funcionarios estadounidenses recientemente prevenido sobre piratas informáticos prorrusos que atacan sistemas de agua mal protegidos en todo el país. Mientras Estados Unidos emitía este aviso, el gobierno ruso avanzaba su propia medida cibernética: una proyecto de ley de etapa final a legalizar piratería de sombrero blanco.
El hacking de sombrero blanco, a veces descrito como hacking ético, generalmente se refiere a investigadores de seguridad y empresas de ciberseguridad que ingresan a las redes de empresas y gobiernos para investigar vulnerabilidades. Es una práctica generalizada en Estados Unidos y otros lugares para, en última instancia, proteger mejor a los objetivos.
Además de los ataques al sistema de agua, el Guerra rusa contra Ucrania y Sanciones al sector tecnológico ruso., una ley sobre piratería informática de sombrero blanco puede parecer inútil o incluso un elemento que debería estar al final de la lista de tareas pendientes de Moscú. Pero las reglas casi finalizadas del Kremlin sobre los hackers de sombrero blanco exponen los profundos desafíos que enfrenta la esfera tecnológica de Rusia y el camino de Moscú para consolidar su futuro ciberpoder.
Antes de febrero de 2022, cuando el gobierno ruso lanzó su invasión a gran escala de Ucrania, había gran enredo entre empresas de tecnología en Rusia y Occidente. A pesar del gobierno de EE.UU. restricciones en el uso de Kasperskyel software antivirus ruso, las empresas rusas tenían acceso a muchos servicios de tecnología y ciberseguridad del extranjero, y viceversa.
Eso ha cambiado dramáticamente desde la guerra. Rusia está luchando mucho con substitución de importaciones para software occidental (como microsoft windows) y hardware (como semiconductores y teléfonos inteligentes) y para mantener su talento cibernético en el país en medio de una persistente fuga de cerebros. Las empresas extranjeras siguen suspender o terminar servicios tecnológicos en Rusia por su propia voluntad.
Los impactos del aislamiento tecnológico, la fuga de cerebros y las sanciones también han afectado al sector de ciberseguridad de Rusia, desde el talento hasta la adquisición de hardware. Las empresas que prestan servicios defensivos al sector privado, así como servicios ofensivos y defensivos al Estado, están sintiendo los impactos.
La nueva ley de Moscú sobre piratería informática de sombrero blanco es un intento de ayudar a revertir la tendencia. En la conferencia sobre piratería informática más grande de Rusia el año pasado, el Ministro de Desarrollo Digital, Comunicaciones y Medios de Comunicación habló extensamente sobre la importancia de que las empresas inviertan en ciberseguridad y que el Estado cultive la base de talento cibernético de Rusia.
“No duermo tranquilo” cuando pienso en la ciberseguridad rusa, él dijo.
En el año transcurrido desde entonces, empresas tecnológicas rusas como VK y gigantes de la ciberseguridad como Positive Technologies se han desarrollado programas de recompensas por errores para que los piratas informáticos éticos informen sobre fallos de seguridad en los pagos. El proyecto de ley, casi finalizado, busca legalizar tales actividades contra empresas rusas.
Dar luz verde al hacking de sombrero blanco permitirá desarrollar estos programas de recompensas por errores y esfuerzos para reforzar las defensas cibernéticas de las empresas contra actores extranjeros (incluidos gobiernos extranjeros). Una ley así es una de las formas en que el gobierno ruso da forma al ecosistema cibernético.
En ciertas áreas y en ciertos temas, como piratear a los rusos o atacar a gobiernos extranjeros sin permiso, el Estado establece líneas relativamente claras de comportamiento aceptable e inaceptable. piratas informáticos saber, a menudo sin que se diga explícitamente, que algunas actividades están prohibidas. Legalizar el hacking de sombrero blanco hace lo contrario: deja explícitamente claro, en un entorno plagado de incertidumbre, que el gobierno quiere que los hackers rusos encuentren y tapen agujeros en las redes rusas.
Después de una revisión formal del proyecto de ley del parlamento, el gobierno ruso recomendó que incluya claramente la legalidad de probar las redes gubernamentales (que actualmente no está dentro de su alcance). También recomendó que el proyecto de ley limitara en qué medida los hackers rusos de sombrero blanco podrían ayudar a las organizaciones en países que cometen acciones “hostiles” contra Rusia; en otras palabras, no ayudaran a las empresas occidentales.
Con la bendición del estado y los cambios recomendados, el proyecto de ley tiene un camino claro y casi seguro hacia su aprobación.
En el nivel estratégico, el llamado esfuerzo de piratería ética de Rusia tiene dos lados. No proviene de una posición de fuerza; La fuga de cerebros, las sanciones occidentales, la incapacidad de reemplazar los chips occidentales por otros de fabricación nacional y otros acontecimientos desde febrero de 2022 han obstaculizado el sector de la ciberseguridad ruso. Autoridades modificado Reglas de trabajo remoto para permitir que los rusos apoyen a sus antiguas empresas desde el extranjero. Al mismo tiempo, las entidades estatales reprimido sobre el trabajo remoto. La creación de una ley sobre hackers de sombrero blanco es, en cierto modo, un reflejo del intento desesperado del Kremlin de impulsar la ciberseguridad de los sistemas rusos en medio de ataques de Ucrania y otrosenormes pérdidas de talento y tecnología, y la necesidad de involucrar a un sector más amplio de rusos en la ciberdefensa.
Al mismo tiempo, Rusia está mirando a su tradicional base de poder cibernético: empresas, universidadesdesarrolladores, ciberdelincuentes, los llamados hackers patrióticos, contratistas de inteligencia y más. Muchos países tienen leyes sobre piratería informática de sombrero blanco, y la medida de Rusia no es un complot inherentemente nefasto de los servicios de seguridad. Pero el Estado ruso sí presión desarrolladores del sector privado para crear herramientas de piratería. Y paga a los ciberdelincuentes para que apoyen las operaciones de inteligencia mientras alentador Los piratas informáticos apuntan a países extranjeros (entre otros) cuando necesitan apoyo adicional, negación plausible o incluso capacidades específicas. Es una forma distribuida, empresarial y arraigada de aprovechar un amplio espectro de talento cibernético para apoyar al Kremlin.
Además de pagar a los ciberdelincuentes o alentar a los piratas informáticos patrióticos, la ley propuesta alentará a más ciudadanos, desarrolladores independientes, académicos e incluso posiblemente delincuentes a involucrarse en programas de recompensas por errores y a probar las redes rusas de los sectores público y privado.
La conclusión para la comunidad de seguridad nacional de Estados Unidos es clara: el ciberpoder ruso no consiste sólo en tropas militares y agentes de inteligencia; se trata de toda la base de empresas, delincuentes y también piratas informáticos de sombrero blanco.
Justin Sherman es miembro no residente de Cyber Statecraft Initiative, un programa del grupo de expertos Atlantic Council. También es el fundador y director ejecutivo de la firma de investigación y asesoría Global Cyber Strategies, así como profesor adjunto en la Universidad de Duke.