Saltar al contenido

Una frontera desatendida: desafíos para la seguridad cibernética de Japón

El ciberataque SolarWinds de 2020, que afectó a numerosas agencias gubernamentales de EE. UU., Subraya la creciente relevancia de la seguridad informática y el ciberdelito para los gobiernos nacionales. No solo el trabajo de delincuentes individuales, se han denunciado cada vez más delitos perpetrados por grupos de piratas informáticos patrocinados o totalmente operados por el estado. Con el ciberespacio creciendo en importancia como frontera de la impugnación política, los estados deben actuar; ¿Qué medidas ha tomado Japón y qué barreras existen para mejorar la ciberseguridad de Japón?

El hack de SolarWinds involucró a un grupo de piratas informáticos, , infiltrando código malicioso en el sistema de actualización del software de gestión de TI SolarWinds. Los usuarios del software descargaron las actualizaciones comprometidas, que van desde . Como resultado, los piratas informáticos probablemente obtuvieron acceso a datos críticos para la competitividad económica y la seguridad nacional. Este incidente subraya el riesgo que plantean los ciberataques que utilizan vectores no estatales en su beneficio. Aunque Japón no parece haberse convertido en una víctima significativa del hack de SolarWinds, su estrategia de ciberseguridad estatal actual es vulnerable a un ataque similar debido a debilidades en áreas como su financiamiento y enfoque.

Las fuerzas de seguridad cibernética de Japón en la actualidad

En el momento de escribir este artículo, la Fuerza de Autodefensa de Japón (JSDF) opera un Grupo de Defensa Cibernética de 290 personas bajo el control del Comando de Sistemas de Computadoras de Comunicación de Control de Comando de las SDF (C4SC). Combinado con el personal de defensa cibernética que ya está bajo el paraguas del C4SC, Japón tiene aproximadamente dedicado a la seguridad cibernética para JSDF en su conjunto. Cabe señalar que cada rama de la JSDF (terrestre, aérea y marítima) tiene su propia unidad de ciberdefensa dedicada; estas unidades combinadas suman alrededor de 370 personas. También existe un pequeño de unos 40 miembros del personal en la prefectura de Kumamoto. En total, la JSDF tiene actualmente menos de 1000 personas encargadas de la defensa cibernética. El presupuesto de 2020 del Ministerio de Defensa japonés asignó JP ¥ 25.6 mil millones a capacidades cibernéticas, lo que representa menos del 1% del presupuesto de defensa del país.

Inversión insuficiente

En 2021, la proporción del presupuesto asignado al gasto en ciberseguridad aumentará a , un aumento de casi JP ¥ 5 mil millones, aunque uno que todavía no verá el gasto en cibernética aumentar al 1% del presupuesto. Es importante destacar que el Ministerio de Defensa tiene la intención de consolidar la infraestructura de seguridad cibernética de Japón mediante la abolición del C4SC y la expansión del Grupo de Defensa Cibernética a 540 personas. El personal cibernético de otras ramas de la JSDF será transferido al Grupo de Defensa Cibernética como parte de esta reorganización; A largo plazo, es probable que esta reforma mejore la coordinación de la respuesta de Japón en caso de un ciberataque.

Estos planes son un paso en la dirección correcta, pero no son suficientes para superar la debilidad más evidente del aparato de seguridad cibernética de Japón; su pequeño tamaño tanto en términos de financiación como de personal. En comparación, se estima que cuenta con 6.800 empleados. Naturalmente, la cantidad de personal no es necesariamente el factor decisivo para la seguridad cibernética, pero las cifras antes mencionadas sugieren que Japón ha descuidado las capacidades cibernéticas en comparación con sus vecinos. Aunque el presupuesto de 2021 demuestra conciencia sobre la parte del Ministerio de Defensa en este tema, es probable que se necesite un nivel consistentemente más alto de inversión y reclutamiento para que Japón se enfrente cara a cara en el dominio cibernético con sus rivales.

Obstáculos legales

Los desafíos para las fuerzas cibernéticas de Japón también surgen de las leyes y la constitución del país. En primer lugar, el artículo 21 de la constitución de Japón establece que ‘el secreto de cualquier medio de comunicación [shall not] ser violado ‘, lo que aparentemente impone limitaciones a la capacidad del estado y de los proveedores de servicios de Internet para analizar la comunicación por paquetes. Aunque podría decirse que el gobierno ha violado este artículo en el pasado, en particular por el bloqueo del sitio web de piratería Manga Mura en , sin embargo, representa un obstáculo potencial para rastrear o bloquear la comunicación por paquetes como parte de la respuesta japonesa a un ciberataque.

En segundo lugar, el artículo 22 de la Ley de las Fuerzas de Autodefensa plantea un problema para el objetivo de la JSDF de construir una ‘multidimensional’ (多次 元) capacidad de defensa. El artículo 22 especifica una gama limitada de misiones para las que se pueden establecer unidades especiales que combinen fuerzas de las tres ramas de las SDF a largo plazo. La seguridad cibernética cae fuera del alcance de ese artículo y, por lo tanto, la JSDF está legalmente autorizada a establecer un grupo de trabajo multidominio que incorpore fuerzas de defensa cibernética de forma temporal. Los efectos de esta limitación se extienden más allá de obstaculizar la coordinación de las medidas de JSDF contra los ciberataques, con posibles ramificaciones para la sinergia y la eficiencia entre servicios en otras áreas de operaciones militares.

Alcance limitado

Además, el alcance de las aspiraciones de defensa cibernética de Japón puede no ser lo suficientemente amplio como para proteger al país contra las amenazas cibernéticas. Actualmente, el Grupo de Defensa Cibernética tiene la tarea únicamente de responder a los ataques contra los propios sistemas de JSDF, no de la defensa de otra infraestructura pública o privada crítica. Dada la demostración del hack de SolarWinds de la vulnerabilidad de las empresas privadas a la piratería respaldada por el estado y el efecto dominó que tales infracciones pueden tener en otras redes del sector público y privado, es probable que JSDF y el gobierno japonés tengan que ampliar su alcance y tomar medidas. para apoyar los puntos vulnerables en toda la infraestructura informática de Japón.

Ya se han dado pasos en esta área, con el Centro Nacional de Preparación para Incidentes y Estrategia para la Ciberseguridad (NISC) de Japón difundiendo guías para la seguridad cibernética a las organizaciones en industrias críticas y fomentando el intercambio de información. Aun así, Japón podría hacer más para formalizar el papel del personal de ciberdefensa capacitado en caso de un ciberataque contra la infraestructura de red no militar.

Conclusiones

En resumen, los esfuerzos de seguridad cibernética de Japón enfrentan obstáculos en múltiples frentes, desde obstáculos legales hasta una simple falta de inversión. De hecho, un aumento en la inversión por sí solo probablemente serviría en gran medida para mejorar el estado de las capacidades de defensa cibernética de Japón en relación con los estados que lo rodean a corto plazo. A largo plazo, es probable que el aumento de las capacidades del Grupo de Defensa Cibernética requiera una reforma legal. Si bien la reforma del artículo 22 de la Ley de las Fuerzas de Autodefensa probablemente no sea tan difícil de lograr y abra nuevas vías para las operaciones interservicios (tanto cibernéticas como de otro tipo), los esfuerzos para reformar el artículo 21 de la constitución de Japón pueden anticipar una reacción violenta dado el artículo La relevancia de 21 para preocupaciones más amplias sobre la privacidad y la vigilancia.

El dominio cibernético constituye una frontera expansiva para las operaciones militares y la defensa nacional. Japón ya ha comenzado a mejorar su seguridad en esta área, pero es probable que se necesiten acciones más decisivas.

La publicación A Neglected Frontier: Challenges to Japan’s Cyber ​​Security apareció primero en Global Risk Insights.