02 diciembre 2011

Ciberseguridad, según el CCN, la mejor inversión


Fue en el último evento organizado en Valencia por ISMS Forum donde Javier Candau, Subdirector del CCN (Centro Criptológico Nacional), afirmó categóricamente que "donde ahora se tiene que gastar el dinero, es en Ciberseguridad".

Según esgrime Candau: "España (se entiende que los organismos públicos oficiales) han recibido 1600 cibertaques, de los cuales 90 han sido de riesgo muy alto y 8 muy críticos", supongo que con pérdidas de información sensible. "España tiene que pasar de la defensa al ataque… para batir a nuestros enemigos la ciberdelincuencia, ciberterrorismo y ciberespionaje, así como el hacking político (anonymous)"

Cuando leí estas declaraciones en Nacionred me quedé francamente sorprendido. En el resto del articulo, el autor piensa en voz alta sobre las cantidades invertidas en proyectos de ciberdefensa como Indect para la monitorización y vigilancia en redes sociales, así como contratos millonarios a empresas privadas de seguridad

Para empezar, entiendo y apoyo perfectamente que para la ciberseguridad, haya que INVERTIR dinero. El concepto de "gasto", quizá suene demasiado agresivo. Cuando compras un coche, si tienes la oportunidad de pedir como extra un dispositivo que refuerce la seguridad de los ocupantes, yo lo considero una inversión, más que un gasto: "Invierto en proteger mi vida, en vez de gastar en protegerla".

Aclarado este concepto, entiendo que haya que invertir dinero en disponer de mecanismos de protección, herramientas, auditorías de seguridad, planes de contingencia, políticas de procedimientos, etc,… para contar con niveles de seguridad extremos para la protección de la información sensible del Estado Español, y de sus ciudadanos, por parte de las Administraciones Públicas.

Lo que no atino a comprender es por qué un alto cargo del CCN habla de provisionar recursos para el ciberataque, aunque sea contando con empresas privadas. ¿A quién vamos a atacar? ¿Qué tiene en mente al respecto el CNI, la agencia de Inteligencia Española? Las empresas dedicadas a seguridad, lógicamente, disponen de personal especializado y experimentado en "hacking ético", para efectuar servicios de auditoría de empresas cliente que quieran evaluar, ya sea por cumplir una normativa o por verdadero interés, la seguridad de sus recursos expuestos, así como solucionar los problemas encontrados. En este caso el objetivo está claro: Contrato atacantes profesionales confiables para poder defenderme de otros atacantes desconocidos no-confiables.

Siempre me leeréis (y oiréis) decir que hay que estar preparados para cualquier contingencia, así como disponer de aquellos recursos necesarios acorde a una estrategia planificada pero, habiendo la crisis que hay en la economía española actualmente, ¿es prioritario invertir (o gastar, según los términos utilizados) grandes cantidades de dinero público en disponer de recursos para ciberatacar otras potencias?  

Y ya puestos ¿No sería mejor formar un ciberejército digital, como hacía el gobierno del Tío Sam? Aún así, sea privado o un ciberejército estatal ¿Cómo nos puede proteger de ataques de Anonymous el reclutar un "ejército especializado en ataques"? ¿A quién va a atacar ese cuerpo de élite si no sabe quién le ataca? ¿Es lícito partir en dos los sistemas de un país desde el que te han llegado ataques, a modo de represalia?

Estoy de acuerdo que es deseable disponer de un ciberejército formado por los mejores hackers de España. Además, en el caso de que fueran parte de un Cuerpo de Profesionales de la Administración Pública, se crearían unos cuantos puestos de trabajo (que buena falta hace). Sin embargo, no veo la prisa ni la necesidad de atacar a nadie,… pero claro, es mi opinión.

En este caso, quizá la frase "La mejor defensa es un buen ataque" no sea lo más apropiado.

19 comments :

Román Ramírez dijo...

Yo sí lo entiendo, ¿de verdad, de verdad, de verdad, de verdad no conoces ninguna empresa que no haya podido cerrar un C&C de una botnet y no haya recurrido a un DDoS para que el C&C estuviera inaccesible? ¿ninguna, ninguna, ninguna?

Pues visto cómo está el tema tecnológico y vistos los pocos escrúpulos que tienen naciones como EEUU, China, Rusia (famoso caso Ucrania)... ¿tiene España que vivir "disminuida" en el mundo digital?

Yo sí tengo claro que es necesario poder devolver un ataque o ser capaz de inutilizar las comunicaciones de un enemigo.

La parte moralista es, ¿debe España atacar a alguien? Personalmente creo que no, pero, ¿debe España estar preparada para hacerlo? POR SUPUESTO.

Y si es necesario tener una bomba termonuclear virtual, pues que España sea del club del átomo 2.0.

Lorenzo_Martinez dijo...

A ver Román, esto mismo lo discutía ayer con un compañero de trabajo (al que conoces BTW), mientras volvíamos de Francia en el avión. Él también estaba de acuerdo en que se tiene que poder devolver un ataque llegado el momento, comparando el ejército físico, con el digital.
Yo lo que intento argumentar es que tal cual está el tema, no veo una prioridad el GASTAR recursos públicos en ataque. Nunca he estado de acuerdo en que las administraciones tengan que GASTARSE sí o sí todo el presupuesto asignado con nuestros impuestos (sé lo que pasa el año siguiente si no lo hacen).
Yo veo viable que España pueda tener la posibilidad de contratar empresas privadas o utilizar sus propios recursos para solucionar un problema puntual.

Sin embargo, según el enlace de Nacionred, lo que debió decir Javier Candau en el evento del ISMS es que había que pasar de la defensa al ataque. Es decir, que vas a dejar de invertir en defensa para invertir en ataque (los presupuestos son finitos y máxime tal cual están las economías). Por otra parte habrá que ver también si las palabras del alto cargo del CCN, están o no sacadas de contexto. En cualquier caso, creo que es un interesante debate... ¿deberían los países declarar públicamente la existencia de cuerpos especializados en ciberguerra?

Román Ramírez dijo...

Si veo el fondo de la cuestión, ¿es razonable invertir dinero en actividades ofensivas?

SÍ.

¿Es que nuestro trabajo como profesionales de la seguridad no tiene un componente enorme de "ataque"? ¿pentest? ¿poisoning? ¿cracking? ...

Y que el estado contrate empresas privadas para estas cosas a mí suena como que EEUU le da carta blanca a Blackwater en Irak. NO ME GUSTA. No solamente no me gusta, me parece antipatriótico y pernicioso para la democracia.

Nunca en la historia de la humanidad los mercenarios (y leed la definición en el diccionario) han sido de fiar para un estado, de hecho, el dinero que les pagabas para que lucharan por ti, era el dinero multitiplicado por tres que les pagabas para que, luego, no te atacaran conociendo todo lo que conocían de tus infraestructuras y organizaciones.

De hecho, como ciudadano demócrata convencido, no quiero ver ni de lejos a una empresa privada haciéndose cargo de "armas", "defensa" o "ataque" en mi nombre. Para ello el estado debe capacitar especialistas que estén dentro de los parámetros morales de mi nación, que estén vigilados por los mecanismos que articula la democracia y que, además, no estén dentro del juego maniqueo del capital.

Sobre si deben o no las naciones declarar abiertamente que tienen hackers, la respuesta es muy obvia, ¿ha reconocido Israel tener la bomba atómica? ¿tiene Israel la bomba atómica? ¿hay sanciones para Israel o las tendría por tener o si tuviera la bomba atómica? ¿debería España ser sancionada por gestionar o por querer gestionar botnets para atacar a países enemigos?

La guerra de medios, la negación sistemática de hechos, la ocultación del número de víctimas propio, declarar que tal o cual es "El Eje del Mal"... todo eso forma parte también de la defensa de tu país ;)

Román Ramírez dijo...

Y sigo respondiendo, que me parecía un poco largo.

Decidir si se gasta o no en defensa, es una decisión estratégica. Como asumir si tienes confianza en la WAN-LAN o sigues una política de confianza cero.

A estas alturas, la parte de defensa, en general está más o menos superada por las instituciones y organizaciones.

Pero lo que es la parte de ataque, salvo algunas que han tenido que recurrir a ello por necesidades de su propio negocio (y no hablo solamente de pentesters) es una asignatura pendiente.

No me parece para nada descabellado afirmar que hay que gastar menos en defensa y que hay que invertir en ataque, si el sentido de la frase es que, manteniendo la calidad de nuestras defensas vamos a aprender a atacar mejor.

Y ya, en plan pedante, te cito una frase de Von Clausewitz, militar alemán al que le tengo verdadera admiración:

"El ataque envolvente, o desde varios lados, sólo es posible como norma para el bando que mantiene la iniciativa, o sea, la ofensiva, y que el defensor, en el curso de la acción, no está en condiciones, como no lo está en la táctica, de devolver el golpe al enemigo cercándolo a su vez."

Iniciativa, ofensiva.

P.D: Vauban (todo sobre ingeniería militar, asedio y defensa sin recursos) y Von Clausewitz ("En la guerra") son lecturas obligadas, desde mi punto de vista.

Lorenzo_Martinez dijo...

Román, desde un punto de vista de guerra física, está claro que has de tener recursos humanos, armamento moderno para poder repeler a un posible ataque de una potencia extranjera ante una invasión injustificada. Y por eso, todas las citas a libros de guerra están excelentemente argumentadas al 100%.
Sin embargo, desde un punto de vista virtual o digital, en el que el origen es una dirección IP, que sabes perfectamente que puede ser fruto de uno o varios bouncings, el tener claro quién te está atacando y no equivocarte de país sobre el que "ejercer la venganza" que propones, es más complicado.

Yo creo que en el mundo digital, merece más la pena priorizar buenos mecanismos de defensa y securización de infrastructuras, que de ataque por varios motivos: A no ser que sea una guerra abierta y declarada, la identificación del "enemigo" es más compleja. Además, no es lo mismo que el gobierno de un país, pongamos por ejemplo China, ataque España,... a que un grupo reducido de hackers chinos, le de por atacar España de forma autónoma. En ambos casos, tú partirías en dos infraestructuras digitales de China, siendo completamente injustificado en el segundo caso.

Son sólo opiniones...

Román Ramírez dijo...

Hombre Lorenzo, entiendo que porque un Hooligan borracho le pegue cuatro tiros a alguien en un estadio de futbol, el gobierno español no va a bombardear Oxford.

Para mí es evidente que detrás de los esfuerzos de hacking que salen de algún país concreto y que pueden parecer acciones "individuales" hay dinero de esa propia nación.

Vamos, no sé si te suena Stuxnet o Nightdragon...

En esas condiciones y viendo cómo se está poniendo el mundo, deseo, quiero, demando que el gobierno de mi país tome las medidas necesarias.

Y no basta con fabricar muros o implantar cortafuegos de capa 7, también hay que entrenar francotiradores, expertos en inteligencia, expertos en infiltración, expertos en jamming,...

También quiero dejar clara una cosa, estoy absolutamente en contra de agredir a nadie, pero estoy completamente a favor de la reciprocidad estricta.

Lorenzo_Martinez dijo...

Vaya, justo estaba pensando en empezar a hacerte un inofensivo nmap -F,... pero visto lo visto, el efecto multiplicador que me voy a llevar, casi que me corto un poco eh? xDDD

Román Ramírez dijo...

:DDDDDDDDDDD

Con este comentario ya sabes que nos van a "dosear", ¿verdad maldito?

@EFOJONC dijo...

Es evidente que España debe disponer de capacidades para securizar y defender su ciberespacio, máxime tras saber que solo hemos detectado 1.600 ataques durante 2011. (un mínimo porcentaje de los ataques que debemos haber sufrido en realidad)
 
El ciberespacio es considerado ya, por algunas naciones, como una dimensión más del campo de batalla y, por ello, están desarrollando y adquiriendo ciber-capacidades no solo defensivas sino también ofensivas.
 
De todos modos no podemos empezar la casa por la ventana. Debemos disponer YA de una Estrategia Nacional de Ciberseguridad y, a partir de esta, articular como securizamos nuestro ciberespacio.
 
De todos modos, la seguridad y defensa de nuestro ciberespacio nunca debería verse como un ‘gasto inaceptable en tiempos de crisis’ ya que, más allá del propio concepto asociado a la defensa nacional, puede y debe ser un motor de dinamización de nuestra economía.

Lourdes dijo...

Aunque el debate que se ha suscitado
me parece muy interesante, quisiera matizar alguna afirmación que he leído en
el post de hoy. Concretamente me estoy refiriendo a la afirmación que se hace
de que en las Jornadas del ISMS forum del Martes pasado Javier Candau hablara
de provisionar recursos para el ciberataque.


Asistí con interés a la ponencia
de Javier, con quien tengo cierto contacto profesional, y de hecho, tomé notas
que os transcribo por si pueden aclarar un poco el debate:


Afirmó que ya no basta con
defenderse de amenazas materializadas, sino que hay que activar monitorización
y alerta temprana y reconoció que nuestra actual capacidad defensiva no era
suficiente.


Cuando mencionó la publicación en
2011 de la
Estrategia Española de Seguridad, citó como líneas
estratégicas nacionales, el plan nacional de P.I.C., la necesidad de potenciar
el ENS y de una mayor inversión en tecnología de seguridad, así como el apoyo al
desarrollo de empresas de seguridad TIC nacionales (para evitar dependencia de
extranjeras), la formación y sensibilización y el uso de estándares.


Hizo hincapié mejorar capacidad
de detección y la coordinación entre los distintos gobiernos (AGE, autonómicos
y locales) e insistió en que el servicio que el CCN-CERT debe prestar a las
AAPP no es posible sin la existencia de CERTS autonómicos (como el CSIRT-cv.,
centro al que citó como ejemplo coordinación con el CCN-CERT ).


Y en cuanto a las líneas
estratégicas de acción internacional habló de cooperación y acuerdos de control
sobre ciberarmas, mencionó la colaboración con ENISA,  reclamó una homogeneización de la legislación
penal, la ampliación de la lucha contra el delito cibernético más allá de la UE y la mejora de la
cooperación con la OTAN.


 


Eso fue a grandes rasgos lo que yo
recogí en mis notas. Evidentemente puedo haber omitido cosas, pero ni a mi, ni
a uno de mis compañeros al que acabo de consultarle, nos llamó la atención
especialmente el tema de provisionar recursos para el ciberataque.


 


Un saludo

@EFOJONC dijo...

Muchas veces el debate se suscita desde los medios de comunicación a través de sus crónicas.
 
Yo, también, asistí a la X Jornada del ISMS Forum Spain en Valencia y estuve en la conferencia de Javier Candau. Bajo mi punto de vista lo que expuso fue la necesidad de disponer de una estrategia de ciberseguridad que no se quedase en un mero papel sino que viniese apoyada con una dotación  económica, además de medios técnicos y humanos y que fuese en línea con las estrategias de nuestros aliados. Además, hablo de la evolución desde el enfoque de Information Security (reactivo) al Information Assurance (proactiva) sin dejar de lado el derecho de cualquier nación a defenderse en caso de una acción beligerante en el ciberespacio, pero claro para defenderse hay que disponer de ciertas capacidades.
 
Resulta evidente que para ejecutar las acciones que emanen de la estrategia se requerirá el concurso de todos los sectores de la sociedad española y por supuesto supondrá una oportunidad de negocio para el sector privado.  

Román Ramírez dijo...

No puedo evitar el escalofrío cuando leo "sector privado" asociado con contextos de defensa o inteligencia.

Solamente puedo ver la imagen del mercenario y empresas tales como Blackwater/Xe o HBGary, y me disgusta, MUCHO.

Lorenzo_Martinez dijo...

Muchas gracias a Lourdes y a EFOJONC por las aportaciones con las notas tomadas en la charla que dio Javier Candau. Creo que he dejado claro desde un primer momento que yo no asistí a la misma y que lo que leo lo he extraido de Nacionred (leido por cierto a través de un RT que hizo mi compañero Yago).  Es decir, que las declaraciones, sacadas de contexto, puede dar lugar a equívocos. Sin embargo, tengan o no el sentido expuesto, creo que es una buena oportunidad para debatir sobre Ciberseguridad en el blog. La prueba de ello es que los lectores estáis dejando comentarios y opiniones al respecto, más que interesantes.
Lo dicho a Lourdes y EFOJONC, muchísimas gracias por vuestras aportaciones.

@EFOJONC dijo...

Inevitablemente el sector privado esta presente en el mundo de la defensa e inteligencia. No todo es BlackWater y HBGary. Siento tu disgusto!

Rafael Ausejo Prieto dijo...

Lorenzo, aunque no pude asistir al ISMS Forum de Valencia (sí al de Sevilla y a los previos de Madrid) entiendo que Javier se referiría a una idea recurrente cada vez que coincidimos en foros similares:
Así como el Esquema Nacional de Seguridad se orienta al Sector Público, la aplicación de la Ley de Infraestructuras Críticas implica la colaboracion de aquellas empresas privadas a quienes se ha externalizado la gestión de la seguridad.

Por otra parte, las recientes Estrategias de Ciberfedensa de UK de Noviembre 2001 (http://www.cabinetoffice.gov.uk/resource-library/cyber-security-strategy) y USA de Mayo 2011 (http://www.whitehouse.gov/cyberreview/documents) incluyen por primera vez medidas de contraataque ante ciberataques; lo cual implicará actualizar nuestra próxima Directiva de Defensa Nacional 1/2012 (http://www.defensa.gob.es/Galerias/ooee/fichero/EMD_directiva_nacional.pdf) en base a nuestros compromisos con el Artículo 5 de la OTAN (https://boe.gob.es/aeboe/consultas/bases_datos/doc.php?id=BOE-A-1982-12535).

Leonardo Nve dijo...

Una cosa que no he visto que se tenga en cuenta, y refiriendome al punto de visa de Lorenzo Martinez respecto al gasto, es que el implicar a empresas privadas españolas (por favor!!! Espero que quieran que sean españolas para asuntos de Seguridad Nacional) es la inversión en I+D+I. En el contexto que tenemos impulsar el avance en industria tecnologica y comunicaciones, en el campo de la seguridad por ejemplo, es un bien para el futuro. Ya sea ciberdefensa o ciberataque.

Antonio Ramos dijo...

Hola, Enrique.

Respecto al tema del sector privado en temas de Defensa, creo que no estamos preparados para "subcontratar" esa tarea; es decir, como he comentado al respecto, no veo al Ministerio de Defensa subcontratando la misión en Afganistán... 

Aunque no todo sean BlackWater y HBGary, estoy con Román en que estas funciones son propias del Estado y no quiero estar en manos de una empresa cuyos fines son lucrativos.

Otra cosa es que se fomente, como dice Leo en otro comentario, el I+D+i en empresas españolas con gasto y apoyo del Sector Público para convertir esta industria nacional en puntera y poder, luego, aprovechar ese potencial en el exterior (como llevan haciendo otros países como Francia o EEUU desde tiempos inmemoriales).

Slds,

@EFOJONC dijo...

Hola Antonio,

En ningún momento he hablado de  "subcontratación" en zona de operaciones. Lo que he expuesto es que el sector privado tiene mucho que aportar en la provisión de capacidades para que las FF.AA puedan ser desplegadas con garantías en Zona de Operaciones.

En España hay muchas empresas que "suman" al I+D+i del sector defensa en multiples campos sin el protagonismo que puedan tener Blackwater en USA.

Saludos

JOTARA dijo...

Toda la inversion en ciberseguridad debe ir en funcion del riesgo y el impacto. 1600 ciberataques es una estadistica que no dice nada. ¿Que impacto han tenido? Con respecto al resto de comentarios, estoy con EFOJON en sus argumentos y con Rafael en que sus fuentes son la base para construir estrategias.  Un dato de interes para los neofitos en estos asuntos es que el 60% del personal que interviene en un conflicto en USA es civil. La industria esta totalmente integrada en la Defensa. Es otro mundo y compararnos no tiene ningun sentido. Cada vez hay menos peso del gobierno en estos asuntos, que esta dirigido por Directivas y Regulaciones de la Union Europea que van dirigidas a dar un menor peso a los gobiernos nacionales y la industria nacional. Mas si cabe cuando nuestra velocidad actual es de 20km/hora y los paises de nuestro entorno en estos temas van a 100 km/h. Lo de USA ya ni lo menciono porque van a miles de km/h.