Tribuna
El ciberespai: un camp de batalla sense regular
Léonie Van
Tongeren
Es diu que la propera guerra tindrà lloc al ciberespai però, què és exactament una ciber-guerra? Va ser l'atac contra Geòrgia de 2008 un acte de ciber-guerra o un mer atac convencional amb elements ofensius cibernètics? Són els virus com "Stuxnet" o "Flame", responsables dels problemes de funcionament a diverses centrals nuclears a Iran, un acte de guerra? Quin és el llindar per declarar un ciberatac un acte de guerra? I fins a quin punt són les lleis de guerra actuals aplicables a un conflicte cibernètic? Mentre els estats reconeixen que estan molt poc preparats per les amenaces cibernètiques, els debats sobre els marcs reguladors que s'han d'establir per fer-los front mostren visions oposades en diversos aspectes.
Malgrat la divergència d'opinions sobre la qualificació legal d'aquests fenòmens i la seva terminologia, les qüestions sobre seguretat cibernètica constitueixen una de les àrees més polèmiques en l'àmbit de regulació de la Governança Global d'Internet. Aquestes també estan relacionades amb d'altres qüestions com ara el dret a l'accés a Internet, el dret a la privacitat o el dret a la neutralitat a la xarxa. Els debats més profunds sobre el millor model de regulació d'Internet es veuen projectats aleshores al camp de la seguretat cibernètica. Tenint en compte que la majoria dels atacs provenen d'actors no- estatals i que aproximadament el 80% de la infraestructura nacional més crítica es troba en mans del sector privat, sembla que la cooperació entre estats és l'única proposta/resposta viable. Però, independentment de quina sigui l'arquitectura institucional escollida i les normes internacionals establertes, la qüestió seguirà sent com assegurar que aquestes siguin respectades.
La falta de consens internacional sobre com afrontar els delictes i els conflictes al ciberespai té conseqüències molt tangibles. Permet als criminals operar amb impunitat, amb un risc molt baix i de manera molt profitosa (amb beneficis que fins i tot superen els del comerç de marihuana, cocaïna i heroïna junts) i en un entorn anònim que els ofereix un nombre pràcticament il·limitat d'objectius.
Això no vol dir que la comunitat internacional hagi estat completament aturada davant aquesta nova amenaça. En els últims anys, han sorgit diverses iniciatives internacionals amb l'objectiu de regular els delictes i els conflictes cibernètics. Algunes d'aquestes estan liderades pels estats o per organitzacions internacionals, com ara les conferencies més importants sobre seguretat de la informació, i d'altres per think-tanks. Alguns exemples interessants d'aquestes iniciatives de segona via són el "Ciber-40", una coalició de representants del G20 i dels 20 països amb més presència al ciberespai, o la "Worldwide Cybersecurity Initiative" (la Iniciativa de Seguretat Cibernètica Mundial), totes dues iniciatives creades i dirigides pel EastWest Institute. El secretari general de les Nacions Unides per la Unió Internacional de Comunicacions (UIT, per les seves sigles en anglès), Hamadoun Toure, ha manifestat la necessitat d'un tractat de pau pel ciberespai, que estipuli que els països han de protegir els seus ciutadans en cas d'un ciberatac i que els prohibeixi amagar ciberterroristes. No obstant, les opinions divergents sobre la utilitat de conceptualitzar el conflicte cibernètic com a conflicte internacional i sobre quines serien les maneres més efectives de prevenir-lo i delimitar-lo fan que arribar a un acord universal sigui impossible en aquests moments.
Per tant, és a nivell regional on es pot progressar més ràpidament. La UE, per exemple, està treballant en una resposta inter-institucional. Un Centre Europeu contra els Delictes Cibernètics començarà a funcionar a la seu de la Europol a partir de gener de 2013 i, en resposta a aquesta necessitat d'acordar definicions comuns, l'Agència Europea de Seguretat de les Xarxes i de la Informació (ENISA), el centre europeu per l'intercanvi d'informació en el camp de la seguretat de la informació, està intentant definir uns estàndards. A més, la UE està treballant en una directiva per la criminalització dels atacs cibernètics i pressionant els estats perquè ratifiquin la Convenció del Consell d'Europa a Budapest (2004), que té per objectiu crear una política comú per fer front als criminals cibernètics. De tota manera, els conflictes cibernètics no entenen de fronteres i, malgrat que tot progrés a nivell regional és benvingut, una aproximació merament regional és insuficient si no va acompanyada d'altres propostes de socis internacionals.
Malgrat la necessitat urgent i clara de solucions més eficaces no es pot esperar una resposta ràpida. Val la pena recordar que fins a 20 o 30 anys després de l'aparició de les armes nuclears no es van establir sistemes de control sobre aquest tipus d'armes. Alternatives com ara mesures per a una confiança cibernètica sòlida són de gran importància per cobrir mancances fins que es prenguin mesures més contundents a nivell internacional. Tot i que és poc probable que s'adoptin les condicions per establir un marc regulador legal global per fer front als conflictes entre estats i a les amenaces criminals a la seguretat de la xarxa electrònica global en un futur immediat, el fet sol d'anar en aquesta direcció ja és un bon objectiu per si mateix.