GUERRA CIBERNÉTICA: ASPECTOS ORGANIZATIVOS Grupo de Trabajo nº 3 XXXIII CURSO DE DEFENSA NACIONAL Presidente: GB. D. Ramón Prieto Osés Miembros: D. Alejandro Hernández Mosquera D. Alfonso Candón Adán Dña. Ana Murillo Tapia Dña. Carmen Quesada Alcalá D. Nicolás Enríquez González D. Joaquín Calderón Moreno Abril de 2013 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL GRUPO DE TRABAJO Nº3 GUERRA CIBERNÉTICA: ASPECTOS ORGANIZATIVOS 1. INTRODUCCIÓN Después de haber definido la ciberseguridad y sus aspectos económicos, así como el ciberespacio y su empleo en la guerra asimétrica, definiremos la guerra cibernética o ciberguerra y sus aspectos organizativos. Habida cuenta de los avances que se han producido en España en cuanto a ciberdefensa y su desarrollo organizativo, enfocaremos el presente estudio al desarrollo de la capacidad nacional de ciberdefensa militar, que por mantener dentro de la capacidad de ciberdefensa, la de poder hacerlo con alguna acción de réplica, pudiera ser estudiado como aspecto de la ciberguerra aunque sea de manera impropia y por ceñirnos al título del estudio. Lo que empezó siendo un simple reto intelectual y un desafío para jóvenes informáticos, una especie de gamberrada con tintes de desafío intelectual y técnico, pasó a convertirse en objeto de pequeñas trampas y estafas. La gran proliferación de la informática en la administración pública, las empresas, banca e industria, sus conexiones a través de líneas telefónicas y, posteriormente, el desarrollo de internet, animó a la violación de medidas de seguridad informática para obtener información de inteligencia gubernamental, industrial, económica y científica para, rápidamente, en el plazo de pocos años, ser objeto de ataques con el fin de ocasionar daños. Hoy en el ciberespacio aparecen también hackers patrocinados por los estados. Los ciberataques han pasado a invadir todos los sectores de la actividad individual y colectiva de nuestra sociedad. La razón principal de la proliferación es que, en el ciberespacio, atacar una red es más fácil que defenderla, por la enorme desproporción entre el esfuerzo necesario para un ataque cibernético, amparado en el anonimato, con la ventaja para el atacante de elegir el momento y el objetivo, y el necesario para la protección de los sistemas. Nos enfrentamos a amenazas reales que ponen en peligro nuestros sistemas físicos incluyendo nuestros sistemas militares y, en definitiva, todas nuestras infraestructuras críticas. El incremento del interés por las tecnologías de la información ha llevado a una cada vez mayor implicación de las industrias dedicadas a estas tecnologías en todo tipo de actividades y procesos. Desde la banca, la gestión de redes eléctricas y ferrocarriles, hasta los sistemas de mando, control e información militar, todas basan sus actividades en programas informáticos, que han de estar dotados del máximo nivel de inviolabilidad. 1 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL La ciberdefensa es un nuevo dominio de guerra, prueba de ello es que más de 140 países, entre ellos España, están ya desarrollando sus capacidades. Estamos ante un problema del estado, que implica a las Fuerzas Armadas, a las Fuerzas y Cuerpos de Seguridad del Estado y a los sectores estratégicos. El problema fundamental para la Defensa es el cambio que las nuevas tecnologías han producido. Si en el pasado era suficiente con aprovecharse de las nuevas capacidades de los sistemas de información y del ciberespacio para mejorar la eficacia operacional de las Fuerzas Armadas, ahora es necesario poder combatir, y ganar, en el ciberespacio. La Defensa requiere asegurar las capacidades en el ciberespacio para poder garantizar la efectividad en las operaciones tradicionales. Se ha dicho del ciberespacio que es el campo de batalla del futuro. Este cambio obliga a modificar los conceptos y doctrinas que se aplican a la confrontación clásica, que deben ser adaptados a las exigencias de un escenario virtual. Este proceso adaptativo debe ser el punto de partida para la definición sólida y la creación ordenada de una capacidad de Ciberdefensa. La protección y la defensa del ciberespacio se ha convertido en uno de los retos fundamentales para las Fuerzas Armadas de la mayoría de los países, de ahí la necesidad de disponer de unas Fuerzas Armadas adaptadas a un entorno con continuos avance tecnológicos y dentro de un presupuesto cada vez más restrictivo. El riesgo omnipresente de ataques desde el ciberespacio, hace prever que en los futuros conflictos, las primeras acciones tengan lugar en el ciberespacio. Para abordar con éxito esta problemática, ya se ha avanzado significativamente en concienciación y organización. Ya en 2011 se produjo la promulgación de la Visión del JEMAD de la Ciberdefensa militar, en la que se definen las implicaciones en el uso del ciberespacio derivadas del concepto de la estrategia militar. En marzo de 2013 se ha firmado un convenio de colaboración entre el Instituto de Tecnologías de la Comunicación (INTECO), dependiente del Ministerio de Industria, y el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), del Ministerio del Interior, para actuar de forma coordinada ante ataques cibernéticos a este tipo de infraestructuras. Gracias a este acuerdo, se ha creado el primer Equipo de Respuesta ante Emergencias Informáticas (CERT) especializado en infraestructuras críticas, de las que el 80% son empresas privadas. A nivel estatal, el Centro Criptológico Nacional, encuadrado en el CNI, es el responsable de gestionar la seguridad del ciberespacio en cualquiera de los tres niveles de la Administración, y dispone de un Equipo de Respuesta ante Emergencias Informáticas (CERT), pero queda por desarrollar cómo se va a 2 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL llevar a cabo la seguridad nacional en el ciberespacio. La Vicepresidencia del Gobierno ha anunciado la inminente publicación de la Estrategia Nacional de Ciberseguridad que será el documento que marcará la pauta en la integración de las estrategias sectoriales. El aspecto organizativo resultará una de las claves para la definición e implantación de un buen sistema de ciberdefensa y la coordinación de esfuerzos, capacidades, responsabilidades y objetivos, deberá ser el eje fundamental sobre el que gire el todo. La OTAN y la Unión Europea están en plena transformación de sus capacidades de ciberdefensa. La OTAN ha aprobado durante el año 2011, una nueva política y un plan de acción de ciberdefensa; y la Unión Europea aprobó en 2009 el "concepto de operaciones en red en operaciones militares lideradas por la Unión Europea". En febrero de 2013, la Comisión Europea ha publicado una estrategia de ciberseguridad que representa la visión de conjunto de la UE sobre cómo prevenir y resolver mejor las perturbaciones de la red y los ciberataques. El ciberespacio es un espacio mundial común, y desde esa perspectiva necesita una respuesta global. Por esa razón, la cooperación internacional con gobiernos aliados y organizaciones de ámbito supranacional es esencial. 2. DEFINICIÓN DE ELEMENTOS CLAVE Ciberamenaza: Amenaza a los sistemas y servicios presentes en el ciberespacio o alcanzables a través de éste. Ciberarma: Software o hardware especialmente diseñado para realizar ciberataques. Ciberataque: Uso del ciberespacio para atacar a los sistemas y servicios presentes en el mismo o alcanzables a través de aquel. El atacante busca acceder sin autorización a información, o alterar o impedir el funcionamiento de los servicios. Ciberespacio: Espacio virtual mundial que interconecta sistemas de información, dispositivos móviles y sistemas de control industrial. Está soportado por todo tipo de comunicaciones tales como internet y redes de telefonía móvil. La interconexión proporciona acceso en línea a información y servicios. Ciberoperaciones: Operaciones militares conducidas en el ciberespacio. Ciberseguridad: Conjunto de actuaciones orientadas a hacer más seguras las redes y sistemas de información que constituyen el ciberespacio; detectando y enfrentándose a intrusiones; detectando, reaccionando y recuperándose de incidentes; y preservando la confidencialidad, disponibilidad e integridad de la información. 3 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Ciberguerra: El uso de capacidades basadas en la red de un estado, para interrumpir, denegar, degradar, manipular o destruir información residente en ordenadores y redes de ordenadores, o los propios ordenadores y las redes de otro estado. En la Orden Ministerial 10/2013, de 19 de febrero, por la que se crea el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas, se parte de una serie de definiciones, que componen el marco conceptual en el seno del cual se va a desarrollar el establecimiento de dicho Mando Conjunto. En efecto, el Mando Conjunto de Ciberdefensa español se va a mover en un contexto conceptual, que no se aleja del establecido en otros ámbitos, como el de los Estados Unidos. Así, se calca la definición de Ciberespacio, entendiendo por tal el “Dominio global y dinámico compuesto por infraestructuras de tecnología de la información —incluyendo internet—, redes de telecomunicaciones y sistemas de información” 1 . Sin embargo, hemos de tener en cuenta que no existe consenso entre los Estados sobre cómo se tiene que aplicar el Derecho Internacional a la guerra que tiene lugar en el ciberespacio. Conviene saber que la definición adoptada en España, a similitud de las definiciones contempladas en otros países, parten de un presupuesto básico. De esta manera, Ciberespacio no es un lugar físico, sino que se trata de un término amplio que se utiliza para referirse al espacio creado por la confluencia de redes de telecomunicaciones, sistemas de información y redes de telecomunicaciones 2 . En el caso de los Estados Unidos, tan sólo se define Ciberespacio y Ciberguerra, mientras que, en el supuesto de España, y en relación con la creación de dicho Mando Conjunto, también contamos con las definiciones de Ciberataque, Ciberseguridad y Ciberdefensa Militar. Se trata de una opción por una definición terminológica precisa, que dota a la creación del Mando Conjunto de un contexto conceptual muy claro, y menos ambiguo que el proporcionado por otros ordenamientos, como el ya mencionado, el estadounidense. Según la Orden Ministerial, Ciberataque es la “Acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan”. Es una definición clásica, que responde a la experiencia de ataques ya producidos, 1 JOINT CHIEFS OF STAFF, JOINT PUBLICATION 1-02, DEP’T OF DEF. DICT. OF MILITARY & ASSOC’D TERMS, at 141 (12 Apr. 2001). 2 WINGFIELD, Th. C. The Law of Information Conflict: National Security Law in Cyberspace, Aegis Research Corp, 2000. 4 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL como el de Estonia, en abril de 2007 3 . No podemos olvidar, en este sentido, que un ataque de estas características sería considerado un ataque a efectos del ejercicio de la legítima defensa individual colectiva, tal y como establece el art.51 de la Carta de las Naciones Unidas. En consecuencia, la definición del Ciberataque también era un punto básico para el establecimiento del Mando Conjunto en España, puesto que en sus funciones también va a figurar la reacción ante ataques de estas características, por lo que éstos habrían de estar definidos de un modo concreto. Por otra parte, Ciberseguridad se define como el “Conjunto de actividades dirigidas a proteger el ciberespacio contra el uso indebido del mismo, defendiendo su infraestructura tecnológica, los servicios que prestan y la información que manejan.”. Esta definición parte de un presupuesto como es el uso correcto del ciberespacio y las posibles consecuencias de un uso indebido del mismo, lo que ha de encuadrar las actividades del Mando Conjunto. Finalmente, siguiendo la Orden Ministerial, Ciberdefensa militar es el “Conjunto de recursos, actividades, tácticas, técnicas y procedimientos para preservar la seguridad de los sistemas de mando y control de las Fuerzas Armadas y la información que manejan, así como permitir la explotación y respuesta sobre los sistemas necesarios, para garantizar el libre acceso al ciberespacio de interés militar y permitir el desarrollo eficaz de las operaciones militares y el uso eficiente de los recursos.” Esta última definición está en íntima conexión con la creación del Mando Conjunto y sienta las bases de sus funciones, que se concretan en la preservación de la seguridad en relación con la información y sus sistemas de las Fuerzas Armadas y en el uso adecuado y eficaz del ciberespacio con fines militares. 3. CIBERDEFENSA Y CIBERGUERRA La ciberguerra no se encuentra en la punta de la pirámide de la escalada de un conflicto. La ciberguerra, en su forma de ciberespionaje, tendrá lugar desde las primeras fases del proceso. En su forma de ciberataque dependerá de las tácticas que se adopten en el planeamiento conjunto de las operaciones, si bien normalmente será anterior y/o simultánea a la fase de conflicto. Un ciberconflicto se puede originar de una forma aislada, sin necesidad de que haya una mayor escalada de violencia. 3 RYAN, J., “Growing Dangers: Emerging and Developing Security Threats”, NATO Review, Winter 2007, disponible en: http//www.nato.int/docu/review/2007/issue4/English/analysis2.html. 5 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Comparando los conflictos habidos en los últimos años en lo que ha existido ciberguerra, con los totales del último siglo, se llega a la conclusión de que los conflictos han sido y siguen siendo los mismos a lo largo de la Historia, y lo único que han variado han sido los escenarios en los que se llevaron a cabo. Aparte de sutilezas conceptuales de lo que para unos o para otros constituyen los instrumentos de poder, con lo que sí parece existir acuerdo es que son las herramientas de las que disponen los Estados para influir y/o presionar a otros estados con el objeto de conseguir sus intereses y objetivos nacionales. De todos los instrumentos de poder solo uno incide directamente en el mundo físico: el militar. Todos los demás presentan la dicotomía de mostrar una parte cognitiva, lo que le da valor, y otra física, meramente circunstancial. La parte cognitiva representa el valor del significado que tiene un acuerdo diplomático, un embargo económico o una noticia; la parte física es su mera representación en un soporte (documento, cinta, archivo, etc.). Sin embargo, es sobre esta última en la que incide hoy día el ciberespacio. Lo que se roba, lo que se altera o lo que se interceptan en el ciberespacio son los datos que conforman esos archivos o las transmisiones que los mueven. Este hecho es capaz de alterar la parte cognitiva, por lo que su seguridad ha adquirido tanta importancia como su contenido. El mundo físico tiene, por tanto, una gran trascendencia sobre los instrumentos de poder de una nación, ya sea por incidencia directa (el militar) o circunstancial (diplomático, económico y de información). Este mundo físico tiene su reflejo en los escenarios de conflicto. El ciberespacio no es ni una misión ni una operación. Es un escenario estratégico, operacional y táctico. Internet es la interconexión mundial de redes de datos. El lugar físico que ocupan estas redes es el ciberespacio. En Internet existen multitud de servicios. Los más conocidos son la web y el correo electrónico, pero también presta otros muchos como la transmisión de ficheros, el acceso remoto, chats, mensajería instantánea, telefonía, televisión, etc. El rápido progreso tecnológico permitió el aumento de las capacidades de los equipos informáticos y de comunicaciones y la facilidad, comodidad y rapidez con la que se accedía a la información fue incrementando la fiabilidad del sistema y la confianza de los usuarios en él, por lo que administraciones, empresas y usuarios volcaron todos sus viejos ficheros y conocimientos en servidores de archivos gestionados por sistemas de información conectados en red. Mientras que la industria ha progresado desarrollando sus sistemas poniendo mayor énfasis en su robustez y su interoperabilidad, se ha ido 6 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL dejando un poco de lado el tema de la seguridad, probablemente guiados por el principio de primar la operatividad sobre la seguridad. A partir de este error surgieron las vulnerabilidades físicas y lógicas, en sistemas operativos, también en aplicaciones y protocolos de comunicaciones. Aprovechando estas vulnerabilidades, aparecieron como un juego los primeros virus de los que pronto se descubrió su gran potencial maligno, que se convirtieron en las armas del ciberespacio. Los beneficios que esta explotación podría proporcionar a determinados sectores, grupos o mafias, impulsaron definitivamente su I+D. Apareció la ciberdelincuencia, los ciberataques, el ciberespionaje, el ceberterrorismo y, lógicamente, la ciberdefensa. Sin embargo, la capacidad de las naciones para defender sus redes y sistemas siempre quedará por detrás de la habilidad del enemigo para aprovecharse de sus puntos débiles. Siempre existirán vulnerabilidades susceptibles de ser descubiertas por expertos y siempre se superarán las medidas de seguridad que se impongan para intentar evitar intrusiones. En un entorno eminentemente ofensivo, una mentalidad basada en la mera acción defensiva no tiene futuro. Nos encontramos en un nuevo escenario físico, desarrollado de manera vertiginosa en los últimos 30 años y en el que apenas e ha puesto cuidado en la seguridad, del que nuestra sociedad se ha hecho totalmente dependiente y en el que han surgido importantes amenazas que explotan los fallos de su rápido diseño para obtener pingües beneficios, lo que pone en riesgo nuestro bienestar. Hace falta, por tanto, una fuerza capaz de operar en este nuevo entorno que proteja a la nación de las crecientes amenazas. Para el Departamento de Defensa de Estados Unidos, el ciberespacio se ha convertido en un campo de operaciones de igual entidad que la tierra, el mar, el aire o el espacio y por tanto susceptible de ser escenario tanto de maniobras defensivas como ofensivas, lo que podría incluir ataques preventivos y represalias. Pero para el nuevo escenario artificial no se habían creado fuerzas específicas hasta ahora. Los enfrentamientos que ya se están produciendo en él, las exigen. La necesidad se impone y ante nuevas necesidades se requieren nuevos medios. Las fuerzas del ciberespacio deberán disponer de capacidades ofensivas y defensivas y su objetivo será permitir el libre uso del ciberespacio a los ciudadanos de cada nación e impedirlo, si fuera necesario, a sus enemigos. Para conseguir este objetivo, las fuerzas deberán estar especializadas, ser permanentes y tener dedicación exclusiva a la ciberdefensa. Esto sólo se consigue con fuerzas conjuntas con adiestramiento conjunto desde el inicio o mejor aún, con fuerzas independientes de los actuales ejércitos. La complejidad del entorno y su rápida evolución no permiten otra opción. 7 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL IMPLEMENTACIÓN DE LA CIBERDEFENSA Abordaremos a continuación la descripción de las principales formas de implantación, que están llevando a cabo en las naciones y organismos internacionales de nuestro entorno, para el despliegue operativo de las capacidades de Ciberdefensa. Capacidad de respuestas ante incidentes informáticos. Seguramente la más ampliamente usada a nivel internacional es CERT (Computer Emergency Response Team) o Equipo de Respuesta de Emergencias Informáticas, ya que fue la primera en aparecer a finales de los años ochenta, tras el ataque del gusano Morris, que se propagó rápidamente por todo el mundo, infectando una gran cantidad de sistemas. La OTAN también se compromete a desplegar una capacidad similar a un CERT, a raíz de las decisiones tomadas en las cumbres de Praga (2002) y Estambul (2004), pero en este caso la denomina CIRC (Computer Incident Response Capability) de la OTAN o NCIRC (NATO Computer Incident Response Capability), que podríamos traducir como Capacidad de Respuesta ante Incidentes Informáticos de la Alianza. Ciberequipo Rojo La misión de un “Ciberequipo Rojo” sería la de evaluar la eficacia general de las medidas de seguridad de los sistemas de información y comunicaciones operativos, que apoyan el cumplimiento de la misión, a través de la ejecución controlada y sin previo aviso de ciberataques verosímiles, demostrando a las partes interesadas, y en especial a los responsables en la toma de decisiones, el posible impacto negativo en la misión, mejorando la capacidad del equipo de seguridad de detectar y responder a dichos ataques. Su papel es el de un ciberequipo enemigo que ataca nuestros sistemas para evaluar la capacidad defensiva, a la manera de los Equipos Rojos en el planeamiento de los Estados Mayores convencionales. Ciberejército Cada vez con más frecuencia, y en mayor número de países, ha ido surgiendo la opinión de que el crecimiento y la sofisticada evolución de la ciberamenaza hacen necesario enfrentarla con medidas más activas, que busquen no sólo prevenir, detectar, reaccionar y recuperar las infraestructuras propias, sino neutralizar la ciberamenaza desde su origen, implementando los aspectos de explotación y ataque de las capacidades de ciberdefensa. Surgen así los conceptos de ciberguerra y ciberejército, así como las reglas de enfrentamiento que permitan a éstos pasar al ataque. De esta forma podemos encontrar numerosas iniciativas en diferentes países, para crear y estructurar un cibermando militar. 8 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Seguramente sea el Mando de Ciberdefensa (USCYBERCOM) de Estados Unidos el que disponga de un cuerpo doctrinal más avanzado y conceptualmente elaborado, además de ser el que con mayor transparencia informa del avance en la implementación de sus capacidades. Analicemos, por tanto, el ciberejército norteamericano como forma de describir las características genéricas que cualquier otra nación implementa, implementará, o pretenderá implementar dentro de sus posibilidades, para sus respectivos ciberejércitos. En junio de 2009 el secretario de Defensa norteamericano ordenó establecer el Mando de Ciberdefensa estadounidense (USCYBERCOM) con la misión de planificar, coordinar, integrar, sincronizar y llevar a cabo actividades para: ¾ Dirigir las operaciones y la defensa de las redes de información específicas del Departamento de Defensa. ¾ Preparar y, cuando así se indique, llevar a cabo todo el espectro de las posibles operaciones militares en el ciberespacio, con el objetivo de facilitar las acciones en todos los ámbitos. ¾ Garantizar libertad de acción de Estados Unidos y sus aliados en el ciberespacio, y negar la misma a sus adversarios. Dependiente de la Agencia Nacional de Seguridad (NSA) y dirigido en la actualidad por el jefe de ésta, el general de cuatro estrellas Keith Alexander, el USCYBERCOM alcanzó la capacidad final operativa en octubre de 2010. A pesar de los recortes a los que se enfrentará el Pentágono en la próxima década, la financiación de esta unidad parece estar asegurada, dado el creciente papel que está ganando y que aumentará en el futuro, reforzado con un plan que contempla el incremento de la plantilla actual, formada por unos 1.000 efectivos, hasta una cifra que puede ser cercana a los 4.000 efectivos, de los que el 80% serán militares y el resto civiles. En mayo del pasado año, el jefe de Estado Mayor Conjunto presidió unas reuniones en las que se debatió la posibilidad de desligar al Mando de la Agencia Nacional de Seguridad para darle una identidad propia, que le colocaría al nivel de los Mandos de Combate Unificado del Pentágono. Esta decisión pondría la amenaza cibernética al mismo nivel que las amenazas a las que se enfrentan los ochos mandos actuales y potenciaría el carácter ofensivo del Mando de Ciberdefensa. Es la confirmación que falta para concluir que en el ciberespacio se librarán las guerras del futuro. El USCYBERCOM es el medio por el que se consigue centralizar el mando de las operaciones en el ciberespacio, fortaleciendo e integrando las capacidades del Departamento de Defensa en el ciberespacio, ya que reúne todas las cibercapacidades existentes, creando una sinergia que no existía hasta ese momento. De esta forma, el USCYBERCOM se compone de las ciberunidades de los diferentes servicios que componen las Fuerzas Armadas estadounidenses, en concreto: 9 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL 1 Cibermando del Ejército 2 Cibermando de la Fuerza Aérea 3 Cibermando de la Flota 4 Cibermando de la Infantería de Marina Por otro lado, desde hace tiempo se viene revisando la Doctrina Militar estadounidense, en sus diferentes componentes, para adecuarla a los nuevos retos que suponen las operaciones militares en el ciberespacio, intentando definir las capacidades que deben prepararse para afrontarlas. Así, el Ejército de Estados Unidos establece, en su Plan de Capacidad de los años 2016-2028 para el concepto de Operaciones en el Ciberespacio, que éstas se componen de: • Comprensión de la Cibersituación • Operaciones de la Red Cibernética • Ciberguerra • Soporte Cibernético Ciberguerra es el componente de las Ciberoperaciones que extiende el poder cibernético más allá de los límites de la Defensa del ámbito cibernético propio, para detectar, detener, denegar y derrotar a los adversarios. Las capacidades de la Ciberguerra tienen como objetivos las redes de telecomunicaciones y los ordenadores, así como los procesadores y controladores integrados en equipos, sistemas e infraestructuras. 4. DESARROLLO DE LA GUERRA CIBERNÉTICA 4.1. DOCTRINA DIFERENCIA ENTRE CIBERSEGURIDAD Y CIBERDEFENSA Hoy, el ciberespacio y sus redes asociadas se han convertido en un elemento esencial del que dependen infraestructuras, transportes, comercio, desarrollo económico, etc., además de un número cada vez mayor de servicios públicos. Su carácter crítico y su escasa regulación lo hace cada vez más vulnerable a múltiples amenazas y ha puesto el foco de atención prioritario sobre los aspectos ligados a la seguridad y la defensa, así como el derecho a la privacidad de sus usuarios. Estas amenazas, así como la utilización cada vez más frecuente de ataques a los sistemas de mando y control militar en operaciones, han dado lugar a dos conceptos diferenciados; ciberseguridad y ciberdefensa. La Estrategia Española de Seguridad señala que “la ciberseguridad no es un mero aspecto técnicos de la seguridad sino un eje fundamental de nuestra sociedad y sistema económico”. Dada la cada vez mayor importancia de los sistemas informáticos en la economía, la estabilidad y 10 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL prosperidad económica del país dependerá, en buena medida, de la seguridad de nuestro ciberespacio. A lo largo de los textos legales se adivina la idea de la necesidad de proteger el ciberespacio de determinados riesgos y amenazas en beneficio de su seguridad y confiabilidad, es, por tanto, un enfoque reactivo dirigido a la protección de la información que, progresivamente, está evolucionando hacia la aplicación de un proceso de análisis y gestión de los riesgos relacionados con su uso, lo que representa una posición más proactiva en el ámbito de la ciberseguridad. La ciberdefensa, como capacidad militar, proviene del incremento en el uso del ciberespacio para el desarrollo de operaciones militares. Es, por tanto, un nuevo dominio en el ámbito militar relacionado especialmente con los sistemas de mando y control. De acuerdo con la definición del apartado 2., la ciberdefensa militar es un concepto ligado al principio de libertad de acción y que, al contrario de la ciberseguridad, pretende actuar de forma activa sobre los sistemas de información adversarios. La enorme capacidad de crecimiento y evolución de la amenaza, la escalada de sus efectos o la extensión y amplitud de su impacto añadidos al anonimato que proporciona, convierten esta capacidad en un recurso rentable ante la asimetría de fuerzas en el actual campo de batalla. CAPACIDADES QUE REQUIEREN NUESTRA FUERZAS ARMADAS PARA GARANTIZAR LA CIBERDEFENSA MILITAR. El ciberespacio no es solamente propiedad de los estados sino también de la empresa privada y de la sociedad civil, de ahí que no sirvan los instrumentos clásicos para combatir los riesgos que conlleva su utilización. En la actualidad, todos los países de nuestro entorno están desarrollando estrategias, doctrina y estructuras que les garanticen superioridad en el empleo del ciberespacio en operaciones militares. La escasa regulación de este dominio hace vital el intercambio de información en tiempo oportuno de los diferentes centros de respuesta de la administración, de la empresa privada y de los mandos militares responsables de la ciberdefensa. Con este propósito, el proyecto de Estrategia de Ciberseguridad Española pretende crear un órgano supervisor de las actividades de ciberseguridad adscrito al Ministerio de la Presidencia, el Consejo de Ciberseguridad, constituido por los representantes de los organismos con competencia en esta materia. El organismo de coordinación nacional sería el Centro Nacional de Ciberseguridad que, entre sus misiones, tendrá la de articular un sistema de intercambio de información y comunicación de incidentes 11 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL entre los diferentes centros de respuesta, entre ellos los dependientes del Ministerio de Defensa. Entre los diferentes centros de respuesta dependientes de este organismo destacan, dentro del Ministerio de Defensa, el Centro de Operaciones de Seguridad de la Información (COSDEF), cuyos cometidos veremos en el subapartado 4.2. La Instrucción 96/2011, que regula sus actividades, no incluye acciones ofensivas en operaciones militares que en España corresponden a la cadena operativa (JEMAD). En España y en el área de ciberdefensa corresponde al JEMAD la dirección, planificación y coordinación de la capacidad de ciberdefensa para los sistemas de comunicaciones e información de las Fuerzas Armadas y la ejecución de las capacidades de explotación y respuesta. Recientemente, se ha creado bajo su autoridad el Mando Conjunto de Ciberdefensa, que dirigirá y coordinará las actividades de los tres ejércitos en este ámbito y cuyos cometidos veremos en el subapartado 4.2. El valor añadido de este Mando Conjunto descansa no sólo en detectar y reaccionar ante las amenazas cibernéticas al estilo de los centros de respuesta distribuidos por todo el territorio nacional sino en la capacidad de disuasión que le proporcionan las acciones ofensivas propias de ciberguerra. Es decir, explotar las oportunidades que ofrece el ciberespacio de forma proactiva. La Directiva de Defensa Nacional de 2012 define la disuasión como la voluntad de hacer frente a las amenazas como resultado de disponer de unas capacidades y de la determinación de usarlas si fuera necesario. Con la creación de este Mando, las Fuerzas Armadas pretenden, por una parte centralizar todas las acciones en este ámbito, participando en la estructura que le proporciona la próxima Estrategia de Ciberseguridad, así como planear y ejecutar acciones en las redes y sistemas de telecomunicaciones del adversario. Es por tanto un elemento integrado en la capacidad de disuasión de nuestras Fuerzas Armadas y su desarrollo orgánico debe partir no solo de mantener la libertad de acción de nuestros sistemas sino de la voluntad de dañar las del adversario. La capacidad de respuesta de los sistemas de respuesta que disponga esta estructura para ejercer dicha disuasión, está, a día de hoy, lastrada por la dificultad de trazar el origen de los ciberataques. Es por ello fundamental que la Estrategia de Ciberseguridad defina los términos en los que los elementos de su estructura compartirán información y recursos y la forma en la que estos se conectarán con las redes de nuestros socios y aliados, especialmente en las organizaciones internacionales de defensa a las que pertenecemos. 12 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL 4.2. ESTRUCTURA DE LA ORGANIZACIÓN 4 PLAN DE ACCIÓN PARA LA OBTENCIÓN DE LA CAPACIDAD DE CIBERDEFENSA MILITAR El Ciberespacio es un nuevo dominio que junto a los tradicionales, terrestre, marítimo, aéreo y espacio exterior, conforma el nuevo escenario en el que se desarrollan las operaciones militares. Las Fuerzas Armadas deben estar organizadas, adiestradas y equipadas para cumplir sus misiones en este nuevo entorno y para ello, deben disponer de una Capacidad de Ciberdefensa que las haga eficaces en operaciones que se desarrollen en el Ciberespacio, la cual se obtendrá mediante la implementación de un plan de acción que, de forma sinérgica y gradual, permita dotar a las Fuerzas Armadas de los recursos precisos. En esa línea, en julio de 2012 el JEMAD aprobó el "Plan de Acción para la Obtención de la Capacidad de Ciberdefensa Militar". Este se configura como un documento vivo para adaptarse a la naturaleza dinámica del ciberespacio y a la evolución de las tecnologías de la información. Para lograr la mayor eficiencia, el plan persigue la sinergia mediante la coordinación de los esfuerzos entre el ámbito conjunto (EMAD), el ámbito corporativo (DIGENIN), y los ámbitos específicos (Ejércitos y Armada), así como mediante el aprovechamiento de las estructuras existentes. Su implementación incremental y modular permitirá reaccionar a los cambios que se produzcan durante su desarrollo, como ha sido la creación del Mando Conjunto de Ciberdefensa de las Fuerzas Armadas, que no contemplaba el plan de acción, como organización, aunque sí sus capacidades. MANDO CONJUNTO DE CIBERDEFENSA DE LAS FUERZAS ARMADAS (MCCD) La Directiva de Defensa Nacional de 2012 establece que el Ministerio de Defensa participe en el impulso de una gestión integral de la ciberseguridad, en el marco de los principios que se establezcan al efecto en la Estrategia de Ciberseguridad Nacional. A tal efecto mediante Orden Ministerial 10/2013 de 19 de febrero se crea dentro del Estado Mayor de la Defensa integrado en la estructura operativa de las Fuerzas Armadas el Mando Conjunto de Ciberdefensa. Su ámbito de actuación son las redes y los sistemas de información y telecomunicaciones de las fuerzas armadas, así como aquellas otras redes y sistemas que específicamente se le encomienden y afecten a la Defensa Nacional. 4 Anexo 1: OBTENCIÓN DE LA CAPACIDAD DE CIBERDEFENSA 13 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Su misión es el planeamiento y la ejecución de las acciones relativas a la ciberdefensa militar en las redes y sistemas de la información y telecomunicaciones de las Fuerzas Armadas u otros que pudiera tener encomendados así como contribuir a la respuesta adecuada en el ciberespacio ante amenazas o agresiones que puedan afectar a la Defensa Nacional. Entre sus cometidos figura el ejercer la respuesta oportuna, legítima y proporcionada en el ciberespacio ante amenazas o agresiones que puedan afectar a la defensa nacional. Deberá cooperar con los centros nacionales de respuesta a incidentes de seguridad de la información -CNI +INTECO- , de acuerdo con lo que determinen las estrategias y políticas nacionales de ciberseguridad en vigor. También deberá cooperar con los centros nacionales de respuesta a incidentes de seguridad de la información, de acuerdo con lo que determinen las estrategias y políticas nacionales de 'ciberseguridad' en vigor. Según la mencionada normativa el conjunto de tecnologías, redes, ordenadores e infraestructuras forma parte de un nuevo dominio denominado ciberespacio que constituye una parte esencial para el funcionamiento de los países, el bienestar de los ciudadanos y la seguridad nacional. El MCCD ejercerá la representación del Ministerio de Defensa en materia de ciberdefensa militar en el ámbito nacional e internacional y dirigirá y coordinará la actividad que en esta materia realicen los Ejércitos. Además, se encargará de definir dirigir y coordinar la concienciación, la formación y el adiestramiento especializado en materia de ciberdefensa. Este dominio plantea un nuevo escenario de posibilidades pero también de vulnerabilidades y amenazas que lo hacen muy atractivo para determinados actores, que aprovechándose de las mismas, quieran infligir un daño a la sociedad mediante la realización de ciberataques. Los cometidos que llevará a cabo el MCCD, según establece la OM, se descomponen hasta en 23 actividades diferentes, incluido el mando 5 . Dichas actividades se agrupan funcionalmente en áreas de actividad. Dichas áreas se agrupan en áreas funcionales de mayor nivel que constituyen las diferentes secciones del Mando 6 . El ejercicio de dichas actividades y su agrupación funcional determina el número de efectivos necesarios para su ejecución 7 . COSDEF 5 Anexo 1Figura 2. Anexo 1Figura 3. 7 Anexo 1Figura 4 y Figura 5. 6 14 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Un Centro de Operaciones de Seguridad de la Información ( COS) es una organización que tiene por finalidad afrontar la amenaza cibernética sobre la seguridad de la información mediante dos funciones : - detectar - coordinar la respuesta operativa a los incidentes de seguridad que se puedan producir así como proporcionar una mejor comprensión del problema cibernético a través de la divulgación de las amenazas informáticas. Los ataques de la ciberdelincuencia son cada vez más numerosos y críticos. En los últimos años se ha producido un incremento de incidentes tales como las intrusiones a páginas web con el fin de robar información, la detección de nuevas familias de malware, la introducción de código dañino en los de sistemas industriales etc… En este sentido un COS constituye una buena solución para desarrollar de forma coherente todas las acciones orientadas a afrontar las amenazas en el ciberespacio. En España el Ministerio de Defensa dispone del COSDEF (Centro de Operaciones de Seguridad de la Información) creado por la Instrucción 96/2011 de 16 de diciembre del Secretario de Estado de Defensa, que tiene por misión gestionar las actividades de carácter proactivo, reactivo y de detección, relacionadas con la seguridad de la información y ciberdefensa en los sistemas de información y telecomunicaciones corporativos. Se encuentra encuadrado en el Área de Seguridad de la Información de la Subdirección General de Tecnologías de la Información y Comunicaciones y se estructura en cuatro células: - Célula de Prevención - Célula de Detección y Operación - Célula de Reacción - Célula de Soporte El conjunto de cometidos proactivos que lleva a cabo el COSDEF está orientado a analizar las amenazas que pueden materializarse en los sistemas de información y telecomunicaciones, a detectar las vulnerabilidades en dichos sistemas y a promover la implantación de medidas de seguridad de carácter preventivo. El conjunto de cometidos de detección está dirigido a dos aspectos fundamentales la monitorización de los sistemas de información y telecomunicaciones buscando signos de intrusiones y otras actividades anómalas y la gestión e inspección de los registros de actividad de los sistemas de inspección de los sistemas de información y de telecomunicaciones. Entre los cometidos de gestión fomenta la colaboración con otros organismos tanto del Ministerio de Defensa como ajenos al mismo. 15 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Para abordar los cometidos de reacción cuenta con un conjunto organizado de medios humanos, materiales y procedimientos, con capacidad de llevar a cabo tanto actividades de gestión de incidentes como de efectuar análisis forense. Fomenta la colaboración con otros organismos tanto del Ministerio de Defensa como ajenos al mismo y desarrolla y distribuye informes periódicos sobre el estado de seguridad de la información del Ministerio de Defensa. El Mando Conjunto de Ciberdefensa mantendrá la coordinación con el COSDEF. 5. ASPECTOS LEGALES DE LA CIBERGUERRA Atendiendo al “Tallinn Manual on the International Law Applicable to Cyber Warfare”, escrito a instancias del NATO Cooperative Cyber Defence Centre of Excellence, sito en Tallin, Estonia, por expertos en derecho internacional, el concepto y marco jurídico de la ciberguerra es no es todo lo novísimo que esperaríamos. De hecho, se delimita en los mismos parámetros y términos que lleva marcando la legislación internacional en la materia desde, al menos, la creación de la Sociedad de Naciones. El documento, se ocupa de definir el concepto de ciberguerra, las legítimas razones que un Estado tiene para entrar en ella, y el modo ajustado a derecho de comportarse en la misma, hace especialmente evidente su continuismo en las definiciones de uso de la fuerza 8 , legalidad y legitimidad en el uso de la fuerza, amenaza, legítima defensa, necesidad y proporcionalidad. En definitiva, la verdadera novedad sobre la ciberguerra es el nuevo espacio estratégico. Su marco legal, las reglas de juego que la OTAN sugiere adoptar, son muy cercanas, prácticamente idénticas a las que se adoptarían si el escenario del conflicto fuera el aire, o el mar. Ahora bien, todo marco jurídico requiere de un compromiso ético multinacional, si bien nos encontramos todavía, en este ámbito, lejos de cualquier semblanza del Imperio de la Ley. LOS ASPECTOS ORGANIZATIVOS DE LA CIBERDEFENSA Y EL DERECHO INTERNACIONAL PÚBLICO La Ciberdefensa y sus aspectos organizativos están en conexión con varios ámbitos del Derecho Internacional Público, el Derecho que regula el uso de la fuerza, el Derecho Internacional Humanitario y el Derecho de la Guerra. A este respecto, se ha de tener en cuenta que, al crear el Mando Conjunto de Ciberdefensa en España, se han de contemplar dichas normas del Derecho Internacional Público. En particular, el art.2.4 de la Carta de la 8 “Una ciberoperación tendrá la consideración de uso de la fuerza cuando su escala y efectos sean comparables a los de operaciones convencionales que pudieran recibir dicha consideración”, Regla 11 del Manual, P.48 16 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL ONU, que prohíbe el uso de la fuerza en las relaciones internacionales; el art. 51 del mismo tratado, que establece la definición y requisitos para el ejercicio de la legítima defensa, individual o colectiva; la Resolución 3314 (XXIV) de la Asamblea General de la ONU, que define la agresión. En el ámbito más específico del Derecho de la Guerra y del Derecho Internacional Humanitario, habremos de prestar atención al Reglamento de la Haya, los Convenios de Ginebra y sus Protocolos Adicionales, así como a los principios generales del Derecho de la Guerra y las Normas Consuetudinarias. En particular, en el ejercicio de la Ciberdefensa, se han de tomar en consideración los principios relativos a: la necesidad militar, distinción, proporcionalidad, sufrimiento innecesario, perfidia y neutralidad. INCIDENCIA DE LA LEGALIDAD INTERNACIONAL EN LA CIBERGUERRA Nada en la legalidad internacional prohíbe de forma explícita las operaciones de ciberguerra; sin embargo, seguramente existen limitaciones legales respecto a su aplicación. Además, las operaciones de ciberguerra tienen la capacidad de constituir un uso de la fuerza o una violación de las leyes de guerra. Las operaciones de ciberguerra ofrecen una gran variedad de métodos para impactar en la capacidad del adversario para conducir la guerra. Pueden permitir a un estado infiltrar la red de un adversario, obtener archivos, diseminar desinformación o introducir debilidades en los sistemas de un adversario. Las operaciones de ciberguerra pueden también hacer posible que un estado tome el control de la red de un adversario con el propósito de deshabilitarla temporal o permanentemente o afectar la infraestructura que aquella apoya. Además las operaciones de ciberguerra tienen la capacidad de privar a un adversario de la infraestructura esencial de apoyo a las acciones militares, tales como los satélites de comunicación. Una ventaja de las operaciones de ciberguerra es que, con frecuencia, alcanzarán los resultados deseados con menores daños colaterales que la guerra tradicional, tales como, deshabilitar una red eléctrica accediendo a su red informática en lugar de bombardear la planta de energía. A pesar del hecho de que las operaciones de ciberguerra tienen la capacidad de limitar los daños colaterales durante períodos de hostilidades, presentan algunos riesgos a los estados que puedan emplear tal tipo de guerra. Un ejemplo sería la potencial escalada de hostilidades menores en el estallido de un conflicto. Por ejemplo, un estado A que ha recibido evidencias específicas que establecen que el estado B estuvo detrás de los ataques de denegación de servicio (DoS) contra el gobierno del estado A, declara los hechos como de uso ilícito de la fuerza y ordena llevar a cabo una campaña de bombardeo aéreo contra las instalaciones de comunicaciones del estado B, fuente del ataque. El estado B puede a su vez 17 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL declarar las acciones del estado A como acciones de guerra y lanzar misiles contra el estado A. ¿Quién es el culpable en este escenario? ¿Alguno realmente violó la legalidad internacional? Uno de los mayores retos de la ley es mantenerse actualizada al ritmo del avance de la tecnología. La comunidad internacional se ha esforzado a menudo para poner en práctica normas de conducta oportunas con relación al avance del armamento. En el pasado, cuando emergían nuevas tecnologías, en un esfuerzo por evitar la guerra o minimizar el sufrimiento humano cuando se producían conflictos, los estados redactaban normas que tenían como resultado, por ejemplo, tratados que restringían las armas biológicas, químicas o láser. En marzo de 2006, Nikolai Kuryanovich, un miembro de la Duma rusa, señaló en una carta a un grupo hacker ultranacionalista conocido como “La Unión Eslava” que, “en el futuro más cercano muchos conflictos no tendrán lugar en el campo de batalla en terreno abierto, sino más bien en los espacios de internet, combatidos con la ayuda de soldados de la información…” Creemos que el futuro, que el Sr. Kuryanovich plantea, es el momento actual, y que ahora es el momento para que los estados determinen lo que está y no está permitido en la legalidad internacional en relación con las operaciones de ciberguerra. El fracaso en que esto se haga ahora, puede tener como resultado una normativa excesivamente restrictiva y reaccionaria como respuesta a un ciberataque tipo Pearl Harbour, en lugar de un enfoque bien meditado proactivo y estructurado. 6. CONCLUSIONES Tras el análisis realizado, podemos extraer las siguientes conclusiones: − La ciberdefensa sería el subconjunto más operativo de las capacidades de ciberseguridad, lo que parece lógico y coherente si pensamos que en el mundo físico la defensa es la parte más operativa de las capacidades que desarrollan las naciones para garantizar la Seguridad Nacional. − La mayoría de los cuerpos de doctrina militar clasifican las capacidades de ciberdefensa en tres tipos: las de defensa, centradas en la prevención, detección, reacción y recuperación frente a ataques; las de explotación, que permiten la recopilación de información sobre potenciales adversarios; y las de respuesta, que incluyen las medidas y acciones a tomar ante amenazas o ataques. − Una capacidad de respuesta a incidentes informáticos implementa fundamentalmente capacidad de defensa, dentro de la estrategia de ciberdefensa de una nación y organismo internacional, buscando garantizar la prevención, detección, reacción y recuperación frente a ataques, intrusiones, interrupciones u otras acciones hostiles deliberadas. 18 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL − Un “Ciberequipo Rojo” también implementa la capacidad de defensa, dentro de la ciberdefensa, puesto que al centrar su actividad únicamente en los sistemas propios, se excluyen por definición las actividades de explotación y respuesta. De todas formas, no debemos confundirlo con una CIRC, ya que es una capacidad complementaria y potenciadora de ésta, y cuyo adiestramiento y forma de operar está más próximo al de un ciberejército, diferenciándose de éste fundamentalmente en su doctrina y en los objetivos de su misión. − Debido a la creciente sofisticación de la ciberamenaza, cada vez en más países se está imponiendo la opinión de que es necesario hacerle frente con medidas más activas, que busquen no sólo prevenir, detectar, reaccionar y recuperarse ante un ataque, sino neutralizar la ciberamenaza desde su origen, desarrollando las capacidades de un ciberejército, así como las reglas de enfrentamiento que permitan a éstos pasar al ataque. − Tras analizar los diferentes modelos, compromisos y alcances, no excluyentes unos de otros, a la hora de implementar una adecuada capacidad de ciberdefensa, podemos deducir que en general ésta busca dar respuesta a dos aspectos o misiones diferenciados: − Por un lado, la protección de las TIC de la Defensa, sobre las que se apoya la capacidad operativa militar en el mundo físico tradicional. Estas capacidades suelen ser las primeras en implementarse en forma de CIRC-CERT. − Por otro, implementar una capacidad militar en el ciberespacio, para garantizar la defensa de los intereses nacionales en ese nuevo ámbito. Que se suele implementar partiendo de las anteriores y cuya máxima expresión serían los ciberejércitos. 7. PROPUESTA DE FUTURO Lo que define una estrategia son sus objetivos y sus líneas de acción y, como en toda guerra, puede ser ofensiva o defensiva. Una estrategia ofensiva será la que tenga por objetivos la información y los sistemas del adversario que protegen las infraestructuras críticas. Las líneas de acción serán los distintos empleos de las ciberarmas para anularlos. Por el contrario, una ciberestrategia defensiva tendrá por objeto la información y los sistemas propios, y las líneas de acción estarán enfocadas a la conservación de los sistemas propios, lo que redunda en la protección de las infraestructuras críticas. No obstante lo anterior, las estrategia ofensiva requiere estar preparado para defenderse de un ciberataque sofisticado. Tendremos que fortalecer la capacidad de prevención y respuesta ante incidentes informáticos, pues en general las naciones aisladamente no 19 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL tienen capacidad técnica ni jurídica para enfrentarse a ciberataques masivos, por lo tanto solo se puede abordar el problema desde la cooperación internacional. Uno de los problemas y elementos clave a considerar, es la legalidad internacional; cómo habrá que legislar para que los estados se comprometan a controlar dentro de sus fronteras a los hackers que puedan atacar a otros estados. De esta forma, se podría circunscribir más las responsabilidades estatales y podría constituir un elemento de disuasión al no poder eludir éstos su responsabilidad. Se evitaría que los estados pudieran alentar, tolerar e incluso, subcontratar a grupos de hackers para que lleven a cabo ciberataques en la línea de los intereses del estado. La ciberseguridad se garantiza con información, conocimientos, procedimientos y buenas prácticas, que serán más efectivos si son compartidos. A nivel nacional, la ciberseguridad es un Asunto de Estado, que requiere la coordinación y contribución de múltiples actores. En el caso particular de la Defensa, se debe abrir un proceso que identifique los escenarios, objetivos estratégicos y grandes líneas de acción que desemboquen en una capacidad de Ciberdefensa en el medio/largo plazo, en línea y coordinación con la Estrategia Nacional de Ciberseguridad, con una estrecha relación con el CNI, las Fuerzas y Cuerpos de Seguridad del Estado y demás actores claves del sistema. Los escenarios deben considerar la prevención, la detección, la respuesta flexible, y garantizar la recuperación de los sistemas, y todo ello, cubriendo todos los posibles focos de vulnerabilidad ante las amenazas. La estimación de estos escenarios y de los Planes de Contingencia, son clave dentro de la fase de definición de la capacidad de Ciberdefensa. En esta reflexión, no se pueden dejar de lado aspectos específicos del mundo de la defensa, como la capacidad de disuasión o de ciberataque, pues cualquier sistema basado únicamente en la protección pasiva estará, por definición, expuesto a la debilidad que representa el intento continuado de su vulneración. Es necesario, por tanto, organizar convenientemente la capacidad de conducir ciberataques, para asegurar la superioridad en el enfrentamiento y la percepción de fortaleza y voluntad de acción suficientes sobre los que gira el concepto de Disuasión. No podemos, ni debemos, infravalorar la dificultad de implantar una capacidad de este tipo, ya que es una tarea compleja tanto desde el punto de vista tecnológico, como organizativo y de coordinación interagencias. Sin embargo, si la inversión en la fase inicial es moderada y compatible con el escenario presupuestario actual, no debemos perder de vista que, por otra parte, la inversión total en ciberdefensa resulta cuanto menos simbólica si se 20 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL la compara con las pérdidas que su ausencia puede ocasionar al conjunto de la nación. Pero, si queremos construir una capacidad de disuasión creíble, debemos disponer de la capacidad de ciberataque; para ello, en un futuro no muy lejano, debemos disponer de ciberarmas. La pregunta, entonces es: ¿cuánto cuesta una ciberarma? Resulta casi imposible establecer un coste exacto para el desarrollo de una ciberarma, que depende de muchas variables, pero disponemos de una estimación válida y realista, proporcionada por el famoso hacker norteamericano Charlie Miller 9 . Miller presentó un proyecto hipotético de un par de años de duración que requeriría un número aproximado de 592 profesionales, que abarcarían una gran variedad de especialidades, desde analistas de vulnerabilidades hasta gestores. El estudio demuestra que el desarrollo de una ciberarma necesita de especialistas altamente cualificados que trabajen en una organización rígidamente jerarquizada con una disponibilidad de equipamiento ilimitada. La simulación reveló un gasto de 45.9 millones de dólares en salarios anuales (con un salario anual medio de 77.534 dólares) y 3 millones de dólares en equipo. A pesar de que la cantidad total podría parecer excesiva, si se compara con el coste de un arma convencional, en realidad resulta barato. Por este motivo, muchos gobiernos están formando ciberunidades dedicadas al desarrollo de nuevas tecnologías ofensivas. Madrid, 4 de Abril de 2013 9 “How to build a cyber army to attack the U.S.” Anexo 2 Figura 6 21 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 OBTENCIÓN DE LA CAPACIDAD DE CIBERDEFENSA 1. INTRODUCCIÓN El Jefe del Estado Mayor de la Defensa aprobó, el 28 de enero de 2011, la "Visión de la Ciberdefensa Militar" [Ref. a], en la que se orienta la definición, desarrollo y empleo de las capacidades militares nacionales necesarias que permitan garantizar la eficacia en el uso del ciberespacio en las operaciones militares. Posteriormente el JEMAD aprobó, el 28 de julio de 2011, el "Concepto de Ciberdefensa Militar" [Ref. b], en el que se exponen los principios, objetivos y retos de la ciberdefensa en el ámbito militar. Así mismo, se define la terminología, se realiza una evaluación de la capacidad, se presentan las funciones y responsabilidades en esta área, y se ordena la elaboración de un "plan de acción para la obtención de la capacidad de Ciberdefensa Militar". Actualmente, la mayoría de las naciones desarrolladas y organizaciones internacionales relacionadas con la seguridad y la defensa consideran los ciberataques como una amenaza creciente y, en consecuencia, están desarrollando estrategias de seguridad que conllevan una importante transformación de las estructuras militares de ciberseguridad. El plan de acción se configura como un documento vivo para adaptarse a la naturaleza dinámica del ciberespacio y a la evolución de las tecnologías de la información. Para lograr la mayor eficiencia, el plan persigue la sinergia mediante la coordinación de los esfuerzos entre el ámbito conjunto (EMAD), el ámbito corporativo (DIGENIN), y los ámbitos específicos (Ejércitos y Armada), así como el aprovechamiento de las estructuras existentes. Su implementación incremental y modular permitirá reaccionar a los cambios que se produzcan durante su desarrollo, como ha sido la creación del Mando Conjunto de Ciberdefensa de las Fuerzas Armadas, que no contemplaba el plan de acción, como organización, aunque sí sus capacidades. 2. OBJETO El objeto del plan de acción es identificar las acciones necesarias para la obtención de una capacidad de Ciberdefensa Militar que cumpla con los siguientes objetivos especificados en el concepto de Ciberdefensa Militar: 1) Garantizar el libre acceso al ciberespacio, como situación necesaria para el desarrollo de las operaciones previstas en las misiones asignadas a las Fuerzas Armadas. 2) Establecer un ámbito de operación seguro en el ciberespacio, para garantizar la confidencialidad, disponibilidad e integridad de la información almacenada, transmitida o en proceso en los sistemas CIS y la disponibilidad e integridad de los propios sistemas. 3) Obtener y mantener la superioridad local en el ciberespacio, durante las operaciones. A‐1 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 4) Garantizar la operación de las redes y servicios críticos de los sistemas militares, así como de los propios sistemas en un ambiente degradado debido a incidentes, accidentes o ataques. 5) Obtener, analizar y explotar la información de los potenciales adversarios en el ciberespacio. 6) Ejercer la respuesta necesaria, legítima y proporcionada a acciones no autorizadas. 3. ÁMBITO Lo establecido en el plan de acción es de aplicación a todos los sistemas de comunicaciones e información de las Fuerzas Armadas, que incluyen: a. Sistemas de mando y control. b. Sistemas de comunicaciones e información nacionales de los niveles estratégico, operacional y táctico. c. Sistemas de combate y control de plataformas. d. De forma subsidiaria, todos los sistemas de las organizaciones internacionales de seguridad y defensa a las que España pertenece (OTAN, UE, etc.) en cuanto a sus directrices de empleo nacional. 4. DESARROLLO DE LA CIBERDEFENSA MILITAR La Ciberdefensa Militar consta básicamente de tres capacidades diferenciadas, que cubren respectivamente aspectos defensivos, de explotación y de respuesta. La obtención de estas capacidades permite cumplir los objetivos de la Ciberdefensa Militar mencionados en el apartado 2. 4.1. Capacidad de Defensa La "Capacidad de Defensa" es el conjunto de sistemas, infraestructuras, personal y medios de apoyo logístico, asentados sobre unos principios y procedimientos doctrinales para la ejecución y mantenimiento de acciones y actividades orientadas a la protección de los sistemas de información y comunicaciones, y la información que manejan, frente a ciberataques y su recuperación en caso de fallo o inutilización, parcial o total. Incluye actividades de anticipación, prevención, monitorización, análisis, detección, resistencia y recuperación frente a intrusiones, perturbaciones, interrupciones o cualquier acción no autorizada que comprometa la información y los sistemas propios. 4.2. Capacidad de Explotación La "Capacidad de Explotación" es el conjunto de sistemas, infraestructuras, personal y medios de apoyo logístico, asentados sobre unos principios y procedimientos doctrinales para la ejecución y mantenimiento de acciones y actividades orientadas a la obtención de información sobre las capacidades cibernéticas de defensa, explotación y respuesta de potenciales adversarios y agentes hostiles. A‐2 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 Incluye actividades de recopilación, análisis, valoración y explotación de información. 4.3. Capacidad de Respuesta La "Capacidad de Respuesta" es el conjunto de sistemas, infraestructuras, personal y medios de apoyo logístico asentados sobre unos principios y procedimientos doctrinales para la ejecución y mantenimiento de acciones y actividades orientadas a la realización de ciberataques como defensa frente a amenazas y ataques. Incluye actividades de perturbación, denegación de uso, degradación o destrucción de información, servicios o sistemas de información y comunicaciones de potenciales adversarios y agentes hostiles. 5. ORGANIZACiÓN DE LA CIBERDEFENSA MILITAR La organización de la Ciberdefensa Militar (Organización CDM) abarca todo el ámbito de las Fuerzas Armadas y debe dar cumplimiento a las responsabilidades del Jefe de Estado Mayor de la Defensa y de los Jefes de Estado Mayor de los Ejércitos y la Armada, que se establecen en el "Concepto de Ciberdefensa Militar" y que a continuación se expresan: En el ámbito de la Ciberdefensa Militar, corresponde al Jefe de Estado Mayor de la Defensa: − La dirección, planificación y coordinación de la obtención de la capacidad de ciberdefensa militar. − La dirección, planificación, coordinación y ejecución de la misma en los sistemas conjuntos. − La ejecución de las actividades de explotación y respuesta. − La elaboración de la Doctrina Conjunta de Ciberdefensa Militar. − La representación militar nacional, en este campo, ante organizaciones − internacionales de seguridad y defensa. Los Jefes de Estado Mayor de los Ejércitos y la Armada serán responsables de: − La dirección, planificación, coordinación y ejecución de la capacidad de ciberdefensa en sus sistemas específicos, de acuerdo con las directrices del JEMAD. − La adaptación de la formación, preparación y adiestramiento de la fuerza para el desarrollo de los cometidos de ciberdefensa que le sean encomendados, de acuerdo con las directrices del JEMAD. − La elaboración de la doctrina específica de Ciberdefensa en sus ámbitos. La organización de la Ciberdefensa Militar (Organización CDM) comprende los recursos humanos, materiales, así como los procedimientos necesarios para dirigir, planificar, gestionar, coordinar, asesorar, ejecutar, mantener y supervisar las acciones y actividades de defensa, explotación y respuesta en el ciberespacio para cubrir los objetivos del concepto del JEMAD: libre acceso, seguridad, superioridad local, operación en modo degradado, explotación de la información y respuesta adecuada. La organización de la Ciberdefensa Militar se establece, dentro de las Fuerzas Armadas, como una estructura de tres niveles: dirección, gestión y ejecución. A‐3 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 5.1. Dirección La dirección de la Ciberdefensa Militar corresponde al Jefe de Estado Mayor de la Defensa (JEMAD), como máximo responsable de la ciberdefensa en el ámbito de las Fuerzas Armadas, auxiliado por: a. El Comité INFOSEC de la COMCISFAS. b. El Grupo de Trabajo Permanente de Ciberdefensa Militar (GTCDM). El JEMAD dispone del comité INFOSEC de la COMCISFAS como órgano consultivo y asesor, de alto nivel, en materia de Ciberdefensa Militar. El Comité INFOSEC dispondrá de un grupo de trabajo permanente de Ciberdefensa Militar como apoyo para la gestión de las actividades que se deriven de las decisiones adoptadas por él. Este grupo de trabajo se compondrá por personal de las Fuerzas Armadas experto en ciberdefensa y materias relacionadas. Se estudiará la normativa correspondiente al Comité INFOSEC para adaptarlo a los principios, objetivos y retos de la Ciberdefensa Militar establecidos en el concepto de Ciberdefensa Militar y en el plan de acción. 5.1.1. Comité INFOSEC de la COMCISFAS Es el órgano de trabajo de la COMCISFAS en materia de seguridad de la información de los sistemas de información y telecomunicaciones (Seguridad CIS). La ciberdefensa se considera un área de seguridad incluida en el ámbito de la seguridad CIS y por tanto, el Comité INFOSEC es el órgano de que dispone la COMCISFAS para desarrollar la consulta y asesoramiento al JEMAD en materia de Ciberdefensa Militar. Se actualizarán las “normas para el funcionamiento del Comité INFOSEC de COMCISFAS” para adaptarse a las singularidades de la ciberdefensa y, en concreto, a las acciones derivadas del “Concepto de Ciberdefensa Militar” y de este Plan de Acción. 5.1.2. Grupo de Trabajo Permanente de Ciberdefensa Militar (GTCDM) Se establecerá un grupo de trabajo permanente, dependiente del Comité INFOSEC, cuyos cometidos son: a. Asesorar al Comité INFOSEC sobre el desarrollo de normas y procedimientos de Ciberdefensa Militar. b. Supervisar la ejecución del Plan de Acción. c. Coordinar las necesidades de medios de ciberdefensa del EMAD, los Ejércitos y la Armada. d. Apoyar al Comité INFOSEC en otros asuntos de Ciberdefensa Militar. 5.2. Gestión A‐4 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 En la gestión de la Ciberdefensa Militar se realizan las funciones de planeamiento, supervisión, asesoramiento y coordinación interna, nacional e internacional. Para realizar la gestión de la Ciberdefensa Militar la organización dispondrá de: a. La Sección de Seguridad de la Información CIS de la División CIS del EMACON (Sección SEGINFO CIS) que gestionará la Ciberdefensa Militar en el ámbito conjunto. b. Un Área de Ciberdefensa Militar en cada uno de los Ejércitos que gestionará la Ciberdefensa Militar en el ámbito específico. c. El programa “Information Assurance” (Programa lA) Los Ejércitos y la Armada, dispondrán de una unidad de ciberdefensa para llevar a cabo los cometidos encomendados en el “Concepto de Ciberdefensa Militar” que coordinará con la Sección SEGINFO CIS de la División CIS del EMACON. El programa “Information Assurance” se encargará de la obtención de los recursos que requiere la Ciberdefensa Militar en el ámbito conjunto. 5.2.1. Sección de Seguridad de la Información CIS (Sec. SEGINFO CIS) Es la responsable de la gestión de la ciberdefensa de los sistemas conjuntos y de la supervisión, asesoramiento y coordinación nacional e internacional de la Ciberdefensa Militar. Sus cometidos son: a. Estudiar la organización de la Ciberdefensa Militar y de otras organizaciones nacionales e internacionales y realizar las propuestas de posibles cambios y mejoras. b. Fortalecer las capacidades de la Ciberdefensa Militar a través de: − La coordinación con organismos nacionales: Ejércitos y Armada, Órgano Central del MINISDEF, CNI, CNPIC, FCSE, etc. − La coordinación con organismos internacionales: OTAN, UE, OSCE, CCDCOE, etc. − Propuestas y asesoramiento sobre acuerdos bilaterales con otros países. c. Estudiar y promover la incorporación de la capacidad de Ciberdefensa Militar en el proceso de Planeamiento Militar del JEMAD. d. Estudiar la adecuación de la Ciberdefensa Militar a lo establecido en el marco de la ciberdefensa nacional e internacional. e. Ejercer la representación nacional en los foros internacionales sobre Ciberdefensa Militar. f. Apoyar en la elaboración, revisión y actualización de la doctrina en materia de Ciberdefensa Militar. g. Elaborar, revisar y actualizar los planes de concienciación, formación y adiestramiento en Ciberdefensa Militar, de acuerdo con las directrices del responsable del ámbito corporativo. h. Gestionar y difundir, la información y el conocimiento sobre Ciberdefensa Militar. i. Definir las Necesidades Operativas y los Requisitos de Estado Mayor relativos a la Ciberdefensa Militar. A‐5 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 j. Todas aquellas otras misiones que le sean encomendadas por el Jefe de la División CIS. 5.2.2. Áreas de Ciberdefensa de los Ejércitos y la Armada Son las responsables de la gestión y supervisión de la ciberdefensa de sus sistemas específicos. Se encuadrarán orgánicamente en la estructura de sus respectivos Ejércitos. Sus cometidos son: a. Estudiar la organización de la Ciberdefensa Militar de su Ejército y realizar las propuestas de posibles cambios y mejoras. b. Fortalecer la capacidad e la Ciberdefensa Militar en sus sistemas específicos a través de la coordinación con la Seco SEGINFO CIS del EMAD. c. Estudiar y promover la incorporación de la capacidad de ciberdefensa de su Ejército en el proceso de Planeamiento Militar. d. Estudiar y proponer las acciones necesarias para la adecuación de la Ciberdefensa Militar de sus sistemas específicos a las directrices del JEMAD. e. Elaborar, revisar y actualizar los planes de concienciación, formación y adiestramiento en Ciberdefensa Militar específicos de su Ejército, de acuerdo con las directrices del responsable del ámbito corporativo. f. Gestionar y difundir la información y el conocimiento de Ciberdefensa Militar dentro de su Ejército. g. Elaborar la doctrina específica de ciberdefensa en sus ámbitos. 5.2.3. Programa “Information Assurance” (Programa lA) El Jefe de Programa lA es el responsable de dirigir las tareas de impulso, coordinación, gestión y seguimiento de obtención de los recursos que necesita la organización de Ciberdefensa Militar en el ámbito conjunto, y especialmente el CERT-FAS. Dependerá orgánicamente de JEPREMAD y funcionalmente del Director General de Infraestructura. El Jefe de Programa contará con una Oficina de Programa, y su correspondiente Director Técnico, para apoyo en la realización de sus cometidos. El Jefe de Programa y el Director Técnico tendrán los cometidos que se asignan en la “Instrucción 67/2011, de 15 de septiembre, del Secretario de Estado de Defensa, por la que se regula el Proceso de Obtención de Recursos Materiales”. 5.3. Ejecución En este nivel se realizan las funciones de operación y supervisión técnica, cuya organización dispondrá de: a. El CERT-FAS. b. Unidad de Inspección y Análisis de Vulnerabilidades (UIAV). A‐6 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 c. Las células de defensa de los Ejércitos y la Armada (a discreción de los Jefes de Estado Mayor de los Ejércitos y la Armada). d. La célula de explotación del CIFAS. e. La célula de coordinación de ciberdefensa del MOPS. La ejecución de la Ciberdefensa Militar se llevará a cabo por una unidad con capacidad de defensa, respuesta y explotación, denominada CERT-FAS, que dependerá orgánicamente de la Jefatura de Sistemas del EMAD (JESEMAD) y funcionalmente de la División CIS del EMACON (DIVCIS) a través de la Sección SEGINFO CIS. La Unidad de Inspección y Análisis de Vulnerabilidades (UIAV), dispone de capacidad para evaluar, verificar, analizar y valorar la seguridad de los sistemas conjuntos. Los Ejércitos y la Armada, podrán disponer de una célula con “Capacidad de Defensa”, para realizar la ejecución técnica de las misiones establecidas en el “Concepto de Ciberdefensa”, que coordinará su acción con el CERT-FAS y del cual recibirán directrices técnicas. El Centro de Inteligencia de las Fuerzas Armadas dispondrá de una célula con “Capacidad de Explotación” que recibirá apoyo y directrices técnicas del CERTFAS. Cuando las operaciones lo demanden, el Mando de Operaciones del JEMAD dispondrá de una célula de coordinación de ciberdefensa. 5.3.1. CERT-FAS Es el responsable de la ejecución y supervisión de la “Capacidad de Defensa”, “Capacidad de Explotación” y “Capacidad de Respuesta” de la ciberdefensa en los sistemas conjuntos. Dependerá orgánicamente de JESEMAD y funcionalmente del Jefe de la División CIS a través del Jefe de la Sección SEGINFO CIS. Sus cometidos son: a. Gestionar los incidentes de seguridad informáticos. b. Obtener, analizar, valorar, centralizar, almacenar y difundir información técnica sobre amenazas existentes y potenciales, vulnerabilidades e incidentes de seguridad CIS. c. Prestar apoyo técnico a las células de defensa de los Ejércitos y la Armada, a la célula de explotación del CIFAS y, en su caso, a la célula de coordinación del MOPS. d. Determinar los niveles de alerta. e. Investigar y analizar el impacto, método y origen de los ciberataques y otros incidentes de seguridad CIS. f. Implementar y gestionar entornos y escenarios para la ejecución de formación y adiestramiento de la ciberdefensa (ciberejercicios, prácticas, cursos de formación “online”, etc.). g. Elaborar, publicar y mantener guías y manuales técnicos. h. Coordinar, colaborar e intercambiar información técnica con otras unidades y organismos análogos. 5.3.2. Unidad de Inspección y Análisis de Vulnerabilidades A‐7 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 Es la responsable de inspeccionar, analizar, comprobar y valorar la seguridad de los sistemas conjuntos. Dependerá orgánicamente de JESEMAD. Sus cometidos son: a. Evaluar y valorar la seguridad de los sistemas de información y telecomunicaciones conjuntos mediante la inspección detallada de todos sus componentes: documentación de seguridad, personal, instalaciones, hardware y software. b. Apoyar a la acreditación de los sistemas de información y telecomunicaciones conjuntos 5.3.3. Células de Defensa de los Ejércitos y la Armada Son las responsables de la ejecución y supervisión de la “Capacidad de Defensa” en sus sistemas específicos. Se encuadrarán orgánicamente en la estructura de sus respectivos Ejércitos. Sus cometidos son: a. Gestionar los incidentes de seguridad informáticos. b. Obtener, analizar, valorar, centralizar, almacenar difundir información técnica sobre amenazas existentes y potenciales, así como vulnerabilidades e incidentes de seguridad CIS. c. Elaborar, publicar y mantener guías y manuales técnicos. d. Coordinar, colaborar e intercambiar información técnica con el CERTFAS. Todas o algunas de las misiones de las Células de Defensa de los Ejércitos y la Armada podrán ser delegadas o transferidas al CERT-FAS. 5.3.4. Célula de Explotación del CIFAS Es la responsable de la obtención de información sobre la capacidad de ciberdefensa de potenciales adversarios y agentes hostiles. Dependerá orgánicamente de DICIFAS y funcionalmente del CERT-FAS. Sus cometidos son: a. Obtener, analizar, valorar, centralizar, almacenar y difundir información sobre amenazas, vulnerabilidades CIS, tendencias y capacidades de ciberdefensa de potenciales adversarios y agentes hostiles. b. Intercambiar información con el CERT-FAS. 5.3.5. Célula de Coordinación de Ciberdefensa del MOPS Cuando las operaciones lo demanden, el CMOPS podrá establecer una célula para la coordinación y sincronización de las actividades en materia seguridad de sistemas de información y telecomunicaciones en zona de operaciones. Dependerá orgánicamente de CMOPS y funcionalmente del CERT-FAS. Sus cometidos serán: a. Establecer relaciones de coordinación con el CERT-FAS. b. Centralizar y almacenar información sobre amenazas, vulnerabilidades y capacidad de ciberdefensa de adversarios y agentes hostiles en zona de operaciones, y difundirla al CERT-FAS y a la Célula de Explotación del CIFAS. c. Intercambiar información con aliados en zona de operaciones. A‐8 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 5.4. ESQUEMA DE LA ORGANIZACiÓN DE LA CIBERDEFENSA MILITAR En la figura que a continuación se muestra, se especifican los componentes de la organización de Ciberdefensa Militar agrupados por niveles (dirección, gestión y ejecución), así como las relaciones orgánicas, funcionales y de coordinación. Leyenda: Figura 1 6. IMPLEMENTACiÓN DE LA CIBERDEFENSA MILITAR La capacidad de Ciberdefensa Militar se obtendrá a través de un proceso continuo e incremental en tres fases: inicial, intermedia y final. 6.1. Capacidad Inicial de Ciberdefensa Militar Se considerará alcanzada la capacidad inicial cuando: a. Se haya establecido la estructura de dirección y gestión de la organización CDM en el EMAD, los Ejércitos y la Armada. b. Se haya establecido el núcleo inicial del CERT-FAS con las capacidades de: A‐9 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 − Monitorización de redes y sistemas conjuntos. − Inspección y análisis de vulnerabilidades de redes propias. − Detección, resistencia y recuperación. c. Se disponga de la capacidad para la ejecución de la concienciación, formación y adiestramiento en Ciberdefensa Militar, de acuerdo con el programa establecido. d. Los sistemas de las Fuerzas Armadas que manejan información clasificada estén acreditados o hayan iniciado el proceso de acreditación. e. Se disponga de normativa de alto nivel; así como normas y guías relativas a la "Capacidad de Defensa". 6.2. Capacidad Intermedia de Ciberdefensa Militar Se considerará alcanzada la capacidad intermedia cuando se disponga de la capacidad inicial y, además: a. Se hayan establecido las Células de Defensa de los Ejércitos y la Armada, o bien, sus funciones sean asumidas por el CERT-FAS. b. Se haya establecido la célula de explotación del CIFAS y disponga de capacidad de recopilación I análisis, valoración y explotación de información. c. El CERT-FAS disponga de capacidad de: − Monitorización integral de las redes de las Fuerzas Armadas, conjuntas y específicas. − Explotación. − Análisis y visualización de la situación de la Ciberdefensa Militar. d. Se disponga de un plan de contingencia para garantizar el funcionamiento de los servicios críticos. e. El 75% de los sistemas del JEMAD que manejan información clasificada estén acreditados. f. Se disponga de normas y guías relativas a la "Capacidad de Explotación", directrices para la selección y retención de expertos y un glosario sobre terminología de Ciberdefensa Militar. 6.3. Capacidad Final de Ciberdefensa Militar Se considerará alcanzada la capacidad final cuando se disponga de la capacidad intermedia y, además: a. El CERT-FAS disponga de capacidad de respuesta, prevención, anticipación y análisis forense. b. Se disponga de la capacidad para la gestión del conocimiento de la Ciberdefensa Militar. c. Se esté en disposición de ejecutar el plan de contingencia. d. Todos los sistemas del JEMAD que manejan información clasificada estén acreditados. e. Se disponga de normas y guías relativas a la "Capacidad de Respuesta". f. Se disponga de recursos para modelado y simulación. g. Se esté en disposición de establecer la célula de coordinación de ciberdefensa del MOPS. A‐10 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 7. MANDO CONJUNTO DE CIBERDEFENSA DE LAS FUERZAS ARMADAS (MCCD) El Plan de Acción para la Obtención de la Capacidad de Ciberdefensa, del JEMAD, determina que la obtención de dicha capacidad se obtendrá de forma sinérgica y gradual, dotándola de los recursos precisos de material, instalaciones, personal, adiestramiento, doctrina y organización (MIRADO). La Ciberdefensa militar consta básicamente de tres capacidades diferenciadas: defensa, explotación y respuesta. Esta última permitirá la realización de ciberataques como defensa ante amenazas y ataques. La capacidad de ciberdefensa se obtendrá a través de un proceso continuo e incremental en tres fases: inicial intermedia y final. Con el objeto de potenciar el Plan de Acción del JEMAD, de manera que se haga de la forma más eficiente, el Ministro de Defensa ordena, en noviembre de 2012, la creación de un Mando Conjunto de Ciberdefensa de las Fuerzas Armadas (MCCD), dependiente del JEMAD, que proporcione una unidad militar altamente especializada, capaz de desarrollar y alcanzar las capacidades de Ciberdefensa descritas. La creación del Mando se ha materializado mediante la OM 10/2013, de 19 de febrero, y su misión será dirigir y coordinar las acciones de las FAS en el ámbito de los sistemas de información y telecomunicaciones, como contribución a la ciberseguridad nacional, no limitándose a la protección de los sistemas de utilización puramente militar, y en el marco de los principios que se establezcan al efecto en la Estrategia de Ciberseguridad Nacional. Los cometidos que llevará a cabo el MCCD, según establece la OM, se descomponen hasta en 23 actividades diferentes, incluido el mando. A‐11 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 Figura 2 Dichas actividades se agrupan funcionalmente en áreas de actividad. Dichas áreas se agrupan en áreas funcionales de mayor nivel que constituyen las diferentes secciones del Mando. A‐12 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 Figura 3 El ejercicio de dichas actividades y su agrupación funcional determina el número de efectivos necesarios para su ejecución. ORGANIZACIÓN MANDO CONJUNTO CIBERDEFENSA MILITAR (MCCDM A‐13 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 1 Figura 4 PERSONAL Figura 5 Una vez creado el MCCD se pondrán marcha las siguientes acciones: • • • • • • • Mediante una Instrucción de Organización del JEMAD, el MCCD se constituirá como un mando operativo, constituyendo el quinto Mando Componente. Establecerá un sistema defensivo mediante la coordinación de los Centros de Detección (CERT) que se constituyan, un sistema de control y evaluación de información de redes mediante la creación de un software específico, y un sistema ofensivo mediante el desarrollo de ciberarmas. Así mismo, llevará a cabo la formación y el adiestramiento del personal especializado necesario para alcanzar y mantener la capacidad de Ciberdefensa Militar. Todo ello tal como establece el Plan de Acción. Otra de las acciones a realizar es el nombramiento del Comandante del MCCD, que será de categoría general de Brigada o Contralmirante. La Capacidad Operativa Inicial (IOC) está previsto que se alcance en junio de 2013, cuando se constituyan los CERT y el Mando cuente con su comandante y unos efectivos de 27 hombres y mujeres. La Capacidad Operativa Final (FOC) está previsto que se alcance en diciembre de 2013, cuando además de los efectivos y capacidades adquiridos con la IOC, el Mando cuente con los 23 efectivos restantes e inicie el control de las redes y la gestión de ciberarmas. Su ubicación inicial será en el CG del EMAD. A‐14 CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 2 Figure 6– Composition of team for cyber weapon development BIBLIOGRAFÍA 1. REVISTA DE AERONÁUTICA Y ASTRONÁUTICA /Octubre 2012 2. REVISTA ESPAÑOLA DE DEFENSA/ Marzo 2013 3. The Rise Of Cyber Weapons and Relative Impacto n Cyberspace. Pierluigi Paganini. 4. Cyber Warfare Operations:Development and use under International Law. Major Arie J. Schaap 5. Visión del JEMAD de la Ciberdefensa Militar. 28 enero 2011 6. Concepto de Ciberdefensa Militar. 28 de julio de 2011 7. Plan de Acción para la Obtención de la Capacidad de Ciberdefensa Militar. 12 julio 2012. 8. OM 10/2013, de 19 de febrero por la que se cre el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas. CESEDEN XXXIII CURSO DE DEFENSA NACIONAL Anexo 2 9. El Ciberespacio. Nuevo escenario de confrontación. Monografía del CESEDEN nº 126/ Febrero 2012 10. Tallinn Manual on the International Law Applicable to Cyber Warfare, ED. NATO Cooperative Cyber Defence Centre of Excellence, Cambridge University Press 2013