La estrategia de seguridad cibernética de Australia se ha actualizado y tiene una visión notablemente diferente a la de su predecesora.
La Estrategia de seguridad cibernética de Australia de 2016 intentó abordar la pregunta: ‘¿cómo podemos asegurar nuestra prosperidad en un mundo conectado?’ Esta estrategia se centró en el crecimiento, la innovación y las oportunidades económicas y reconoció el papel de Australia en la defensa de una ‘Internet abierta, libre y segura’ en la comunidad internacional. Este enfoque fue impulsado en gran parte por el entonces primer ministro Malcolm Turnbull, un antiguo inversor en tecnología con un interés personal en la tecnología y los problemas de ciberseguridad. La estrategia de 2016 se desarrolló dentro del Departamento del Primer Ministro y el Gabinete y, el día de su lanzamiento, Turnbull anunció un nuevo puesto de Asesor Especial del Primer Ministro en Seguridad Cibernética.
Por el contrario, la estrategia 2020 se desarrolló en el Departamento de Asuntos Internos, el ministerio de seguridad nacional y aplicación de la ley de Australia centrado en el país. Su objetivo es un ‘mundo en línea más seguro’ y presenta un ‘plan para proteger a los australianos en línea’, tiene un fuerte enfoque en la aplicación de la ley y el refuerzo de las organizaciones nacionales de seguridad cibernética de Australia, el Centro Australiano de Seguridad Cibernética (ACSC) y la Dirección de Señales de Australia ( ASD, el equivalente australiano de GCHQ), pero es mucho menos ambicioso económicamente.
La estrategia 2020 es mucho más sólida desde una perspectiva de aplicación y disuasión:
Trabajamos para prevenir activamente los ataques cibernéticos, minimizar los daños y responder a la actividad cibernética maliciosa dirigida contra nuestros intereses nacionales. Negamos y disuadimos, mientras equilibramos el riesgo de escalada. Nuestras acciones son lícitas y alineadas con los valores que buscamos defender, por lo que serán proporcionadas, siempre contextuales y colaborativas. Podemos optar por no responder.
La mayor parte de la financiación de la estrategia se destina al ASD y al ACSC, lo que amplía su fuerza laboral, sus capacidades de investigación y ciencia de datos, la conciencia nacional y el intercambio de amenazas. Curiosamente, parte de la financiación del ASD se destina a interrumpir el ciberdelito en alta mar. ASD tiene un mandato legislativo para “prevenir e interrumpir, por medios electrónicos o similares, el delito cibernético cometido por personas u organizaciones fuera de Australia”. La Policía Federal de Australia también recibió financiación para reforzar “su capacidad para investigar y enjuiciar a los ciberdelincuentes”, lo que les permitió “establecer equipos de desarrollo de objetivos con socios, desarrollar capacidades cibernéticas técnicas y mejorar la capacidad operativa”. En resumen, el gobierno está proporcionando una cantidad significativa de fondos para construir una cadena de capacidad para encontrar y comprender los delitos cibernéticos en alta mar e interrumpirlos, ya sea a través del sistema legal o utilizando capacidades cibernéticas ofensivas.
Aunque la mayor parte del dinero asignado se destina a las agencias de defensa y de aplicación de la ley, existe un enfoque sensato y mucho más fuerte en la responsabilidad compartida entre el gobierno, las empresas y la comunidad, y la estrategia tiene acciones separadas para cada uno.
La seguridad cibernética es un problema de toda la economía y la estrategia destaca correctamente el papel del sector privado. Este es un enfoque escalonado que, en el nivel más bajo, parece poco desarrollado. Para las empresas en general, la estrategia simplemente presagia la posibilidad de una mayor regulación y legislación y el gobierno lanzará un Código de Prácticas voluntario para los fabricantes de Internet de las Cosas. Ambas medidas parecen demasiado provisionales dado el entorno actual de amenazas. Los requisitos de gama alta son mejores. La infraestructura crítica tendrá mayores obligaciones de seguridad y el subconjunto de infraestructura crítica que es “más importante para la nación” será designado como “sistemas de importancia nacional” y tendrá mayores obligaciones para compartir información sobre amenazas y seguridad cibernética. Se espera que todos los operadores de infraestructura crítica tomen medidas razonables para garantizar una ciberseguridad sólida, y están sujetos a la dirección del gobierno si no lo hacen.
La estrategia también respalda los esfuerzos del sector privado para proteger a los consumidores, como la iniciativa Cleaner Pipes de Telstra, que protege a los clientes de la empresa de amenazas omnipresentes como el phishing y el malware. La estrategia asignó algo de dinero a “opciones estratégicas de mitigación e interrupción”, y Cleaner Pipes se describió más tarde como un programa piloto para la colaboración del gobierno y la industria privada. Este es un esfuerzo prometedor que proporciona beneficios prácticos y debe ampliarse.
Hay otras dos líneas de esfuerzo: desarrollar las habilidades de Australia; y apoyo a las pequeñas y medianas empresas y australianos vulnerables. Monetariamente, estas son iniciativas relativamente pequeñas, e incluso entonces casi la mitad de la financiación para desarrollar habilidades se centra en la fuerza laboral cibernética de Defensa. El apoyo a las pequeñas y medianas empresas se centra principalmente en aumentar los esfuerzos de sensibilización y divulgación, aunque hay un pequeño esfuerzo para apoyar a las víctimas del ciberdelito.
La estrategia también tiene iniciativas no financiadas. El gobierno también tiene como objetivo mejorar la seguridad del gobierno para “predicar con el ejemplo”, y la estrategia tiene como objetivo mejorar la seguridad cibernética centralizando la gestión y el funcionamiento de la gran cantidad de redes gubernamentales. Sin duda alguna, la mejora real de la seguridad del gobierno sin financiación adicional valdría la pena un mayor análisis y publicidad cuando este esfuerzo se materialice.
También hay una sección sobre participación internacional, y la estrategia reconoce el papel del gobierno australiano en la creación de capacidad y la configuración del comportamiento internacional. También presagia una “Estrategia de compromiso internacional de tecnología cibernética y crítica” del gobierno, basada en la “Estrategia de compromiso internacional de 2017”.
La estrategia de seguridad cibernética de Australia para 2020 tiene la responsabilidad correcta: todos tenemos una responsabilidad compartida por la seguridad cibernética y la estrategia identifica responsabilidades en el gobierno, las empresas y la comunidad. La estrategia identifica correctamente las obligaciones para la infraestructura crítica, pero es demasiado suave cuando se trata de otras empresas; Los gobiernos deberían elevar los estándares de seguridad cibernética ahora, no simplemente hablar de posiblemente elevar los estándares en el futuro. Pero la asignación de fondos en la estrategia socava esta retórica de responsabilidad compartida: todos somos responsables, pero las fuerzas del orden y la Defensa obtienen los dólares.
.
Por Tom Uren, 11 de noviembre de 2020, publicado por RUSI