‘Los ciberataques reducen el listón de la guerra, las reglas son clave’

Nueva Delhi: A medida que la inteligencia artificial (IA) continúa exacerbando los ciberataques en todo el mundo, existe una creciente necesidad de adoptar estándares globales, si no regulaciones, para abordar cómo los ciberataques están reduciendo el umbral de la guerra.

En una entrevista, Philipp Rosler, quien fue ministro federal de Asuntos Económicos y Tecnología, así como vicecanciller de Alemania entre 2011 y 2013, habló sobre el estado de la ciberseguridad en un mundo cada vez más fragmentado y cómo esto afecta las colaboraciones globales. entre sectores. Rosler, que forma parte de la junta directiva de la empresa suiza de ciberseguridad Acronis, valorada en 3.500 millones de dólares, también destacó el papel cada vez mayor de los gobiernos en las políticas cibernéticas modernas y por qué las empresas de seguridad necesitarán colaborar, además de adoptar las regulaciones adecuadas. Extractos editados:

¿Cómo están progresando las principales economías mundiales en materia de protección y políticas cibernéticas?

Desafortunadamente, casi todas las regiones se están quedando atrás en cuanto a una protección cibernética adecuada porque los desarrollos por parte de los delincuentes son mucho más rápidos que por parte de la gente común, las computadoras o la infraestructura. Tampoco hay suficiente conciencia entre las pequeñas y medianas empresas (PYME) sobre la aceleración del riesgo.

Solamente tendemos a pensar linealmente para poder hacer pronósticos lineales. No tenemos idea de cómo acelerar ese pronóstico, y eso es un problema. Un ejemplo fundamental es la IA: si bien recientemente surgieron preguntas sobre el uso de la IA en los principales ataques cibernéticos, las herramientas de IA ahora son accesibles para casi todos, incluidos los atacantes. Esto nos deja sin protección alguna, y tanto el número como la calidad de los ataques están aumentando a un ritmo nunca esperado. Esto es cierto para todas las regiones.

También tenemos un riesgo geopolítico que surge de los Estados-nación impulsados ​​por la IA, del cual es aún más difícil defenderse.

Entonces, ¿los conflictos geopolíticos agravarían nuestro riesgo cibernético?

Las guerras y los conflictos ya están pasando a un formato más híbrido. La guerra comenzará cada vez más con ataques cibernéticos porque esto tiene un umbral bajo para cualquier estado. Más importante aún, para cada nación, la tecnología básica necesaria para los ciberataques ya está disponible. El umbral es mucho más bajo que enviar tanques y tropas, lo que hace que los ataques de ransomware sean un medio más fácil y también viene con la ventaja adicional del anonimato. Esto nos deja con pruebas tangibles de que vivimos en un entorno de alto riesgo.

¿Debería recaer en las empresas privadas la responsabilidad de construir dichas defensas, o pueden los gobiernos tomar la iniciativa?

Necesitamos ambos. Necesitamos regulaciones adecuadas, no sólo nacionales, sino incluso globales. Si no son regulaciones globales, porque son bastante difíciles de implementar y alinear entre países, al menos un conjunto de estándares globales es bastante importante. Donde las empresas privadas entran en juego es que, en esos tiempos, la ciberprotección de nosotros como individuos, así como de las empresas y los negocios, es crucial.

Pero con nuestra Internet cada vez más fragmentada, ¿es siquiera posible un estándar global común?

Ciertamente está fragmentado, lo cual es una preocupación constante en general, y no sólo en lo que respecta a la protección cibernética. Pero eso también significa que los comités globales no deberían dejar de intentar crear estándares globales. Las regulaciones no pueden ser el único seguro contra los ciberataques, lo que significa que debemos sentarnos junto con varios países para decidir el camino a seguir.

La cooperación global en diferentes temas siempre comienza con estándares y luego termina en regulaciones. Por lo tanto, podemos crear un estándar y discutirlo en foros internacionales. En una segunda etapa, estas recomendaciones pueden luego entregarse a los gobiernos nacionales para que posteriormente las adopten dentro de los marcos legales nacionales. Esta podría ser una forma para que todas las naciones obtengan lo mejor de cada situación.

Pero las regulaciones son sólo un paso en toda la conversación sobre ciberseguridad: un paso importante, pero no absoluto. Una estrategia clave sería aumentar la detección de amenazas, lo que mejorará la protección cibernética para todas las naciones, incluso en el mundo de la IA.

¿Realmente los gobiernos comprenden la sofisticación de las tecnologías para poder tomar las medidas necesarias en ciberseguridad?

Los gobiernos entienden lo que está pasando y dónde se encuentran las brechas, eso es seguro. Sin embargo, lo que sí necesitamos más es cooperación público-privada. Obviamente, las empresas de tecnología están mucho más avanzadas y están definiendo los estándares y oportunidades reales de la ciberseguridad.

La cooperación público-privada, en este sentido, puede acelerar el conocimiento a nivel gubernamental sobre la seguridad cibernética, comprender el escenario actual y dónde estarán los riesgos en el futuro para las personas y las empresas dentro de una nación. Esto también ayudará a los gobiernos y ministros a comprender cómo proteger a su propia nación. Por ejemplo, Alemania tiene un instituto federal de seguridad en TI, que ofrece certificados basados ​​en estándares de ciberseguridad. Si alguna entidad pública o privada quiere ser proveedor del gobierno, deberá obtener el certificado del más alto nivel de este instituto.

Esto unifica el nivel de certificación y estándares en ciberseguridad, que solo era posible lograr en cooperación con el sector privado. Estos últimos siempre serán más rápidos a la hora de desarrollar nuevas tecnologías y herramientas y comprender los riesgos futuros. Un modelo de este tipo sería importante también para las administraciones nacionales y los responsables de la formulación de políticas.

¿Significa eso que la serie de regulaciones tecnológicas de la UE ahora es adecuada para manejar los riesgos cibernéticos?

El riesgo cibernético es abrumador y no se puede ponerlo en manos únicamente del sector público. Los reguladores pueden establecer regulaciones destacando los riesgos inminentes para motivar al sector privado a implementar una protección cibernética adecuada. Esto necesitará algo de tiempo para que esto suceda, pero sucede de arriba hacia abajo. Las regulaciones son mucho mejores que otras y no son tan malas para las entidades privadas.

Estas regulaciones no son sólo para las empresas de TI: también son para las industrias heredadas y su infraestructura de tecnología operativa (OT). Numerosos informes destacan que las empresas utilizan software antiguo, que las empresas de tecnología de todo el mundo han dejado de mantener. Estaba bien utilizar software antiguo antes de Internet porque, por ejemplo, no era necesario conectar una red eléctrica. Hoy en día, la distribución y el control centralizados significan que las redes eléctricas están conectadas en el mercado en desarrollo. Pero no están protegidos incluso cuando están digitalizados, que es lo que las regulaciones pueden ayudar a hacer cumplir.

Existe una creciente preocupación global e india de que no tenemos suficientes recursos capacitados para cubrir puestos de trabajo en ciberseguridad, incluso cuando los salarios están aumentando. ¿Por qué es así?

Se necesita tiempo para conseguir gente capacitada en este campo. En la década anterior, tanto el mercado indio como el mundial buscaban codificadores. Hoy en día, todos los mercados buscan codificadores, así como expertos en ciberseguridad con un área específica de enfoque en la ciberseguridad. Esto necesitará algunos años para desarrollarse, pero lo lograremos porque los estudios en empresas muestran que al adoptar las herramientas y estándares de seguridad cibernética adecuados, las empresas pueden reducir las pérdidas por ataques cibernéticos a un tercio de lo que son hoy. Esto requerirá que contraten a los profesionales adecuados.