesario actuar. En particular, la diferencia entre las estrategias de Biden y Bush difícilmente podría ser una descripción más clara del problema y la solución.
Asociaciones Público-Privadas
Cada estrategia durante 25 años ha presentado asociaciones público-privadas. Aunque la estrategia de Biden va mucho más allá que las estrategias anteriores, es una diferencia solo en escala y tono más que en tipo.
El PDD 63 marcó la pauta para una asociación público-privada, argumentando que "[d]ado que los objetivos de los ataques a nuestra infraestructura crítica probablemente incluirían tanto instalaciones en la economía como aquellas en el gobierno, la eliminación de nuestra vulnerabilidad potencial requiere una estrecha esfuerzo coordinado tanto del gobierno como del sector privado".
Aunque el PDD 63 pedía una "asociación", las nuevas organizaciones y procesos que pedía se referían al intercambio de información, no a la colaboración operativa, y a menudo parecía que el gobierno federal se veía a sí mismo como el primero entre iguales. Después de todo, era una asociación público-privada y no público-privada.
Pero el intercambio de información nunca iba a ser suficiente por sí solo. Los equipos exitosos comparten información mientras luchan juntos por objetivos comunes en lugar de centrarse predominantemente en compartir información. En consecuencia, las estrategias posteriores van más allá del mero compartir.
La Revisión de seguridad cibernética de Obama separó el intercambio de información de las asociaciones, incluso para la planificación colectiva (pero no la acción colectiva). Si bien diagnosticó muchos problemas con el intercambio y las asociaciones y las recomendaciones coincidentes, la revisión no fue clara acerca de los objetivos de tales asociaciones, aparte de algunas excepciones, como el desarrollo de una imagen operativa común.
La Estrategia Cibernética Nacional de 2018 todavía presentaba el intercambio de información y solo mencionaba vagamente las asociaciones, tal vez con un elemento condescendiente. Dado que las empresas de tecnología de la información y las comunicaciones (TIC) se encuentran en una "posición única para detectar, prevenir y mitigar el riesgo antes de que afecte a sus clientes[,]... el gobierno federal debe trabajar con estos proveedores para mejorar la seguridad y la resiliencia de las TIC de forma específica y manera eficiente." Esto caracteriza a las asociaciones federales como el gobierno que le dice al sector privado "permítanos ayudarlo a hacer su trabajo" en lugar de reconocerlo como un verdadero socio.
En comparación, el tono de la Estrategia Nacional de Seguridad Cibernética de Biden fue establecido desde el principio por Chris Inglis, el director cibernético nacional inaugural, quien tenía una visión marcadamente diferente. Entendió que la relación público-privada se extendía mucho más allá del mero intercambio de información y hacia la acción colectiva, no solo socios sino aliados. En su opinión, el gobierno de EE. UU. necesitaba estar "hombro con hombro" con el sector privado para que los adversarios tuvieran que "golpearnos a todos para vencer a uno de nosotros". En consecuencia, la estrategia exige una "red de redes que cree conciencia situacional e impulse la acción colectiva y sincronizada entre los ciberdefensores".
Construir hacia este objetivo más amplio para la colaboración operativa aprovecha una fortaleza estadounidense perdurable: aprovechar el sector privado. Ninguno de los adversarios autoritarios de Estados Unidos, que asfixian o controlan su sector privado, puede igualar esta ventaja. Las empresas de TIC aportan una experiencia única en la materia, agilidad y la capacidad de transformar directamente el ciberespacio para mejorar la seguridad. Como entidades privadas, pueden tomar las medidas que deseen, siempre que no estén específicamente prohibidas por la ley, lo contrario de lo que se aplica al gobierno de los EE. UU., que solo puede hacer lo que está específicamente autorizado. A pesar de los focos de excelencia, el gobierno generalmente no tiene la capacidad de igualar estas fortalezas que disfruta el sector privado.
Más bien, el gobierno de EE. UU. tiene otras fortalezas: presunta legitimidad; presupuestos sustanciales y, con eso, la capacidad de mantenerse enfocado en los problemas durante años, incluso si no es rentable; y acceso a otras palancas de poder, incluyendo las más coercitivas, hasta arrestos y uso de fuerza letal.
El esfuerzo por alinear estas fortalezas llevará años, si no décadas, ya que el gobierno de EE. UU. y el sector privado trabajan con diferentes métodos ya diferentes velocidades. Incluso cuando sus intereses se alinean, todavía es difícil sincronizarlos.
Contrarrestar adversarios
Las primeras estrategias no incluían ninguna acción específica para contrarrestar a los adversarios; se centraron casi por completo en acciones defensivas, aparte quizás de algunas referencias a la disuasión. Con el tiempo, las estrategias sucesivas agregaron más acciones para abordar a los atacantes.
La principal mención de los adversarios del PDD 63 fue bastante limitada y pasiva: Dado que "los futuros enemigos... pueden tratar de dañarnos de formas no tradicionales", el gobierno debe mejorar la "recopilación y el análisis de información sobre la amenaza de guerra de información/cibernética extranjera para nuestros ciudadanos críticos". infraestructura." No se mencionó la interrupción o el desmantelamiento de su infraestructura. De hecho, apenas se menciona al Departamento de Defensa, y la disuasión fue una misión del Departamento de Justicia para "responder a los delitos informáticos cometidos por menores".
La estrategia de Bush de 2003 tenía objetivos un poco más activos, como "[r]educir las amenazas y disuadir a los actores maliciosos a través de programas efectivos para identificarlos y castigarlos" y pedía "contrarrestar" los ataques, posiblemente desarrollando nuevas capacidades para "disuadir a aquellos con la capacidades y la intención de dañar nuestras infraestructuras críticas". A pesar de que esta estrategia incluía la primera declaración cibernética (que cuando es atacado, "Estados Unidos se reserva el derecho de responder de manera apropiada"), contrarrestar a los adversarios simplemente no era un enfoque principal de la estrategia.
El enfoque más fuerte de la administración Bush salió a la luz más tarde, en la Iniciativa Cibernética Nacional Integral (CNCI) clasificada de la Directiva Presidencial de Seguridad Nacional-54/Directiva Presidencial de Seguridad Nacional-23. Emitido en enero de 2008, menos de dos semanas antes de la toma de posesión de Obama, el CNCI incluyó el primer llamado conocido de la Casa Blanca para usar fuerzas cibernéticas ofensivas con fines defensivos, pidiendo una "estrategia integral y coordinada para disuadir la interferencia y los ataques en el ciberespacio" y una plan coordinado "para la coordinación y aplicación de capacidades ofensivas para defender los sistemas de información estadounidenses". Una vez que el presidente Obama estuvo en el cargo, su administración adoptó la estrategia.
La estrategia de la administración Trump en 2018 estuvo marcadamente más enfocada en los adversarios. Por ejemplo, la subsección "cómo llegamos aquí" de la introducción se enfoca en los ataques maliciosos de los adversarios, en lugar de las vulnerabilidades de los EE. UU., como lo hizo en las estrategias de las administraciones anteriores. En consecuencia, hay un subpilar dedicado a tareas para "[i]ndentificar, contrarrestar, interrumpir, degradar y disuadir comportamientos en el ciberespacio que sean desestabilizadores y contrarios a los intereses nacionales, al tiempo que se preserva la superioridad de Estados Unidos en y a través del ciberespacio".
Si bien la estrategia de Biden conserva un enfoque más tradicional en la vulnerabilidad de los EE. UU. como el principal problema a resolver, va más allá que cualquier estrategia anterior al pedir que los adversarios se enfrenten activamente. Mientras que la estrategia de Trump, que aparentemente está más enfocada en desbaratar a los adversarios, lo incluye solo como un pilar secundario, dedicando una página de 40 al tema, la estrategia de Biden lo eleva a un pilar completo y dedica cinco páginas y media. de 35 a ella.
El NCS de Biden compromete a Estados Unidos a:
usar todos los instrumentos del poder nacional para interrumpir y desmantelar a los actores amenazantes cuyas acciones amenazan nuestros intereses[.]... Nuestro objetivo es hacer que los actores maliciosos sean incapaces de montar campañas cibernéticas sostenidas que amenazarían la seguridad nacional o la seguridad pública de los Estados Unidos.
Contrarrestar a los adversarios, a diferencia del uso de la regulación, ha pasado de ser una acción clasificada entre muchas a una sabiduría aceptada y una prioridad política bipartidista.
De pie sobre los hombros
La estrategia 2023 hace una cosa más bien, y de manera diferente: dice específicamente que tiene sus raíces en las muchas estrategias anteriores de la Casa Blanca republicana y demócrata, incluidas las resumidas anteriormente. La estrategia "reemplaza la Estrategia Cibernética Nacional de 2018 pero continúa con muchas de sus prioridades" y "lleva adelante y evoluciona muchos de los esfuerzos estratégicos iniciados" por CNCI.
Esto no solo indica respeto por los empleados de la Casa Blanca que estuvieron antes, sino que también reconoce que los desafíos son de larga data. Los autores de esas primeras estrategias nunca esperaron que el éxito tomara más de 25 años (PDD 63 exigía el éxito "a más tardar cinco años a partir de hoy"), pero aquí estamos.
Con los cambios importantes en la Estrategia Nacional de Ciberseguridad 2023, y el plan de implementación que se está redactando actualmente en la Oficina del Director Nacional de Cibernética, con suerte, el éxito no tardará otros 25 años.
Tal Mimran Lior Weinstein Sam Keller Stephen Coulthart Michael D. Young Herb Lin Daniel Byman Chongyang Gao Chris Meserole VS Subrahmanian Sean O'Brien Scott Shapiro Benjamin Wittes