Los comentaristas cibernéticos han dado una cautelosa bienvenida al discurso de la fiscal general del Reino Unido, Suella Braverman, pronunciado ante el grupo de expertos de Chatham House, en el que expuso la posición del gobierno sobre la aplicación del derecho internacional al ciberespacio, en el contexto de la ciberseguridad. guerra, espionaje y otras intrusiones respaldadas por el estado.
En su discurso, Braverman expuso sus pensamientos sobre cómo se podría aplicar el derecho internacional en el ciberespacio y pidió a los gobiernos que se unan para establecer un marco legal apropiado y claro. Esto se ha interpretado como una señal de que, en algunas circunstancias, lanzar ataques cibernéticos contra países hostiles podría considerarse justificado y lícito.
“El objetivo del Reino Unido es garantizar que las fronteras futuras evolucionen de una manera que refleje nuestros valores e intereses democráticos y los de nuestros aliados”, dijo. “Queremos aprovechar el aumento del activismo de estados afines en lo que respecta a la gobernanza cibernética internacional.
“Esto incluye asegurarse de que el marco legal se aplique correctamente, para proteger el ejercicio de los poderes derivados del principio de soberanía estatal, al que este gobierno otorga gran importancia, de la coerción externa de otros estados.
“La ley debe ser clara y bien entendida si se quiere que sea parte de un marco para regir las relaciones internacionales y frenar el comportamiento cibernético irresponsable. Establecer más detalles sobre lo que constituye una actividad ilegal por parte de los estados brindará una mayor claridad sobre cuándo se justifican ciertos tipos de medidas sólidas en respuesta”.
El principio de no intervención es crucial
Como se informó anteriormente, Braverman dijo que las leyes internacionales establecidas sobre la no intervención tienen un papel importante que desempeñar en el establecimiento del futuro panorama legislativo para la cibernética.
“Según la Corte [the International Court of Justice] en ese caso, todos los estados o grupos de estados tienen prohibido intervenir, directa o indirectamente, en los asuntos internos o externos de otros estados. Por lo tanto, una intervención prohibida debe ser aquella que se refiera a asuntos en los que cada Estado puede, por el principio de soberanía estatal, decidir libremente”, dijo.
“Uno de ellos es la elección de un sistema político, económico, social y cultural, y la formulación de la política exterior. La intervención es ilícita cuando utiliza métodos de coerción con respecto a tales elecciones, que deben seguir siendo libres.
“La posición del Reino Unido es que la regla de no intervención proporciona una base claramente establecida en el derecho internacional para evaluar la legalidad de la conducta estatal en el ciberespacio durante tiempos de paz”.
Respuestas apropiadas
Braverman dijo que esta regla podría servir como punto de referencia para evaluar la legalidad, hacer que los responsables rindan cuentas y, lo que es más importante, calibrar las respuestas apropiadas.
Explicó que esta regla podría ser particularmente importante en el ciberespacio por dos razones: primero porque se encuentra en el corazón del derecho internacional y protege asuntos fundamentales relacionados con la soberanía de un país; segundo porque, gracias a la prevalencia de los ataques cibernéticos respaldados por el estado que caen por debajo del umbral del uso de la fuerza (o en sus márgenes), se vuelve clave para permitir que los países definan el comportamiento como ilegal.
En términos de cómo podría funcionar esta regla en un contexto cibernético, Braverman dijo que era necesario centrarse en los tipos de comportamientos “coercitivos y disruptivos” que los países pueden acordar que son ilegales. Esto podría incluir ataques al suministro de energía, la atención médica, la estabilidad económica (es decir, el sistema financiero) o los procesos democráticos. Entonces será posible establecer el rango de opciones potenciales que pueden tomarse como una respuesta proporcionada.
Aunque gran parte del contenido del discurso de Braverman se ha expuesto antes, incluido su predecesor en el cargo, Jeremy Wright, se cree que esta es la primera vez que el gobierno ha sido específico en los tipos de ataques cibernéticos que podrían justificar una respuesta. momento significativo.
Braverman dijo que había una amplia gama de opciones de respuesta efectiva en tales circunstancias, como sanciones, prohibiciones de viaje, exclusión de organismos internacionales, etc. Pero más allá de esto, dijo, un país puede responder a un acto ilegal de formas que se considerarían ilegales en circunstancias normales, es decir, realizando sus propios ataques cibernéticos.
“El Reino Unido ha dejado en claro previamente que las contramedidas están disponibles en respuesta a operaciones cibernéticas ilegales por parte de otro estado”, dijo. “También está claro que las contramedidas no necesitan ser del mismo carácter que la amenaza y podrían involucrar medios no cibernéticos, donde es la opción correcta para poner fin al comportamiento ilegal en el ciberespacio.
“La Fuerza Cibernética Nacional reúne por primera vez al personal de inteligencia y defensa en esta área bajo un comando unificado. Puede realizar operaciones cibernéticas ofensivas: medidas flexibles y escalables para cumplir con una amplia gama de requisitos operativos. Y, lo que es más importante, la Fuerza Cibernética Nacional opera bajo un marco legal establecido. A diferencia de algunos de nuestros adversarios, respeta el derecho internacional. Es importante que los estados democráticos puedan aprovechar legalmente las capacidades de la ciberofensiva, y que su operación no se limite a aquellos Estados que se contentan con actuar de manera irresponsable o con causar daño”.
Linea en la arena
Oliver Pinson-Roxburgh, director ejecutivo de Defense.com, estuvo entre los que expresaron su apoyo a las ideas establecidas por el fiscal general.
“Este discurso es una línea importante en la arena sobre los estándares de seguridad apropiados en el ciberespacio”, dijo. “Vivimos en una era de amenazas en evolución y sin precedentes, con actores de amenazas capaces de implementar métodos de ataque automatizados para operar al ritmo y a escala.
“Al enfrentarse a un panorama de amenazas en expansión, donde los actores individuales que buscan ganancias financieras se mezclan con la disrupción geopolítica favorecida por los actores del estado nación, las empresas necesitan este tipo de claridad por parte del gobierno para ayudarlos a monitorear y responder a las amenazas cuando ocurren.
“Fue bienvenido escuchar al fiscal general destacar la responsabilidad del sector público y privado para mantener la resiliencia cibernética”, agregó Pinson-Roxburgh. “Las empresas no pueden confiar completamente en los informes y la inteligencia proporcionados por el NCSC. Los actores hostiles buscarán vulnerabilidades en cualquier organización, grande o pequeña.
“Hay pasos rápidos y sencillos que las empresas pueden tomar para desarrollar un enfoque de extremo a extremo para la seguridad cibernética, desde las mejores prácticas de contraseñas para el personal, hasta lo último en tecnología de monitoreo y escaneo de vulnerabilidades. A medida que evoluciona la legislación para el ciberespacio, las empresas pueden buscar expertos en seguridad cibernética subcontratados para ayudarlos a comprender las últimas directivas y comprender cómo cumplirlas”.
Keiron Holyome, vicepresidente de Blackberry para el Reino Unido e Irlanda, Medio Oriente y África, también habló en apoyo de las ambiciones del gobierno y describió la guerra cibernética como una “amenaza formidable” tanto para las empresas como para las instituciones del Reino Unido.
“Es correcto que se rija por la legislación internacional”, dijo. “Mientras los gobiernos trabajan en una convención de Ginebra para el ciberespacio, nuestra infraestructura crítica y nuestras empresas se enfrentan a una amenaza diaria”.
Sin embargo, agregó, era igual de importante no perder de vista la gran cantidad de estrategias, habilidades y tecnologías que ya existen y que pueden prevenir los ataques antes de que se ejecuten.
“La búsqueda continua de amenazas, la implementación de controles automatizados, las pruebas proactivas y la protección de cada punto final son posibles con un enfoque de prevención primero”, dijo Holyome. “Comienza con un entorno de confianza cero: ningún usuario puede acceder a nada hasta que demuestre quién es, que su acceso está autorizado y que no está actuando maliciosamente.
“La mejor manera en que las organizaciones del Reino Unido pueden defenderse frente a la guerra cibernética es ser más proactivos y menos reactivos en su estrategia de protección, implementando defensa informada sobre amenazas y servicios administrados para contrarrestar los desafíos de recursos y habilidades dominantes. Al construir un fuerte bastión de seguridad preventiva, las organizaciones pueden aumentar su resiliencia frente a la ciberamenaza global”.
Exigencia exagerada
Steve Cottrell, director de tecnología de EMEA en Vectra AI, dijo: “Si bien es extremadamente positivo que el gobierno del Reino Unido esté buscando oportunidades para brindar claridad en esta área, es difícil ver cómo se puede lograr algo significativo sin un consenso internacional generalizado y alineación legislativa. .
“Los ataques cibernéticos con frecuencia cruzan las fronteras internacionales y, a menudo, son perpetrados desde países que toleran o fomentan abiertamente los ataques, ya que sirven a sus intereses políticos más amplios.
“Además, existe un desafío cuando se trata de actividades que podrían clasificarse como espionaje estatal, ya que no están explícitamente prohibidas por el derecho internacional”, dijo. “Es probable que la geopolítica continúe siendo el principal catalizador de los ataques cibernéticos contra naciones y organizaciones en el futuro previsible, y es clave que los defensores de la seguridad se mantengan alerta ante el panorama cambiante de las amenazas cibernéticas”.
Ismael Valenzuela, vicepresidente de investigación e inteligencia de amenazas de Blackberry, dijo: “Establecer reglas para el conflicto cibernético y definir respuestas justificadas es una tarea difícil. Si bien esta definición del derecho internacional en el ciberespacio es un desarrollo admirable y necesario que muestra la importancia de la seguridad cibernética para los estados nacionales, las organizaciones públicas y privadas deben continuar priorizando la mejora de su postura defensiva proactiva frente a los ataques cibernéticos”.
