 |
Por Laurens Cerulus | @laurenscerulus El | [email protected] El | Contáctanos en Signal, WhatsApp | Visualiza en tu navegador
Gracias a Nicholas Vinocur y Marion Solletty.
Bienvenido a la primera edición de Cyber Insights, nuestro boletín diario sobre la intersección de las políticas digitales y de seguridad en toda Europa. Soy Laurens Cerulus y he estado cubriendo la seguridad cibernética como parte del equipo tecnológico de POLITICO desde 2016. Ahora estoy profundizando. Con el resto del equipo, me aseguraré de mantenerlo a la vanguardia en temas que se han elevado a la cima de la agenda política, desde la seguridad 5G hasta la privacidad de los datos, comenzando hoy con una profunda inmersión en lo que la Unión Europea tiene en tienda para los próximos años, más abajo sobre eso.
Reglas del compromiso. Agradecemos su aporte. ¿Has oído hablar de una violación importante? Documento que quieres compartir? ¿Nueva amenaza de piratería que te mantiene despierto por la noche? Comuníquese con los canales habituales o las aplicaciones favoritas de la comunidad de seguridad para obtener consejos y filtraciones. Mis datos de contacto completos se enumeran aquí o arriba.
Si no recibió este boletín en su bandeja de entrada, puede suscribirse aquí para recibir las primeras ediciones de cortesía de Cyber Insights.
EN VIVO DESDE BIARRITZ G7
LUCHA POR LA ATENCIÓN: Los jefes de estado de las economías más grandes del mundo todavía están en la playa de Biarritz, Francia, para la cumbre del G7. Pero una serie de crisis e hipo internacionales están dominando los titulares, y los temas candentes como la seguridad 5G tienen problemas para llegar a la cima de la lista.
El primer ministro australiano, Scott Morrison, viajó hoy para unirse a las discusiones como participante "observador" y presionar a las compañías de medios sociales para que tomen medidas contra el contenido extremista. Morrison dijo a los periodistas esta mañana que internet, en manos de aquellos que quieren hacer daño, "puede ser un arma". Está presionando para que los gigantes tecnológicos firmen una promesa de hacer más.
India en la foto: Una sorpresa al margen del G7 fue un declaración bilateral por Francia e India que los dos países trabajarían en estrecha colaboración para asegurar el ciberespacio. La declaración salió antes del G7 después de una reunión bilateral entre Macron y el primer ministro indio Narendra Modi, quien también se encuentra en Biarritz. La declaración contiene muchas referencias al debate de las Naciones Unidas sobre las normas cibernéticas, sobre el cual tendremos más noticias esta semana.
Ausente: seguridad 5G. A pesar de su insistencia en los últimos meses, Estados Unidos parece estar menos enfocado en Huawei y los vendedores chinos de equipos de telecomunicaciones en Biarritz. El problema surgió cuando el primer ministro del Reino Unido, Boris Johnson, se reunió con Trump en una reunión bilateral el domingo, Reuters reportado. Francia también parecía haberse alejado del tema: una reunión anterior de ministros digitales del G7 en mayo pasado todavía tenía la seguridad 5G como una de las tres principales prioridades, pero Macron y su séquito en Biarritz tenían las manos ocupadas con problemas más urgentes. Eso a pesar de la presión de cabildeo de una serie de poderosos grupos empresariales, que dijo a los líderes antes de la cumbre deberían centrarse en los debates internacionales sobre comercio digital, flujos de datos y ciberseguridad.
PRÓXIMA COMISIÓN
LISTA DE PRIORIDADES: Si bien las capitales tienen la primera voz en la seguridad nacional, la UE lidera cada vez más una lucha coordinada contra la desinformación rusa, la piratería respaldada por el estado chino, el cibercrimen y las amenazas de vigilancia. POLITICO habló con funcionarios, diplomáticos, expertos y grupos de interés de todo el bloque para averiguar por dónde comenzar. Aquí hay un breve resumen: puede leer nuestro análisis completo aquí.
Seguridad 5G. Quizás la legislación más reciente sobre tecnología más comentada también salga por la puerta primero. Para fin de año, los países de la UE crearán una "caja de herramientas" de medidas para mitigar o contrarrestar posibles amenazas.
Autonomía estratégica. El enfrentamiento global sobre el proveedor chino Huawei ha alimentado otra discusión sobre la dependencia de Europa de la tecnología extranjera.
Redes críticas Un plan para revisar la ley marco de la UE sobre infraestructura crítica está ganando terreno.
Seguridad electoral. Las elecciones de este año fueron una primera vuelta para los políticos europeos, que aún luchan por combinar la libertad de expresión en línea con una respuesta sólida a las campañas de desinformación.
Proceso de dar un título. Europa quiere establecer el estándar global sobre la seguridad de la nube, 5G y más.
Ciber diplomacia. Un puñado de países de la UE lidera los intentos de las Naciones Unidas para detener la proliferación de la guerra cibernética.
La UE está siendo hackeada. La UE, por su propia admisión, debe trabajar para tapar agujeros y parchar vulnerabilidades en sus propias redes de TI.
SEGURIDAD DE DATOS
MASTERCARD EN PELOS CRUZADOS ALEMANES Y BELGAS: La firma financiera Mastercard informó la semana pasada de una violación de datos a las autoridades belgas de protección de datos, quienes dijeron el viernes que, junto con sus homólogos alemanes de Hesse, están investigando el daño a la privacidad. "El 19 de agosto de 2019, Mastercard notó que los datos del cliente del programa de lealtad" Especiales invaluables "se habían publicado en Internet durante un cierto período de tiempo", dijo la autoridad belga en un comunicado. declaración. "La violación de datos reveló información como nombres, números de tarjetas de pago, direcciones de correo electrónico, domicilios, números de teléfono, sexo y fechas de nacimiento".
Mastercard en sí publicado un explicador sobre el incidente, en el que no dio muchos detalles sobre cómo ocurrió la fuga de datos, pero dijo que en dos casos había encontrado datos personales de sus clientes del servicio Priceless Specials en la web.
CAMBRIDGE ANALYTICA: ¿Cuándo se enteró Facebook del mal uso a gran escala de los datos personales que posee sobre sus usuarios por parte de la consultora política Cambridge Analytica? Antes de lo esperado, según los correos electrónicos internos de la compañía de septiembre de 2015, publicados como parte de una demanda del gobierno de los EE. UU.
AUTONOMIA ESTRATEGICA
AMOR POR EL DESPLAZAMIENTO: Los tuits del presidente de Estados Unidos, Donald Trump, sacudieron nuevamente a la comunidad de seguridad y al sector tecnológico, intensificándose en la guerra comercial entre Estados Unidos y China. Trump dijo en Twitter el viernes que "a nuestras grandes compañías estadounidenses se les ordena comenzar inmediatamente a buscar una alternativa a China".
Por qué debería importarle: El mensaje del presidente de los Estados Unidos fue: es el momento de "desacoplamiento". Esta teoría, que esencialmente significa que las empresas deberían cortar los lazos con los proveedores y subcontratistas chinos, ha estado en el centro de las discusiones sobre Huawei. Pero es una pesadilla para el sector tecnológico en particular, teniendo en cuenta su alta integración de las cadenas de suministro mundiales y su dependencia de la fabricación china. La campaña de los Estados Unidos para advertir sobre los riesgos de seguridad que asocia con Huawei posiblemente valió la pena para Washington en los últimos meses, pero esta idea de "desacoplamiento" total afectaría a muchos en Europa de la manera incorrecta, no menos importante en el sector tecnológico.
RED MEGA: Frankfurter Allgemeine Zeitung reportado que la iniciativa alemana prevista para construir infraestructura digital europea se llamaría "Gaia-X" (después de la Madre Tierra primitiva diosa) La idea sería crear una mega red virtual que permitiera a los proveedores de nube más pequeños conectar sus servicios a través de una red abierta, según FAZ.
ALREDEDOR DE LA WEB
– Recordatorio del Comisionado: "Voy a seguir haciendo mi trabajo, siempre y cuando esté aquí. ¡Todavía hay mucho por hacer!" Julian King, comisionado de seguridad de la UE, tuiteó el fin de semana.
– El equipo de respuesta a emergencias cibernéticas de la UE hoy marcado que algunos servicios VPN populares contienen vulnerabilidades que los hackers han descubierto.
– Breach du jour: plataforma de alojamiento web en línea Hostinger dijo sufrió un incidente de seguridad de datos, que de acuerdo con The Next Web podría afectar a 14 millones de clientes.
– Israel flexibiliza las normas sobre exportaciones de armas cibernéticas a pesar de las críticas. Reuters
– Hacker afirma que puede 'apagar 25,000 autos' con solo presionar un botón. Forbes
– Google propone nuevos controles de privacidad y antihuellas para la web. TechCrunch
– Welt am Sonntag se sienta con Christof Paar, jefe de un nuevo instituto de investigación sobre ciberseguridad en Bochum, Alemania.
Aquí hay un resumen de las noticias de hoy, junto con artículos Pro y alertas de la noche a la mañana.
El plan de Europa para endurecer la seguridad cibernética
Bajo Ursula von der Leyen, la UE quiere tomar el asunto de la ciberseguridad en sus propias manos.
Por Laurens Cerulus | 26/8/19, 12:04 PM CEST
Para enfrentarse a Big Tech, EE. UU. Puede aprender lecciones antimonopolio de Europa
La larga experiencia de Europa en la regulación de Silicon Valley ofrece muchas lecciones, incluso sobre qué evitar, ya que los investigadores antimonopolio de EE. UU. Recurren a Big Tech.
Por Mark Scott, Thibault más grande | 25/8/19, 5:00 PM CEST
Trump: Estados Unidos y Japón acuerdan acuerdo comercial 'en principio'
El presidente de Estados Unidos dice que las dos partes han acordado cada punto.
Por Gabby Orr | 25/8/19, 3:27 PM CEST
*** Artículo de POLITICO Pro ***
El plan de Europa será duro con la ciberseguridad
– Por Laurens Cerulus | Leer en línea
La Unión Europea ha terminado jugando bien en ciberseguridad.
Si bien las capitales lideran la seguridad nacional, la UE lidera cada vez más una lucha coordinada contra la desinformación rusa, la piratería, el cibercrimen y las amenazas de vigilancia respaldados por el estado chino.
La nueva agenda de seguridad cibernética del bloque, que comenzará cuando la nueva presidenta de la Comisión Europea, Ursula von der Leyen, y su equipo de comisionados asuman el cargo en noviembre, se ajusta a un cambio más amplio en las actitudes que podrían hacer que la UE se comporte de manera más asertiva en todo, desde el comercio hasta un amplio apoyo. para empresas tecnológicas europeas.
En materia de ciberseguridad, el tono más duro sigue a una serie de crisis.
Desde el escándalo de minería de datos de Cambridge Analytica que afectó a millones de ciudadanos de la UE, hasta los esfuerzos extranjeros para manipular las elecciones y los temores de espiar redes de comunicaciones cruciales, a la UE se le ha recordado una y otra vez que las amenazas de ciberseguridad traspasan las fronteras.
Durante la última Comisión, el La UE dio algunos primeros pasos legislativos para regular la ciberseguridad. Pero a medida que los legisladores de la UE comienzan a lidiar con la seguridad de la futura red 5G, cómo tratar con los proveedores extranjeros de tecnología y cómo responder a los grupos de piratería respaldados por el estado en todo el mundo, se están mudando de sus zonas de confort a la arena geopolítica.
Von der Leyen, un ex ministro de defensa alemán, está bien posicionado para liderar el cargo. Mientras que la nueva presidenta de la Comisión enfrentó fuego por presunto amiguismo y un ejército mal administrado en Alemania, ganó puntos por establecer el primer comando cibernético militar del país. También identificó la ciberseguridad como una prioridad de la UE.
Su trabajo en "Otras partes de las fuerzas armadas pueden ser criticadas, pero en cuanto a la seguridad cibernética, establecer el comando cibernético militar fue un buen movimiento", dijo Sven Herpig, experto en políticas de seguridad cibernética en Stiftung Neue Verantwortung, con sede en Berlín. "La razón por la que eligió este tema (de seguridad cibernética) y lo convirtió en su prioridad fue porque sabía dónde podía ganar muchos puntos positivos", dijo.
De manera crucial, von der Leyen puede contar con el apoyo de las capitales de la UE para respaldar sus planes sobre ciberseguridad. Francia está interesada en impulsar su plan para reforzar la "autonomía estratégica" europea a nivel de la UE, mientras que Berlín está reforzando su capacidades utilizar herramientas de ciberseguridad, incluidas las armas. Otros, incluidos Polonia, Estonia, la República Checa, Lituania y los Países Bajos, tienen la ciberseguridad entre sus prioridades nacionales.
POLITICO habló con funcionarios, diplomáticos, expertos y grupos de interés de todo el bloque y analizó documentos estratégicos, incluido uno obtenido por POLITICO la semana pasada, para identificar los desafíos de ciberseguridad de la UE. Esto es lo que puede esperar:
Marco de seguridad 5G
Quizás la ley tecnológica más reciente de la que más se habla también saldrá por la puerta primero: a medida que Estados Unidos presiona a los aliados para imponer restricciones a la firma china de telecomunicaciones Huawei, los países europeos están redactando requisitos de seguridad 5G más estrictos.
La Agencia de Ciberseguridad de la UE, bajo el liderazgo de su nuevo jefe Juhan Lepassaar, ex jefe de gabinete del ex vicepresidente digital de la Comisión, Andrus Ansip, ha una fecha límite del 1 de octubre para finalizar una revisión conjunta de la exposición de los países de la UE a las amenazas con base en los aportes de las capitales nacionales que llegaron el mes pasado. Para fin de año, los países de la UE crearán una "caja de herramientas" de medidas para mitigar o contrarrestar posibles amenazas.
Media docena de países ahora lideran la carga para dar forma a un régimen de seguridad 5G en toda la UE, que incluiría una mezcla de controles y procedimientos de seguridad, certificaciones e instrumentos para interferir potencialmente en la negociación de telecomunicaciones en caso de preocupaciones estratégicas o de seguridad nacional. Al tiempo que otorga flexibilidad a los capitales, la nueva caja de herramientas podría justificar medidas mucho más duras contra los proveedores extranjeros.
Una evaluación alemana de su propia seguridad de las redes 5G, obtenida por POLITICO, subrayó que los estados de la UE están principalmente preocupados por estados extranjeros y grupos de hackers respaldados por el estado que apuntan a información confidencial en sus industrias y gobiernos.
Autonomía estratégica
El enfrentamiento global sobre el proveedor chino Huawei ha alimentado otra discusión entre los responsables políticos europeos: sobre cómo el sector de alta tecnología del bloque está siendo superado o simplemente reemplazado por sus rivales extranjeros.
"Si las tendencias actuales continúan sin mitigarse, la UE puede terminar dependiendo completamente de terceros países para las tecnologías clave", se lee en un Documento de la Comisión obtenido por POLITICO que enumera las principales propuestas de política presentadas por funcionarios de la Comisión para los próximos años. "Esto resulta en un alto riesgo de interrupción o dependencia … También puede amenazar a nuestras democracias", continúa.
El enfoque de la Comisión para apuntalar la deslumbrante destreza tecnológica de la Unión Europea en el escenario mundial ha aparecido bajo el nombre de un "paquete de liderazgo digital" y "Ley Legal Insignia". Para simplificar las cosas, los términos "autonomía estratégica" y "soberanía digital" también se utilizan para abordar las preocupaciones sobre la independencia tecnológica de la UE.
En particular, los formuladores de políticas están trabajando en mecanismos para restringir el acceso a la financiación de la investigación en seguridad cibernética, y potencialmente también a la financiación en áreas "estratégicas" como la supercomputación, la tecnología cuántica y la inteligencia artificial. El borrador del programa de financiación de Europa Digital de la UE plantea la posibilidad de excluir del esquema de financiación a empresas extranjeras o empresas con sede en la UE que están controladas desde el extranjero.
El enfoque para favorecer a los jugadores locales o limitar a los extranjeros ha causado una profunda inquietud en el sector tecnológico.
Los movimientos de Europa contra la influencia china podrían tener un daño colateral en los lazos comerciales entre las empresas estadounidenses y europeas.
"No nos gustan las preferencias nacionales. Desde el punto de vista de la seguridad, esto empeora las cosas", dijo Tommy Ross, director senior de ciberseguridad y política de privacidad en el lobby de software BSA. "Existen preocupaciones válidas sobre las actividades de empresa a empresa en China … pero la idea de que las empresas no deberían hacer negocios en China y servir al mercado chino, no creo que Europa vaya a por eso", agregó.
Redes críticas
Un plan para revisar la Directiva Europea de Protección de Infraestructura Crítica, la ley que establece obligaciones de seguridad para las empresas que brindan servicios de infraestructura crítica en Europa, está ganando terreno.
A finales del año pasado, la Comisión comenzó a buscar empresas y organizaciones sobre cómo adaptar la ley, que data de 2008, tiene un alcance limitado y no protege mucho contra ataques cibernéticos ni ataques híbridos como las campañas de desinformación.
La reforma de la ley de infraestructura crítica se produce cuando los países miembros todavía se están acostumbrando a la Directiva de Sistemas de Información de Red de la UE (Directiva NIS) de 2016 que trata específicamente las amenazas de ciberseguridad en infraestructura crítica.
Esa directiva también creó un grupo conocido como el Grupo de Cooperación NIS eso está ganando respeto y poder dentro de las instituciones de la UE. Su función es alimentar a las capitales de la UE con información e informes conjuntos, incluido uno citado a menudo. uno sobre amenazas de piratería electoral antes de las elecciones al Parlamento Europeo de 2019.
Es casi seguro que un sector enfrentará nuevas reglas: las finanzas.
Las firmas bancarias están buscando nuevas reglas cibernéticas, pruebas de resistencia y demandas de informes bajo una iniciativa que la próxima Comisión podría lanzar el próximo año, según el borrador del documento obtenido por POLITICO. Las reglas de ciberseguridad para los bancos impondrían requisitos específicos a los sistemas informáticos y de red utilizados por los bancos; obligar a los bancos a denunciar incidentes cibernéticos y crear un "marco de prueba resistente a los cibernéticos".
Contrarrestar la desinformación
Considere las elecciones al Parlamento Europeo de 2019 como un primer intento de lidiar con las campañas de interferencia.
En los próximos meses y años, se espera que la UE evalúe y mejore sus medidas contra la desinformación y la interferencia electoral con una mezcla de leyes estrictas y blandas.
Una idea de los funcionarios digitales de la Comisión es introducir un "marco de corregulación" sobre desinformación que incluiría a las autoridades públicas y las empresas tecnológicas. No está claro cómo se vería ese marco, pero se basaría en el Código de Prácticas de la Comisión sobre desinformación que identificaba los requisitos (voluntarios) para que las grandes empresas de medios sociales los cumplan.
Los países de la UE también están fortaleciendo sus poderes para responder a la desinformación.
El Consejo de la UE creó recientemente un nuevo grupo diplomático permanente para monitorear y responder a amenazas "híbridas" como información errónea, campañas de noticias falsas e intentos de interferencia electoral. Los representantes finlandeses, que ocupan la presidencia del Consejo de la UE hasta finales de año, también destacaron el tema en su documento de estrategia a principios de este año.
El nuevo jefe de la Comisión, von der Leyen, ya ha dicho en ella. pautas políticas que pretende proponer un "Plan de acción para la democracia europea" que "aborde las amenazas de intervención externa en nuestras elecciones europeas", incluida la protección contra la desinformación y la interferencia.
Además, la UE es construyendo su cooperación con la OTAN, la alianza transatlántica que en los últimos años ha intensificado su acción para contrarrestar las amenazas híbridas. Está probando los llamados "equipos de apoyo contrahíbridos", incluido uno que se desplegará en Montenegro, según fuentes diplomáticas.
Certificación y estándares
La última Comisión allanó el camino para requisitos más estrictos para asegurar productos y servicios en toda la UE. La Ley de Ciberseguridad de la UE, que entró en vigor en junio, abrió la puerta a la Agencia de Ciberseguridad de la UE para elaborar esquemas de certificación.
En la parte superior de la lista de éxitos de la agencia para la certificación se encuentran: proteger los dispositivos de Internet de las cosas, racionalizar los requisitos en 5G y proteger los servicios en la nube.
Para algunos, especialmente para 5G, el llamado a hacer obligatorios dichos requisitos ya sonaba en voz alta en los corredores de la UE.
El papel internacional de Europa
Las tensiones entre Estados Unidos y China han aumentado la presión sobre los países europeos para que mantengan un diálogo internacional con el objetivo de detener la guerra cibernética e imponer reglas globales de participación en el ciberespacio.
El destacado ex diplomático estonio y ahora miembro del Parlamento Europeo, Marina Kaljurand, dijo a POLITICO en una entrevista reciente que "la UE debería ser mucho más fuerte en el área internacional. No solo hablando entre estados de ideas afines, sino también hablando con el mundo en desarrollo".
Países como Estonia y los Países Bajos, junto con las potencias más grandes de Europa, Alemania, Francia y el Reino Unido, están fuertemente invertidos en conversaciones en las Naciones Unidas, conocidas como el Grupo Gubernamental de Expertos de la ONU (UNGGE) sobre ciberseguridad. El grupo rivaliza con un segundo llamado "grupo de trabajo de composición abierta" que se creó en gran medida por iniciativa de Rusia. Ambos grupos se reúnen a principios de diciembre.
Un último intento de la UNGGE en 2017 no logró llegar a un acuerdo sobre las normas internacionales. Estos nuevos grupos son la prueba definitiva de la ONU sobre si puede controlar la proliferación de armas de ciberseguridad, dijo Patryk Pawlak, funcionario ejecutivo de Bruselas en el Instituto de Estudios de Seguridad de la Unión Europea: "Si ambos fallan, las consecuencias serán las coaliciones de los dispuesto, y las asociaciones regionales se hacen cargo ", enfrentando a Washington directamente contra Moscú y Pekín.
Hacer que las instituciones de la UE sean más a prueba de piratas informáticos
Finalmente, la Unión Europea, por su propia admisión, trabaja para tapar agujeros y parchar vulnerabilidades en sus propias redes de TI y sistemas de comunicación.
Dos recientes hacks revelados públicamente en los datos de comunicación de la UE dejaron en claro sus debilidades.
Primero, una empresa de ciberseguridad cercana a los servicios de inteligencia de EE. UU. Dijo en diciembre que un grupo de hackers chinos había violado una red de comunicación diplomática en Chipre, posiblemente obteniendo acceso a los cables diplomáticos cotidianos intercambiados entre los gobiernos europeos. Las instituciones de la UE no confirmaron que se cometió el hack.
En segundo lugar, la delegación diplomática de la UE en Moscú "observó posibles signos de sistemas comprometidos conectados a nuestra red no clasificada", dijo un portavoz de la UE en mayo pasado. La noticia llegó en medio de tensiones récord por la interferencia rusa en los asuntos de la UE, en el período previo a las elecciones de la UE.
Los jefes de Estado europeos poco después pidieron a la próxima Comisión "que proteja mejor las redes de información y comunicación de la UE", en el texto de conclusiones de una cumbre de la UE el pasado junio.
Desde entonces, la Comisión Europea ha planeado los esfuerzos para reforzar la seguridad. Un documento reciente que enumera las prioridades políticas de la institución sugirió un "Escudo Europeo de Ciberseguridad" para asegurar e intercambiar "activos críticos de comunicación pública en toda la UE".
Bjarke Smith-Meyer y Laura Kayali contribuyeron con informes.