La nueva estrategia cibernética de la Armada establece las líneas de actuación para una nueva era de la guerra.
¿Cuál es el arma decisiva del poder marítimo? No los misiles ni los torpedos, declara la nueva estrategia cibernética de la Marina estadounidense.
«La próxima lucha contra nuestro principal adversario no se parecerá a ninguna otra», comienza el documento de 14 páginas. «El uso de efectos no cinéticos y la defensa contra esos efectos antes y durante los intercambios cinéticos serán probablemente el factor decisivo sobre quién prevalecerá».
Es una afirmación audaz, y así debe ser, dice el primer, y ahora ex, principal asesor cibernético de la Armada Chris Cleary, que dimitió el martes, dijo que es imperativo que la Armada vea la guerra cibernética como mucho más que redes y ciberseguridad.
«Es una disciplina bélica que deberíamos considerar una capacidad básica y, lo que es más importante, profesionalizar en torno a ella», dijo Cleary en una entrevista en su último día en el Pentágono.
La publicación el martes de la primera estrategia cibernética de la Armada es la culminación del esfuerzo de tres años de Cleary para unificar sus actividades cibernéticas y conseguir que el resto de la Armada comprenda su papel clave en la guerra moderna. Llevaba meses insinuando la existencia del documento, afirmando que la Armada se había sometido a un «respetuoso compás de espera» para adaptarse a la Estrategia Nacional de Defensa y a otras estrategias cibernéticas de la Casa Blanca y, más recientemente, del Pentágono.
El documento detalla siete líneas de actuación para ayudar a la Armada a mejorar su personal y preparación cibernéticos, defender las TI, los datos y las redes empresariales, proteger las infraestructuras críticas y los sistemas de armas, llevar a cabo operaciones cibernéticas, asegurar la base industrial de defensa y mejorar la cooperación.
La siguiente entrevista ha sido editada para mayor claridad y extensión.
¿En qué se diferencia esta estrategia de otros documentos anteriores relacionados con las redes?
Nunca insistiré lo suficiente en que no se trata de una estrategia de ciberseguridad. Es una estrategia cibernética. Se trata de una estrategia que, si nos fijamos en las distintas líneas de actuación que la componen, va mucho más allá de las funciones de bloqueo y ataque de las que es responsable el [Director General de Información-CIO].
Y permítanme detenerme aquí un momento. El CIO también participó en la redacción de la estrategia. Algunas de las líneas de esfuerzo eran realmente sus responsabilidades… como el «cambio a la preparación cibernética» y la defensa de las empresas de TI, que son funciones del CIO con un peso muy, muy importante.
Luego vienen las dos siguientes: la infraestructura, los sistemas de armas, la lucha contra la guerra. Estas son cosas nuevas que nunca he visto, nunca hemos visto, cómo estas líneas de actuación se han incorporado a un documento más amplio que va más allá de la ciberseguridad y esto es sólo «combate».
Y luego esta idea de llevar a cabo y facilitar las operaciones cibernéticas. Eso es nuevo. Somos una organización de combate. No es ningún secreto que nos profesionalizaremos y desarrollaremos capacidades que estamos obligados a aportar fuerza a la Fuerza Conjunta, y que luego estudiaremos la forma de llevar a cabo lo que cariñosamente llamamos operaciones cibernéticas retenidas por la Armada: cibernéticas desde la Flota o desde una «Marine Expeditionary Unit» (Unidad Expedicionaria de los Marines). Son cosas de las que nunca habíamos hablado.
Así que cuando se toma el tema de la cibernética, de nuevo, cubre ese espectro de «todo lo que necesitas para arreglar mi ordenador» a «entregar efectos cuando se dirige en un momento y lugar de nuestra elección para degradar la libertad de maniobra de los adversarios». Y luego da a la gente del Departamento la capacidad de señalar algo y decir: «El Secretario firmó esto». Algunas de estas cosas se nos resistían, pero ahora tenemos algo a lo que remitirnos. Ya no se trata sólo de buenas ideas. Se basa en la dirección actual de Estados Unidos a través de la Estrategia de Seguridad Nacional, y en cómo vamos a tratar de hacerlo como departamento.
¿Cómo se relaciona esto con la guía Cyber Ready del año pasado?
Directamente. La Line of Effort No. 2 está completamente relacionada con la preparación cibernética, es decir, la iniciativa Cyber Ready… supervisar la aplicación de la misma en todo el Departamento, y ahora está incorporada en una estrategia más amplia.
¿Existen objetivos e hitos que garanticen que la Armada lo consiga?
Todas estas estrategias son tan buenas como los planes de aplicación que las siguen. El Departamento de Defensa acaba de publicar su Estrategia Cibernética no hace mucho tiempo, y ahora estamos trabajando en el plan de aplicación a nivel Departamento para ponerla en práctica. La buena noticia es que muchas cosas de esa estrategia están respaldadas por lo que estamos haciendo nosotros. Así que no es en absoluto redundante; es muy cooperativa.
Dicho esto, una de las cosas en las que insistí con el Secretario a mi salida es que, hasta hace poco, la cibernética no se había consolidado como una competencia básica de la Armada. Eso no quiere decir que no haya cosas que estemos persiguiendo agresivamente a través de la Fleet Cyber y las Naval Information Forces y contribuyendo con componentes a la Fuerza de la misión cibernética. Confianza cero, gestión de identidades, Cyber Ready… inteligencia artificial, aprendizaje automático, nuestras propias iniciativas de datos. Todo esto se está unificando, pero todavía está un poco desordenado.
Una vez que adoptemos la cibernética como una competencia básica junto con la guerra de superficie, la guerra subsuperficial, la guerra expedicionaria de los Marines, la guerra especial de la Armada, una vez que la cibernética se vea desde esa perspectiva como igual al resto de ellas, las cosas empezarán a encajar de forma natural. Todo indica que vamos en esa dirección.
¿Cómo ha cambiado el puesto de asesor cibernético principal en los últimos tres años?
En la Armada en concreto, llegamos muy pronto a un acuerdo, aunque no se puede hacer nada sin un CIO realmente capacitado. Eso ya está sobre la mesa. El PCA se centró en su importancia operativa, en el aspecto bélico. Llamar la atención sobre aspectos en los que tradicionalmente no nos habíamos centrado: las infraestructuras críticas de defensa, la cibersupervivencia y resistencia de los sistemas de armas, la preparación de la fuerza de la misión, la defensa de la dotación de recursos para aspectos como las cibercapacidades ofensivas, porque somos una función de combate, eso es lo que hace la Armada.
La preparación de la fuerza de misión… en los años uno y dos fue un gran tema de conversación en su momento, y cómo la Armada iba a mejorar sus estándares de preparación. Y ahora hemos ido más allá con la creación del ingeniero de guerra cibernética y el oficial de guerra cibernética marítima, y el Vicealmirante [Kelly] Aeschbach está completamente facultado como único proveedor de la dotación y la presentación de la fuerza a la Fuerza Conjunta. Así que al principio resolvimos muchas cosas, pero no fue fácil hacerlo en los primeros 18 meses, porque al mismo tiempo que intentas crear una oficina, tienes que enfrentarte a problemas muy difíciles.
La Armada ha construido muchas armas en red antes de que se prestara atención a la piratería informática.
Una vez que nos dimos cuenta de que todas estas cosas tienen vulnerabilidades, se hicieron esfuerzos para remediarlas. Hay dos programas importantes: el programa SABER, una iniciativa destinada a mejorar la cibersupervivencia y la resistencia de las cosas en el mar, y el programa MOSAICS, que se lleva a cabo en tierra. Algunas cosas son tan antiguas… que hay que crear nuevas capacidades para protegerlas. Otras, que son totalmente nuevas, deberían construirse teniendo en cuenta la cibersupervivencia y la resistencia como parámetros clave de rendimiento desde el principio.
La fragata de la clase Constellation es un ejemplo perfecto. Se trata de un buque totalmente nuevo y la cibersupervivencia es algo que se está diseñando justo cuando se coloca la quilla. Entienden que tiene que ser estanco, tiene que flotar y tiene que ser ciberseguro desde el principio. Eso no significa que el enemigo no vaya a encontrar la manera de evitarlo. Eso no significa que no haya que construir una defensa perimetral en torno a estas cosas, pero van a estar mejor construidas que hace 20 o 30 años.
Trabajar con la [organización de adquisición y mantenimiento del Pentágono] a través del programa de ciberseguridad estratégica cibernética es una de las formas de conseguirlo. A medida que ese programa se ponía en marcha, los PCA se consideraban en cierto modo los animadores dentro de los departamentos para ayudar a A&S a hacer lo que tenían que hacer. Porque los sistemas de armas que estaban estudiando abarcaban todos a todos los ejércitos. Todos tenían algún sistema de armas designado como sistema de armas estratégico. Porque, en última instancia, es la Fuerza Conjunta la que requiere que estas cosas se entreguen y se entreguen de forma segura. Los militares tenían que dotar, entrenar y equipar a estas cosas.
La PCA estaba realmente en medio de todo eso, en todos los cuerpos: Wanda Jones-Heath, del Departamento del Ejército del Aire; Michael Sulmeyer, y antes que él Terry Mitchell, del Departamento del Ejército de Tierra. Todos nos hemos llevado siempre muy, muy bien. Todos contribuimos a estos programas. Todos pensamos que son importantes. Y creo que esa fue una de las buenas historias de la organización PCA. Porque empezamos como una especie de comunidad conjunta y nos aseguramos de mantener esas relaciones todo el tiempo.
¿De qué se siente más orgulloso y qué consejo le daría a su sucesor?
La creación de la visión de superioridad ciberespacial seguida de la estrategia ciberespacial. Algunas de estas cosas nunca habían existido, y fue realmente llevar este debate mucho más allá de la ciberseguridad y convertirlo en ciberguerra y resistencia. Al hacer esto, fuimos capaces de elevar cosas como los sistemas de armas y la seguridad de las infraestructuras críticas de defensa. Porque esas cosas siempre se han hecho, pero nunca habían llegado a un nivel en el que llamaran la atención del Secretario de Marina. Ahora son objeto de su atención y creo que el PCA ha contribuido a conectarlas. Nosotros no hicimos el trabajo; hay oficinas dentro de NAVSEA, NAVAIR y NAVFAC que están haciendo el trabajo. Nosotros sólo ayudamos a conectar los esfuerzos de estas organizaciones con los verdaderos responsables de la toma de decisiones… y a defender sus causas.
Para cualquiera que entre, ya sabes, detrás de esto detrás de mí… tienes que ser un verdadero creyente. Porque todavía hay dudas sobre su relevancia, sus capacidades y su credibilidad en el sector. Pero cuantos más creyentes haya que comprendan que la naturaleza misma de la guerra está cambiando y que el aspecto no cinético es cada vez más importante de cara al futuro. Realmente se necesita a alguien que defienda estas cosas. Y eso es lo que espero de la persona que venga detrás de mí…
Fte. Defense One (Lauren C. Williams)
Lauren C. Williams es redactora jefe de Defense One. Anteriormente cubrió temas de tecnología de defensa y ciberseguridad para FCW y Defense Systems. Tiene un máster en periodismo por la Universidad de Maryland, College Park.