La Estrategia Cibernética Nacional del Reino Unido de 2022 sucede a la Estrategia de Seguridad Cibernética 2016-2022 anterior, que se publicó luego de la formación del Centro Nacional de Seguridad Cibernética (NCSC) en 2016 con financiamiento para el período de cinco años. La nueva estrategia, publicada el 15 de diciembre, se basa en este legado y cubre los próximos tres años hasta 2025.
Sin embargo, aunque el NCSC juega un papel central, la estrategia reúne a otras partes del gobierno, incluido el Ministerio de Defensa, las agencias de inteligencia (incluida la Sede de Comunicaciones del Gobierno), el Ministerio de Relaciones Exteriores, la Agencia Nacional contra el Crimen y otros departamentos gubernamentales, junto con operadores de infraestructura crítica nacional (CNI), industria y academia.
La estrategia también adopta un “enfoque de toda la sociedad” y tiene como objetivo fortalecer la cooperación entre socios internacionales y “aumentar la acción colectiva”. Creo que estos son elementos importantes para aumentar la fuerza del Reino Unido como potencia cibernética.
Al establecer el contexto de esta estrategia, el poder cibernético se aborda en la página 20, y las notas al pie de esa página se refieren a tres índices de poder cibernético. El Reino Unido tiene una calificación alta, quedando solo por detrás de EE. UU. en dos índices, y de EE. UU. y China en el tercero, con solo EE. UU. y el Reino Unido teniendo clasificaciones consistentemente altas, pero también Rusia, Francia, Canadá y Australia.
Aunque estos índices utilizan diferentes metodologías y son hasta cierto punto subjetivos, muestran que el Reino Unido está por delante de sus pares y compite con EE. UU. y China, que son mucho más grandes tanto en términos de población como de producto interno bruto. En relación con esto, se encuentran algunos de los desafíos identificados para el Reino Unido, como la falta de ciberprofesionales calificados, el tamaño de la base industrial del Reino Unido en TI y cibernética, y la capacidad de invertir en la misma escala que los EE. UU. y China.
La colaboración internacional, no solo con los EE. UU., sino también con otros aliados europeos y Five Eyes (Australia, Canadá, Nueva Zelanda, el Reino Unido y los EE. UU.) ayuda a compensar esto y proporciona una poderosa capacidad colectiva, pero otros aspectos de la estrategia que caer bajo el enfoque de toda la sociedad también son clave. Esto incluye la promoción de la investigación y la educación en seguridad cibernética, así como la creación y el apoyo de nuevas empresas cibernéticas.
Colaboración con la academia a través de la creación de Institutos de Investigación Cibernética, otorgando a las universidades el estatus de Centros Académicos de Excelencia en Investigación en Seguridad Cibernética (ACE-CSR) y Educación en Seguridad Cibernética (ACE-CSE), junto con la certificación de licenciaturas y maestrías en seguridad cibernética. y la creación del aprendizaje de seguridad cibernética, han fortalecido la capacidad de investigación académica del Reino Unido. También ha aumentado el flujo de graduados en seguridad cibernética hacia la fuerza laboral.
Apuntalando el aumento de la fuerza laboral cibernética, la creación de CyberFirst ha promovido la seguridad cibernética en las escuelas para aumentar el flujo de futuros graduados y también ha aumentado la conciencia en una gran parte de la población más joven que ahora está comenzando a ingresar a la fuerza laboral. Las iniciativas para fomentar nuevas empresas también están comenzando a aumentar la capacidad industrial del Reino Unido, aunque todavía queda un largo camino por recorrer.
Esto es sólo una parte de todo el enfoque social. En un momento, la seguridad nacional se vio como algo para el gobierno y se habría centrado en el gobierno. Sin embargo, la seguridad cibernética ahora nos afecta a todos en nuestra vida diaria en el hogar, en el trabajo, en los viajes o en las salidas nocturnas.
Tradicionalmente, se habría pensado en CNI como generación y distribución de energía, suministro de agua, etc. Pero ahora tiene que incluir telecomunicaciones que proporcionen internet y telefonía, finanzas y cadenas de suministro de alimentos. Además, el delito cibernético afecta tanto a los ciudadanos y las empresas como al gobierno, con aumentos en el ransomware.
La protección de la industria y este campo ampliado de operadores CNI es esencial para la sociedad en su conjunto, como podemos ver en los recientes eventos e incidentes de los últimos años, los ataques de denegación de servicio distribuido (DDoS) en los sistemas financieros de los países que pueden dejar a los ciudadanos no puede retirar efectivo y no puede usar tarjetas de crédito o débito. También ha habido ataques contra la generación de energía y los sistemas asociados y las agencias gubernamentales.
Dichos ataques en tiempos de disturbios normalmente estarían diseñados para perturbar la sociedad normal y desmoralizar a los ciudadanos, así como para debilitar la capacidad militar, posiblemente antes o durante una acción militar paralela (como se vio en Ucrania). La sociedad en su conjunto está siendo atacada en tales escenarios y, por lo tanto, la sociedad en su conjunto necesita poder defenderse.
El Reino Unido está mejor posicionado que muchos para repeler los ataques cibernéticos, en parte debido a todo el enfoque social, pero aún queda mucho por hacer. Una fuerte capacidad cibernética ofensiva, junto con defensas débiles para proteger contra la interrupción de la vida diaria, no constituye un poder cibernético.
Ya se ha hecho mucho para fortalecer las defensas cibernéticas del Reino Unido a través de la colaboración con la industria y la introducción del programa Active Cyber Defense que protege a los departamentos y agencias gubernamentales, además de ayudar a protegernos a todos del phishing y otros ataques cibernéticos. La colaboración con los aliados también se ha fortalecido con un mayor intercambio de inteligencia y atribución colaborativa de los ataques.
La nueva estrategia pretende aprovechar esto en beneficio de la sociedad en su conjunto. Parte de esto no es solo defensivo, sino también económico, porque la mejora del ecosistema cibernético y las habilidades del Reino Unido y el aumento de la resiliencia hacen del Reino Unido un buen lugar para invertir para todas las empresas, no solo para las de seguridad cibernética. Esto también está respaldado por la ambición de “un orden internacional más seguro, próspero y abierto”, que nos permitirá a todos aprovechar al máximo el ciberespacio y el mundo digital.