La Comisión Global sobre la Estabilidad del Ciberespacio fue una organización de gobernanza de Internet de múltiples partes interesadas , dedicada a la creación de normas diplomáticas de no agresión gubernamental en el ciberespacio . [1] Funcionó durante tres años, desde 2017 hasta 2019, y produjo la norma diplomática para la que fue creada y otras siete.
Junto con el Foro Global sobre Expertos en Ciberseguridad, el GCSC fue un producto de la presidencia holandesa de 2015-2017 del Proceso de Londres, y en particular del trabajo de Wouter Jurgens, quien, como jefe del departamento de ciberseguridad del Ministerio de Asuntos Exteriores holandés, tuvo la responsabilidad de organizar la 4ª Conferencia Mundial sobre el Ciberespacio ministerial , que se celebró en La Haya del 16 al 17 de abril de 2015, y de formalizar sus resultados. [2] [3] Jurgens había estado trabajando durante varios años en el tema de la no agresión gubernamental en el ciberespacio, en colaboración con Uri Rosenthal , Bill Woodcock , Olaf Kolkman, James Lewis y otros que posteriormente se convertirían en comisionados del GCSC. [4]
El GCSC fue lanzado por el Ministro de Asuntos Exteriores holandés, Bert Koenders , en la 53ª Conferencia de Seguridad de Múnich , el 18 de febrero de 2017, con un mandato de tres años, [5] y emitió su informe final en el Foro de Paz de París , el 13 de noviembre de 2019. [6]
"Los actores estatales y no estatales no deben realizar ni permitir deliberadamente actividades que dañen intencional y sustancialmente la disponibilidad general o la integridad del núcleo público de Internet y, por lo tanto, la estabilidad del ciberespacio".
La Norma para la Protección del Núcleo Público es el principal producto del GCSC y ha sido incluida o referenciada en muchos trabajos legislativos y diplomáticos posteriores. Se incluyó en la Ley de Ciberseguridad de la Unión Europea , que amplía el mandato de la Agencia de la Unión Europea para la Ciberseguridad para incluir la protección del núcleo público. [7] El Llamado de París para la Confianza y la Seguridad en el Ciberespacio incluyó un llamado al cumplimiento de la norma del Núcleo Público. [8] Las Naciones Unidas citan la norma del Núcleo Público en el informe de 2019 del Secretario General [9] y en el informe del Grupo de Alto Nivel del Secretario General sobre Cooperación Digital, La Era de la Interdependencia Digital. [10]
"Los actores estatales y no estatales no deben realizar, apoyar o permitir operaciones cibernéticas destinadas a perturbar la infraestructura técnica esencial para elecciones, referendos o plebiscitos".
"Los actores estatales y no estatales no deben alterar los productos y servicios en desarrollo y producción, ni permitir que sean alterados, si hacerlo puede perjudicar sustancialmente la estabilidad del ciberespacio."
"Los actores estatales y no estatales no deberían apropiarse de los recursos TIC del público en general para utilizarlos como redes de bots o con fines similares".
"Los Estados deberían crear marcos transparentes desde el punto de vista procesal para evaluar si deben revelar, y en qué momento, vulnerabilidades o fallas no conocidas públicamente de las que tengan conocimiento en los sistemas y tecnologías de la información. La presunción por defecto debería ser a favor de la divulgación."
"Los desarrolladores y productores de productos y servicios de los que depende la estabilidad del ciberespacio deberían (1) priorizar la seguridad y la estabilidad, (2) tomar medidas razonables para garantizar que sus productos o servicios estén libres de vulnerabilidades significativas y (3) tomar medidas para mitigar oportunamente las vulnerabilidades que se descubran más tarde y ser transparentes en cuanto a sus procesos. Todos los actores tienen el deber de compartir información sobre las vulnerabilidades a fin de ayudar a prevenir o mitigar la actividad cibernética maliciosa".
"Los Estados deberían promulgar medidas apropiadas, incluidas leyes y reglamentos, para garantizar la higiene cibernética básica".
"Los actores no estatales no deberían participar en operaciones cibernéticas ofensivas y los actores estatales deberían prevenir tales actividades y responder si ocurren".
Además de la Norma de Protección del Núcleo Público y las siete normas posteriores, la GCSC ha publicado varios otros documentos.
Al principio del proceso de definición de la Norma para la Protección del Núcleo Público , el esfuerzo se dividió en dos grupos de trabajo: uno, principalmente diplomático, para especificar qué acciones debían excluirse; el otro, en el que participaban expertos en la materia, para especificar qué infraestructuras se consideraban más dignas de protección. Este último grupo de trabajo especificó una encuesta a expertos en ciberseguridad, delegó la implementación de la encuesta a Packet Clearing House e integró sus resultados para formar la Definición del Núcleo Público, al que se Aplica la Norma . Esta definición del "núcleo público de Internet", que incluye el enrutamiento y reenvío de paquetes, los sistemas de denominación y numeración, los mecanismos criptográficos de seguridad e identidad y los medios de transmisión físicos, con detalles más específicos para cada uno de ellos, ha sido utilizada desde entonces por la OCDE y otros como una descripción estandarizada de los principales elementos de la infraestructura crítica de Internet. [11]
El 22 de septiembre de 2021, el GCSC publicó una declaración de tres páginas en la que respondía, en gran parte, a la presentación de Rusia al Grupo de Trabajo del Consejo de la UIT sobre cuestiones de política pública internacional relacionadas con Internet, Análisis de riesgos del modelo operativo y de gobernanza de Internet existente . [12] [13] La declaración reitera las conclusiones del GCSC de que los actores estatales son la principal amenaza para la estabilidad de Internet, no los actores privados; que el GCSC cree que el modelo de gobernanza de Internet de múltiples partes interesadas es clave para mantener la estabilidad de Internet, y que la infraestructura crítica de Internet es operada principalmente por el sector privado. [14]
Además de las normas que publicó la comisión, se crearon otras organizaciones y se realizaron esfuerzos como subproducto del trabajo de la comisión.
Uno de los resultados derivados más notables de la labor del GCSC fue la formación del Instituto CyberPeace, dirigido por la comisionada del GCSC Marietje Schaake y el veterano de Europol Stéphane Duguin. Esta organización no gubernamental independiente tiene la misión de destacar el aspecto humano de los ciberataques. Trabaja en estrecha colaboración con socios relevantes para reducir los daños que estos ataques causan a la vida de las personas en todo el mundo. El Instituto se basa en la labor del GCSC al supervisar el cumplimiento de sus normas y coordinar esfuerzos forenses y analíticos sobre ciberataques que amplían la comprensión pública de las violaciones de las normas. [15]
Como aporte a la Definición del Núcleo Público , en 2017 Packet Clearing House , encabezada por el comisionado de GCSC Bill Woodcock , realizó una encuesta global a expertos en seguridad de infraestructura de Internet . [11] [16]
Estados Unidos, China y Rusia están haciendo todo lo posible para evitar el desarrollo de un tratado que les dificultaría llevar a cabo una ciberguerra , pero un esfuerzo liderado por los gobiernos de los Países Bajos , Francia y Singapur está utilizando la diplomacia para encontrar otra forma de detener la guerra en línea patrocinada por los estados . El grupo que realiza el esfuerzo diplomático se llama Comisión Global sobre la Estabilidad del Ciberespacio (GCSC). Una de las motivaciones del grupo es que los ataques patrocinados por estados casi siempre tienen consecuencias comerciales y humanas mucho más allá de sus objetivos previstos. Como explicó hoy Bill Woodcock , comisionado de GCSC y director ejecutivo de Packet Clearing House , en una conferencia en Black Hat , quienes están detrás de los ataques patrocinados por el estado suelen ser irremediablemente optimistas o indiferentes a la idea de que sus exploits serán reutilizados. Los resultados de ese pensamiento erróneo son historia: programas como Stuxnet , Flame , Petya y NotPetya causaron enormes daños mucho más allá de sus objetivos previstos, imponiendo costos masivos al sector privado.
Wouter Jurgens dirige el departamento de ciberseguridad del Ministerio de Asuntos Exteriores de los Países Bajos. Es responsable de los preparativos de la 4ª Conferencia sobre el Ciberespacio que se celebrará en los Países Bajos en 2015. Esta conferencia ministerial forma parte del Proceso de Londres y reunirá a ministros, responsables políticos, el sector privado y la sociedad civil para debatir sobre ciberseguridad, libertad y privacidad, crecimiento económico e innovación, así como cuestiones cibernéticas relacionadas con la paz y la seguridad internacionales y el desarrollo de capacidades.
Uri Rosenthal, Enviado Especial de los Países Bajos para Políticas Cibernéticas Internacionales, analizó la Conferencia Mundial sobre el Ciberespacio. La GCCS2015 subrayó la importancia de la aplicabilidad de la Carta de las Naciones Unidas y el derecho internacional en la ciberesfera. Los puntos clave de debate fueron las medidas relativas al comportamiento responsable de los Estados y la protección de la infraestructura crítica y los componentes de la Internet global. Para reunir a todas las partes, los Países Bajos han creado la Comisión Mundial sobre la Estabilidad del Ciberespacio. Esta plataforma incluirá a todas las partes interesadas y académicos para desarrollar nuevas ideas sobre normas y acciones para la ciberestabilidad. James Lewis expuso dos opciones para proteger la ciberseguridad. Una de ellas es optar por el camino del desarme y prohibir determinadas armas cibernéticas. La otra es optar por el camino del control de armamentos y regular el uso de las armas cibernéticas, acordando principios sobre cómo utilizarlas de manera responsable, controlados por las leyes de los conflictos armados.
anunció recientemente el establecimiento de la Comisión Global sobre la Estabilidad del Ciberespacio (GCSC): un organismo global formado para convocar a las principales partes interesadas mundiales para desarrollar propuestas de normas e iniciativas políticas para mejorar la estabilidad y la seguridad del ciberespacio. En 2016, durante la Conferencia de Seguridad de Múnich (MSC), el Ministro de Asuntos Exteriores de los Países Bajos, Bert Koenders, anunció la intención de su gobierno de apoyar el establecimiento de una GCSC. La Comisión, con sede en La Haya, estará presidida por Marina Kaljurand, ex ministra de Asuntos Exteriores de Estonia, y estará integrada por más de dos docenas de destacados comisionados independientes, procedentes de más de 15 países, con la experiencia y la legitimidad necesarias para hablar sobre distintos aspectos del ciberespacio. La Comisión elaborará propuestas de normas y políticas para mejorar la estabilidad del ciberespacio.
Este informe, elaborado por un grupo de comisionados de todo el mundo, hace varias cosas importantes. Consolida un conjunto de normas y principios para el comportamiento de los actores estatales y no estatales en el ciberespacio. Confiere una legitimidad que va más allá de los diálogos habituales que tenemos en las Naciones Unidas. Esto se debe a que fue un esfuerzo verdaderamente de múltiples partes interesadas, con la participación de los gobiernos, la comunidad tecnológica y la sociedad civil. Y, por último, sirve como recordatorio del valor del consenso. Puede que no suene espectacular, pero lo es. Existen muchas opiniones divergentes sobre cuáles deberían ser las reglas de juego, quién debería asumir la responsabilidad de lo que sucede y cómo abordar las transgresiones. No se debe manipular el núcleo público de Internet. La infraestructura de Internet debe considerarse la columna vertebral de la sociedad moderna. Los cables submarinos y otros elementos vitales deben quedar fuera de los límites. La Comisión Global identifica acertadamente estas áreas como sacrosantas.
El núcleo público de la Internet abierta, es decir, sus principales protocolos e infraestructura, que son un bien público mundial, proporciona la funcionalidad esencial de Internet en su conjunto y sustenta su funcionamiento normal. ENISA debe respaldar la seguridad del núcleo público de la Internet abierta y la estabilidad de su funcionamiento, incluidos, entre otros, los protocolos clave (en particular DNS, BGP e IPv6), el funcionamiento del sistema de nombres de dominio (como el funcionamiento de todos los dominios de nivel superior) y el funcionamiento de la zona raíz.
Afirmamos nuestra voluntad de trabajar juntos para prevenir actividades que dañen intencional y sustancialmente la disponibilidad general o la integridad del núcleo público de Internet.
Como insumo para su proceso, un grupo de trabajo de la GCSC realizó una amplia encuesta a expertos en
infraestructura de comunicaciones
y ciberdefensa para evaluar qué infraestructuras se consideraban más dignas de protección. En una escala de cero a diez, donde cero es "indigno de protección especial" y diez es "esencial para incluir en la clase protegida", todas las categorías encuestadas se clasificaron entre 6,02 y 9,01. En consecuencia, la Comisión define la frase "el núcleo público de Internet" para incluir el enrutamiento y reenvío de paquetes, los sistemas de nombres y numeración, los mecanismos criptográficos de seguridad e identidad y los medios de transmisión físicos.
A pesar de los recientes intentos de presentar a los ciberdelincuentes como la principal amenaza para el núcleo público, en realidad son los estados y sus afiliados cuyas actividades plantean los mayores riesgos. El documento cita un documento de la Unión Internacional de Telecomunicaciones, presentado por la Federación de Rusia, que sugiere que los estados nacionales deben salvaguardar el núcleo de Internet. La declaración del GCSC señala que las organizaciones de gobernanza de Internet no están dirigidas por los gobiernos.