Mesa de trabajo “Ciberdefensa”

Compartir
Facebook Twitter Copiar enlace WhatsApp LinkedIn

Subgrupo 3

  • Moderadora: Natalia Salazar, Agesic.
  • Relatora: Sofía Lopes, Mauro Parada, ICD.
  • Participaron 12 (doce) personas de 8 (ocho) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.

Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa 

Antes de pasar a los objetivos propiamente dichos, se sugirió realizar cambios a los dos párrafos que aparecen como preámbulo del pilar de Ciberdefensa. En general, todos los cambios se decidieron por consenso; en caso de que una propuesta haya causado debate y falta de aprobación por todos o gran parte de los participantes, se detallará. 

Párrafo 1 

  • Eliminar “Como ya ha ocurrido en países de nuestra región”: no les parece que aporte nada al pilar o a la ENC en general. 

  • Definir “infraestructuras de información crítica”: Es importante saber qué se entiende por “infraestructuras de información crítica” mediante una definición única. No se profundizó en esto porque los participantes de la mesa entendían que el mismo reclamo surgió de la mesa que trató el tema de infraestructuras críticas de forma específica. 

  • Mayor claridad para “que afecte a la sociedad en su conjunto”: Falta de claridad en el impacto que llevaría a afectar a la sociedad en su conjunto. Se considera que puede haber consecuencias críticas para cierto sector de la sociedad pero no necesariamente representan el conjunto. Tiene que haber un umbral de impacto para saber cómo definirlo y poder ubicar un límite; se sugieren los siguientes umbrales: medir el impacto en base a un porcentaje de la población, sobre el porcentaje de cierta actividad o servicio esencial, o en base a porcentaje del PBI afectado. A la vez, previo a definir el umbral hay que definir un catálogo de la sociedad, que podría dividirse de forma sectorial. 

  • Cambiar “grupos cibercriminales” por “actores del ciberespacio”: 

  • Quien tiene responsabilidad sobre las cuestiones criminales es el Ministerio del Interior, por lo que “grupos cibercriminales” acota la posibilidad de que haya otros actores responsables, como Defensa. “Actores del ciberespacio” es más general, pero es fundamental definir las responsabilidades de cada actor para saber cuándo debe de actuar cada uno. 

  • “Grupos cibercriminales” implica que el crimen siempre se comete por parte de grupos, cuando no siempre es el caso, pudiendo ser un solo individuo o varios individuos no organizados. “Actores del ciberespacio” contempla todo tipo de actores, ya sean grupos o individuos.  

  • Eliminar “coordinada”: No hay forma de saber si la acción es coordinada; se requeriría de una investigación. Además, la acción puede que no sea voluntaria, dándose como un accidente. 

  • Terminar el párrafo en “la sociedad en su conjunto”, eliminando “como consecuencia de una acción coordinada, ejecutada por grupos cibercriminales”. Otros cambios propuestos dejarían este último fragmento en “como consecuencia de una acción, ejecutada por actores del ciberespacio”. Se debatió sobre este cambio y no se llegó a un acuerdo: 

  • Argumentos a favor de que el párrafo termine en “la sociedad en su conjunto”: El final “como consecuencia de una acción, ejecutada por actores del ciberespacio” solo suma la idea de “ciberespacio”, lo cual no convenció de que valiera la pena, ya que lo encuentran repetitivo al entenderse en el marco de la Estrategia en su conjunto. Además, especificar “ciberespacio” podría eliminar cuestiones de ciberdefensa que se mezclan también con el ámbito físico. 

  • Argumentos a favor de que el párrafo termine en “como consecuencia de una acción, ejecutada por actores del ciberespacio”: “Ciberespacio” tiene que encontrarse escrito de forma explícita, porque, si no se menciona, se pasa al ámbito físico también. Con esta especificación, claramente se entiende que para activar la ciberdefensa, la acción tiene que producirse en el ciberespacio. Vale aclarar que esto no implica que lo físico queda por fuera, porque el impacto puede estar en lo físico o el disparador de la falla puede ser físico; pero sí descarta acciones que existen en lo físico y no son del ciberespacio en absoluto  

En suma, en base a las diferentes propuestas, el primer párrafo de Ciberdefensa cambiaría a dos posibles maneras, considerando el último debate: 

  1. “Nuestro país deberá estar preparado para responder ante un evento de disrupción masiva de sus infraestructuras de información crítica, que afecte a la sociedad en su conjunto.” 

  1. “Nuestro país deberá estar preparado para responder ante un evento de disrupción masiva de sus infraestructuras de información crítica, que afecte a la sociedad en su conjunto, como consecuencia de una acción, ejecutada por actores del ciberespacio.” 

Además de estos cambios al texto, se debe definir las infraestructuras de información crítica, así como el umbral de impacto para que las acciones afecten “a la sociedad en su conjunto”. 

Párrafo 2 

  • Cambiar “escenarios” por “el desarrollo de capacidades”: No se planifica en base a escenarios, sino en base al desarrollo de capacidades. “Escenarios” confunde con un método de planificación estratégica. Por lo tanto, se sugiere cambiar “escenarios” por “el desarrollo de capacidades”. De todas formas, se entiende que es una cuestión de glosario, por lo que si se definiera “escenarios”, podría incluirse. 

  • Debate sobre la necesidad del segundo párrafo: No se llegó a un acuerdo entre los participantes de la mesa sobre la necesidad del segundo párrafo. Algunos sugieren descartarlo porque creen que se encuentra previsto en las líneas de acción, por lo que se vuelve repetitivo. Otros consideran que es importante que esté, porque funciona como preámbulo a lo que serán las líneas de acción.  Otros consideran que debería encontrarse planteado como una línea de acción, en vez de ser parte del preámbulo. 

En suma, el segundo párrafo podría eliminarse por completo, o encontrarse dentro del preámbulo o como línea de acción con el cambio de “escenarios” por “el desarrollo de capacidades”. 

Objetivos 

Definir un nuevo objetivo que explore los límites de las acciones de la ciberinteligencia dentro de la ciberdefensa. 

Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa

Líneas de acción del primer objetivo 

En la línea de acción iii. sugieren eliminar el final de la línea de acción para que pase a ser “Implementar ejercicios conjuntos, a nivel nacional”, ya que “que reproduzcan eventos mayores de desastres” lo encuentran redundante. 

En caso de permanecer  “que reproduzcan eventos mayores de desastres” como final, se recomendó agregar “definidos” luego de “desastres”. 

Líneas de acción del segundo objetivo 

Surge la idea de crear una tercera línea de acción: “Establecer un protocolo de activación y desactivación de la respuesta de ciberdefensa”. Lo ven necesario para definir el inicio y la finalización de la situación de emergencia. 

En la primera línea de acción hubo un debate sobre si “y/o privadas” debería de eliminarse o no: 

  • Argumentos a favor de eliminar “y/o privadas”: El argumento para esta propuesta fue que la ciberdefensa es una acción militar que está sujeta al Derecho Internacional de los Conflictos Armados, por lo que civiles como privados no pueden tomar este tipo de acciones, ya que está prohibido. Un militar, por motivos de credibilidad del país y legales, está identificado como legítimo para ejercer este tipo de acciones. Los privados y otro tipo de civiles podrían proporcionar sistemas, plataformas y asesoramiento, pero el que concreta la acción debe ser militar. 

  • Argumentos en contra de eliminar “y/o privadas”: La línea de acción detalla que los privados pueden “asistir”. “Asistir” no necesariamente implica que los privados sean los que ejercen la acción, así violando el Derecho Internacional de los Conflictos Armados, sino que puede significar otras acciones que no son consideradas ilegítimas, como proporcionar sistemas, plataformas y asesoramiento. Por lo tanto, no creen que el problema sea “y/o privadas”, sino que la falta de definición de qué implica “asistir” específicamente para los privados. 

Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados

Se destacó la importancia de un glosario. Especialmente, se solicitó definir “ciberdefensa” y la soberanía del ciberespacio de Uruguay. 

Etiquetas

Políticas de Ciberseguridad Ciberseguridad Política Digital del Uruguay