Estrategia internacional para el ciberespacio. Parte II
...Continuación
Nos detendremos aquí con un esfuerzo interesante de adaptación. Encontramos así, una vez más, una iniciativa para el respeto de los principios de neutralidad (en particular con la asociación de los tres primeros puntos). Los diferentes actores de los estados son también ampliamente promovidos en coherencia con el primer informe de EWI, particularmente en el seno de la Governance Internet. Podríamos replicar, no obstante, a los Estados Unidos de comenzar por "barrer" en su propia casa; porque un Estado es particularmente muy "poderoso" en el seno de la Governance, ellos lo saben bien…
Habiendo definido así lo que debería ser el futuro ecosistema del ciberespacio, los Estados Unidos entonces desarrollan las principales líneas de acción a nivel: diplomático, de defensa, de desarrollo.
A nivel diplomático, el acento está puesto sobre las colaboraciones y la creación de un medio ambiente en el seno del cual será obtenido un consenso, así como desarrollos de medidas de incentivo, permitiendo orientar (hacer crecer) a terceros países hacia el desarrollo y la implementación de medidas susceptibles de alcanzar un status final: un ciberespacio abierto e interoperable…
En otro orden de ideas, también podemos leer la fuerte voluntad del país de dotar de medios de disuasión (intimidación) o deterrence (disuasión en el sentido actual) que permiten incitar a forzar a los estados belicosos a no cometer acciones ofensivas sobre o contra las redes.
También notamos que el país se reserva el derecho de defender sus infraestructuras vitales (en este caso las redes, las telecomunicaciones) por medios de distintas maneras. La disuasión aquí es entendida en el sentido tomado por el subsecretario de Estado para la defensa, William Lynn, que en un artículo, describía a ésta como el fortalecimiento de las capacidades de defensa informática a punto tal que todo ataque se haría demasiado costoso, casi imposible.
La “deterrence” [disuasión] es realmente concebida aquí como un conjunto de métodos que permiten hacerle ver al agresor que el costo de un ataque informático de envergadura excederá por mucho sus eventuales beneficios. De una definición relativamente clásica, retendremos una aproximación "no estatal", es decir, una aproximación judicial del tratamiento de la criminalidad, en coherencia con el convenio de Budapest (entrado en vigor desde el 2007).
Resulta de lo expuesto una información determinante: los Estados Unidos, considerando la importancia del ciberespacio, se reserva el derecho de utilizar todos los medios (militares, económicos, diplomáticos, inteligencia) para replicar (en legítima defensa) a un ataque en el ciberespacio contra sus intereses. De manera general, los "ciberataques" contra los Estados Unidos son considerados en lo sucesivo como cualquier otra amenaza o ataque.
Precisando esto, el documento añade que las opciones militares no serán las respuestas prioritarias y que toda acción se hará con una justa medida de la evaluación costo beneficio, en particular, con respecto a las consecuencias. El documento evacúa, sin embargo, casi todas las problemáticas técnicas, salvo las referidas a algo muy delicado, la identificación real del origen de los ataques.
La acción siguiente es la construcción de una capacidad industrial apropiada que garantice la seguridad y la estabilidad. Ella se basa particularmente en el liderazgo de los Estados Unidos en materia de tecnologías y materiales de la información que, por otra parte, no dejan de suscitar algunas inquietudes estratégicas. El carácter internacional de esta proposición no hace más que sumar preguntas sobre la capacidad de los Estados Unidos para continuar imponiendo soluciones materiales e informáticas con el riesgo de perder uniformidad y de la independencia… lo que generaría una baja de la seguridad global.
En una última parte, es señalada la lista de prioridades políticas para los meses / años venideros. Nos detendremos en algunas:
A nivel económico:
Protección del secreto de las transacciones, libre intercambio, protección del derecho de propiedad y más aún, desarrollo de estándares seguros e interoperables. Lamentamos aquí que no sean citados el IETF o el ISOC cuyas acciones contribuyen a esto. Podemos comprobar a menudo que las implementaciones son falibles pero no siempre los estándares.
A nivel seguridad y protección de las redes:
Desarrollo de un activismo diplomático global para la creación de un medio ambiente apropiado que limite las acciones estatales ofensivas en el ciberespacio.
Desarrollar una capacidad internacional de gestión de los incidentes y de reacción apoyándose particularmente sobre redes del CERTs.
A nivel militar y diplomático:
Participar y desarrollar las leyes internacionales de represión contra la cibercriminalidad
Impedir a los terroristas o a los criminales utilizar el ciberespacio con fines de planificación, financiamiento o ataques. Comprobamos una aproximación más "sana" que la forma antes usada, "ciberterrorismo", que olvidaba justamente los aspectos de planificación y logística.
Proteger y desarrollar las redes militares. Desarrollar una capacidad común de defensa informática.
A nivel de la Governance Internet que es objeto de un párrafo dedicado:
Dar prioridad a la apertura y a la innovación. Garantizar la seguridad global del sistema particularmente la de los DNS y promover el carácter multiactores del sistema. Lamentamos el olvido de ciertas problemáticas de seguridad justamente "huérfanas"…
Como un signo fuerte, el documento concluye, sobre sus objetivos políticos con la preservación de la libertad en Internet, particularmente con la protección de la neutralidad, la negativa de acceso no autorizada por ley e incluso la protección de los datos personales.
Para concluir sobre esta estrategia, señalaremos un carácter único: la sorpresa, porque este documento no dejó de asombrar al autor de estas líneas. También podemos quedarnos con tres puntos esenciales. A mi parecer, el primero es el carácter ultrainternacional que corta con otras estrategias muy orientadas a la "seguridad" y marcado por una forma de repliegue. A esto se añade una profunda defensa de los intereses del uso con una promoción muy fuerte de los principios de libertad de acceso y de libre circulación de los flujos. Finalmente y en una perspectiva más militar, bastante próxima a las cuestiones tratadas por este blog, está el hecho de que Estados Unidos decide considerar a una amenaza informática como cualquier otra, lo que marca una novedad real. Por eso, este documento no permite resolver los problemas específicos de este tipo de declaración (en particular, la identificación de la fuente). Esto no impide considerar esta estrategia como una iniciativa interesante que permite crear un camino hacia un ambiente de seguridad más maduro.
Fuente: alliancegeostrategique.org por Arnaud Garrigues 17 de mayo 2011
Traducción propia.
Dejo una serie de links que aparecen en el texto y que me ayudaron en la traducción:
EWI
Home | EastWest Institute
FISMA
http://csrc.nist.gov/drivers/documents/FISMA-final.pdf
Deterrance
http://en.wikipedia.org/wiki/Deterrence_(legal)
IETF Internet Engineering Task Force
Internet Engineering Task Force
ISOC Internet Society
Internet Society (ISOC)
CERT Software Engineering Institute
Welcome to CERT
...On retiendra ici un effort d’adaptation intéressant. On y trouve ainsi, encore une fois, une initiative pour le respect des principes de neutralité (en particulier avec l’association des 3 premiers points). Les acteurs différents des états sont également largement promus en cohérence avec le premier rapport de l’EWI et notamment au sein de la Gouvernance Internet. On pourrait rétorquer toutefois aux USA de commencer par «balayer» chez eux car si un Etat est bien particulièrement «puissant» au sein de la Gouvernance, ce sont bien eux…
Ayant ainsi défini ce que devrait être le futur écosystème du cyberespace, les Etats-Unis développent alors les lignes d’actions principales au niveau: diplomatie, défense, développement.
Au niveau diplomatique, l’accent est mis sur les partenariats et la création d’un environnement au sein duquel sera acquis un consensus, ainsi que le développements de mesures incitatives, permettant d’orienter (de pousser) les Etats tiers vers le développement et l’implémentation des mesures susceptibles d’atteindre un état final: un cyberespace ouvert, interopérable…
Dans un autre ordre d’idée, on peut également lire la volonté forte du pays de se doter de moyens de dissuasion (intimidation) ou deterrence (dissuasion au sens actuel) permettant inciter de contraindre les états belliqueux à ne pas commettre d’actions offensives sur ou contre les réseaux.
On note également que le pays se réserve le droit de défendre ses infrastructures vitales (ici, les réseaux, télécommunications…) par des moyens de plusieurs natures. La dissuasion est ici entendue au sens pris le sous-secrétaire d’Etat à la Défense William Lynn, qui dans un article, décrivait celle-ci comme le renforcement des capacités de défense informatique à un tel point que toute attaque en deviendrait trop couteuse, impossible.
La deterrence est ici réellement conçue comme un ensemble de méthodes permettant de rendre certain à l’attaquant que le coût de l’attaque informatique d’envergure excédera de loin ses éventuels bénéfices. D’une définition somme toute relativement classique, on retiendra une approche « non-étatique », c’est à dire une approche judiciaire de traitement de la criminalité, en cohérence avec la convention de Budapest (entrée en vigueur depuis 2007).
S’ensuit alors une information déterminante: les Etats-Unis, considérant l’importance du cyberespace, se réserve le droit d’utiliser tous les moyens (militaires, économiques, diplomatiques, informationnel…) pour riposter (cas de la légitime défense) à une attaque dans le cyberespace contre leurs intérêts. De manière générale, les attaques «cyber» contre les Etats-Unis sont désormais considérées comme toute autre menace ou attaque.
Précisant cela, le document ajoute que les options militaires ne seront pas les réponses prioritaires et que toute action se fera avec une juste mesure du ratio coût/bénéfice et en particulier en fonction des conséquences. Le document évacue cependant complétement toutes les problématiques techniques, en particulier celles qui rendent très délicate l’identification réelle de l’origine des attaques.
L’action suivante est la construction d’une capacité industrielle propre à assurer la sécurité et la stabilité. Elle se base notamment sur le leadership des USA en matière des technologies et matériels de l’information qui, par ailleurs, n’est pas sans susciter quelques inquiétudes stratégiques. Le caractère international de ces proposition n’est pas sans poser de questions sur la capacité des Etats-Unis de continuer à imposer solutions matérielles et logicielles au risques de l’uniformité et d’une perte de l’indépendance…donc une baisse de la sécurité globale.
Dans une dernière partie, est dressée la liste des Priorités politiques pour les mois/années à venir. On en retiendra quelques-unes:
Au niveau économique:
protection du secret des transactions, libre-échange, protection du droit de propriété
plus encore, développement de standards sécurisés et interopérables. On regrette ici que ne soit pas cités l’IETF ou l’ISOC dont les actions contribuent nettement à cela. On peut constater souvent que les implémentations sont faillibles mais pas toujours les standards.
Au niveau Sécurité et protection des réseaux:
développement d’un activisme diplomatique globale pour la création d’un environnement propre à limiter les actions étatiques offensives dans le cyberespace.
développer une capacité internationale de gestion des incidents et de réaction en s’appuyant notamment sur le réseaux des CERTs.
Au niveau militaire et diplomatique:
participer et développer les lois internationales de répression contre la cybercriminalité
empêcher les terroristes ou les criminels d’utiliser le cyberespace à des fins de planification, financement ou d’attaques. On constatera une approche plus «saine» que l’ex-mode «cyberterrorisme» qui oubliait justement les aspects planification et logistique.
Mieux protéger et développer les réseaux militaires. Développer une capacité commune de défense informatique.
Au niveau de la Gouvernance Internet qui fait l’objet d’un paragraphe dédié:
Donner une priorité à l’ouverture et à l’innovation. Assurer la sécurité globale du système et notamment celle du DNS et promouvoir le caractère multi-acteurs du système. On regrettera l’oubli de certaines problématiques de sécurité justement «orphelines»…
Comme un signe fort, le document conclut, sur ses objectifs politiques avec la préservation de la liberté sur Internet, notamment avec la protection de la neutralité, le déni d’accès non autorisé par la loi ou encore la protection des données personnelles.
Pour conclure sur cette stratégie, nous retiendrons un caractère unique: la surprise car ce document n’a cessé d’étonner l’auteur de ces lignes. On peut également s’attacher à 3 points essentiels. A mon sens, le premier est le caractère ultra-international qui tranche avec les autres stratégies très orientées «sécurité» et marqué par une forme de repli. A cela s’ajoute une défense profonde des intérêts de l’usage avec une très forte promotion des principes de libertés d’accès et de libre circulation des flux. Enfin et dans une perspective plus militaire, assez proche des questions traitées par ce blog, c’est bien le fait que les USA décident de considérer une menace informatique comme n’importe quelle autre qui marque une réelle nouveauté. Pour autant, ce document ne permet pas de résoudre les problèmes spécifiques à ce type de déclaration (en particulier, l’identification de la source). Cela n’empêche pas de considérer cette stratégie comme une initiative intéressante permettant de créer un chemin vers un écosystème de sécurité plus mature.
alliancegeostrategique.org par Arnaud Garrigues 17 mai 2011
