¿Qué es un Cyber Warrior? El surgimiento de la experiencia cibernética militar de los EE. UU., 1967-2018
Rebecca Slayton || Texas National Security Review¿Cómo han alcanzado las operaciones cibernéticas militares, un conjunto diverso de actividades que a menudo se diferencian poco del trabajo de seguridad cibernética civil, el estatus de “guerra”? ¿Qué actividades tienen el mayor estatus de guerra, qué actividades tienen el menor y por qué? Este documento examina el establecimiento y el crecimiento de la experiencia asociada con las operaciones cibernéticas en los servicios individuales y a nivel conjunto desde finales de la década de 1960. Las actividades orientadas a las amenazas, como atacar a los adversarios o responder a los adversarios que han violado las redes de EE. UU., han alcanzado más fácilmente el estado de guerra que las actividades orientadas a la vulnerabilidad, como parchear software, capacitar a los usuarios en buenas prácticas de seguridad y otras acciones que tienen como objetivo prevenir intrusiones. En última instancia, el menor nivel de trabajo y experiencia asociados con la mitigación de vulnerabilidades sigue siendo un problema importante para las operaciones cibernéticas militares.
El 4 de mayo de 2018, el Comando Cibernético de EE. UU. fue elevado de un comando subunificado bajo el Comando Estratégico de EE. UU., lo que lo convierte en el décimo comando combatiente unificado de EE. UU. En una ceremonia que marcó este cambio, el subsecretario de Defensa Patrick Shanahan describió el desafío del comando como fortalecer “nuestro arsenal de armas cibernéticas, escudos cibernéticos y guerreros cibernéticos” 1.
Las palabras de Shanahan evocan la imagen de un guerrero tradicional que lucha con armas y un escudo. Y, sin embargo, la “guerra” cibernética difiere dramáticamente del combate tradicional.2 De hecho, muchos guerreros cibernéticos pasan menos tiempo usando “armas” virtuales que inventándolas o manteniéndolas. Si bien la doctrina conjunta trata el uso, la invención y el mantenimiento como componentes importantes de las "operaciones" cibernéticas, es decir, la guerra, este documento muestra que, en la práctica, los individuos que realizan estas actividades no tienen el mismo estatus de "guerreros".
Por supuesto, puede parecer extraño que cualquier experto cibernético tenga el estatus de guerrero. Después de todo, normalmente trabajan en escritorios y sin un riesgo físico sustancial. Además, si bien los misiles, drones, aviones de combate y otra alta tecnología han cambiado la forma en que los militares luchan y lo que significa ser un guerrero, las tecnologías con las que trabajan los ciberguerreros no son exclusivas de los militares3. cuenta con complejas redes informáticas y expertos que las defienden. Si bien algunos ciberguerreros atacan las redes informáticas de los adversarios, muchos dedican su tiempo a un trabajo defensivo que difiere muy poco, si es que lo hace, del de los expertos en seguridad informática civil. De hecho, el Departamento de Defensa de EE. UU. Ha aprovechado el marco de la fuerza laboral civil de la Iniciativa Nacional de Educación en Ciberseguridad de los EE. UU. Para construir su propia fuerza de trabajo cibernética.4 En ese sentido, el Departamento de Defensa utiliza contratistas civiles para operaciones cibernéticas tanto ofensivas como defensivas.
Entonces, ¿por qué algunos tipos de expertos cibernéticos que trabajan para el Departamento de Defensa se consideran "guerreros" y otros no? Este artículo examina el proceso histórico mediante el cual algunos de estos tipos de expertos obtuvieron el estatus de guerreros mientras que otros no. Muestra cómo, a lo largo de la década de 1990 y principios de la de 2000, los líderes clave en las comunidades de inteligencia, comunicaciones y guerreros defendieron que las operaciones de redes informáticas deberían tratarse como una especie de guerra. Si bien los enfoques específicos variaron en los diferentes servicios y especializaciones profesionales, todos estos líderes lucharon contra una cultura que históricamente ha tratado el trabajo relacionado con la información, como la inteligencia, la informática y las comunicaciones, como una función de apoyo a la guerra, algo más bajo en estatus que la propia guerra.
Elevar el estado de la experiencia cibernética implicó desafiar las jerarquías organizativas que subordinaron a los expertos cibernéticos a los combatientes tradicionales. Por ejemplo, significó empoderar a los expertos y organizaciones cibernéticos para que emitan comandos de manera efectiva a las unidades de guerra, dirigiéndolas a remediar las vulnerabilidades en sus redes informáticas. También implicó reorganizar especializaciones militares bien establecidas, como inteligencia de señales, guerra electrónica y comunicaciones, en torno a la infraestructura y las operaciones cibernéticas. Quizás lo más importante, significó establecer nuevas trayectorias profesionales a través de las cuales los expertos cibernéticos podrían avanzar a los niveles más altos de mando.
- "¿Cómo se vería el futuro de los guerreros-guardianas?...
- Eh, chabón... acá atrás...
Los líderes militares defendieron la mejora de la experiencia cibernética de diversas formas. Por ejemplo, desarrollaron conceptos de operaciones cibernéticas que eran análogos a conceptos bien establecidos de operaciones cinéticas. También realizaron ejercicios que revelaron el impacto potencial de las operaciones cibernéticas en las luchas militares y recopilaron datos que destacaron un aumento constante en las intrusiones que podrían haber pasado completamente desapercibidas si no fuera por el trabajo de los expertos cibernéticos.
Sostengo que estas y otras actividades relacionadas lograron establecer operaciones cibernéticas como un tipo de guerra, pero que algunos tipos de habilidades, conocimientos y habilidades se veían más fácilmente como lucha que otros. En particular, las actividades centradas en amenazas como las operaciones ofensivas, la detección de intrusiones y la respuesta a incidentes, que se desarrollaron por primera vez dentro de las unidades de inteligencia de señales, se vieron más fácilmente como guerras. Por el contrario, las actividades centradas en la vulnerabilidad, como la gestión de contraseñas, la aplicación de parches de software y otras formas de mantenimiento de la tecnología, que eran principalmente responsabilidad de las unidades de comunicaciones, tardaron en verse como una especie de lucha.
Hoy en día, la distinción entre actividades centradas en amenazas y actividades centradas en vulnerabilidades se puede encontrar en la doctrina conjunta, que describe tres misiones principales para las operaciones del ciberespacio. La primera misión, operaciones cibernéticas ofensivas, es exclusiva de los militares. La ley de los EE. UU. Prohíbe que las organizaciones civiles realicen operaciones cibernéticas ofensivas a menos que estén operando bajo autoridad militar. La segunda misión, las operaciones cibernéticas defensivas, responde a las amenazas que ya han violado las redes del Departamento de Defensa. Algunas de estas actividades, incluida la respuesta a incidentes, la detección de intrusos y el monitoreo de redes, son muy similares al trabajo defensivo dentro de las principales corporaciones, el gobierno civil y otras organizaciones no militares.
La tercera misión, operaciones de la Red de Información del Departamento de Defensa (DODIN), se centra en mitigar las vulnerabilidades. Incluye "acciones tomadas para asegurar, configurar, operar, extender, mantener y sostener el ciberespacio [del Departamento de Defensa] y para crear y preservar la confidencialidad, disponibilidad e integridad del DODIN". Como las operaciones cibernéticas defensivas, estas actividades son comunes en organizaciones no militares. Además, en virtud de su enfoque en mitigar las vulnerabilidades en lugar de atacar a los adversarios, han luchado por ganar el estatus de combatientes. En un esfuerzo por presentar su trabajo como una lucha de guerra, el Cuartel General de las Fuerzas Conjuntas-DODIN describe su misión con la frase forzada y opaca "Luchar contra el DODIN", no "asegurar", "mantener" o "sostener" al DODIN.5 Y doctrina conjunta parece reconocer la menor consideración en la que se pueden llevar a cabo tales operaciones, señalando que “aunque muchas actividades de operaciones del DODIN son eventos programados regularmente, no pueden considerarse rutinarias, ya que su efecto agregado establece el marco sobre el cual la mayoría de las misiones del DOD [Departamento de Defensa] en última instancia dependerá ". 6
La doctrina conjunta no prioriza formalmente ninguna de estas tres misiones sobre las demás. Sin embargo, como muestra este documento, el personal asignado a operaciones cibernéticas ofensivas o defensivas tiende a tener un mayor estatus de combatiente y, por lo tanto, mayor prestigio y oportunidades que el personal asignado a operaciones DODIN. Las operaciones cibernéticas ofensivas y defensivas, en virtud de su enfoque en confrontar adversarios inteligentes y cambiantes, tienden a ser menos rutinarias que las operaciones DODIN y, por lo tanto, se interpretan más fácilmente como guerras. Por el contrario, las operaciones de DODIN se centran en mantener y mantener la tecnología. Este trabajo se puede realizar de forma innovadora. Sin embargo, también es muy a menudo rutinario y mundano. Además, aunque las operaciones DODIN efectivas requieren una comprensión de cómo operan las amenazas, su enfoque está en última instancia en la infraestructura más que en los adversarios, lo que reduce aún más cualquier reclamo de guerra.
Y, sin embargo, las operaciones DODIN también son la primera línea de defensa, sin la cual las operaciones cibernéticas defensivas serían imposibles. Sin una defensa de las redes informáticas, los militares modernos simplemente no podrían funcionar con ningún nivel de confianza. Si bien no tomo una posición sobre si las operaciones DODIN y otras formas de mantenimiento de la seguridad deben ser consideradas "guerras", sí sostengo que tal trabajo ha tendido a ser infravalorado y que su estatus más bajo continúa impactando la ciberseguridad militar.
Al analizar los esfuerzos históricos para hacer del ataque y la defensa de redes informáticas una especie de guerra, este documento se basa en y amplía las historias existentes de operaciones cibernéticas. Los primeros libros y artículos que describieron el auge de las operaciones cibernéticas militares los trataron como la respuesta necesaria a una serie de "llamadas de atención" que se produjeron en forma de intrusiones en la red informática, tanto por adversarios reales como por probadores de penetración, en la década de 1990. y 2000.7 Esta narrativa surgió por primera vez en la década de 1990 entre los miembros del Departamento de Defensa que abogaban por poner mayor énfasis en las operaciones cibernéticas.8 Más recientemente, los académicos han analizado el auge de las operaciones cibernéticas militares como una respuesta a un amplio conjunto de cambios tecnológicos que tuvieron lugar en la década de 1990 y principios de la de 2000.9 En el relato más completo hasta la fecha, Sarah White argumenta que las culturas únicas y subculturas profesionales de los servicios militares, que incluyen inteligencia, inteligencia de señales, criptología, comunicaciones y guerra electrónica, llevaron a una variación considerable en sus doctrinas cibernéticas.10 White describe un proceso de dos etapas de innovación, en la que los servicios experimentaron con muchas formas diferentes de doctrina cibernética en la década de 1990, pero estas doctrinas se volvieron más similares después de que las operaciones cibernéticas se convirtieran en una actividad importante a nivel conjunto.
Por lo tanto, la historia de las operaciones cibernéticas militares no se trata solo de innovación, sino también de la importancia del trabajo de mantenimiento mundano, como capacitar a los usuarios, parchear software y fortalecer las contraseñas.
Este documento se basa en el trabajo de White y otros, pero sus supuestos teóricos y contribuciones difieren de tres maneras significativas. Primero, me concentro no solo en la innovación, sino en lo que viene después de la innovación: mantenimiento y reparación.11 Sin duda, esta es en parte una historia de innovación, ya que el establecimiento de capacidades cibernéticas militares implicó transformar las relaciones entre muchas comunidades profesionales distintivas y las redes informáticas que creaban, operaban y mantenían continuamente. Estas innovaciones fueron a la vez organizativas y tecnológicas, es decir, sociotécnicas. Pero, contrariamente a un cuerpo sustancial de estudios sobre las fuentes de la innovación militar, sostengo que la innovación no siempre es un bien absoluto.12 Como se analiza más adelante, el Departamento de Defensa incorporó innovaciones en microcomputadoras y redes en sus sistemas de información en la década de 1980 , su vulnerabilidad a los ataques de redes informáticas creció sustancialmente.13 Esta vulnerabilidad aumentó drásticamente la necesidad de nuevos tipos de reparación y mantenimiento sociotécnicos que constituyen la mayoría de las operaciones cibernéticas en la actualidad. Por lo tanto, la historia de las operaciones cibernéticas militares no se trata solo de innovación, sino también de la importancia del trabajo de mantenimiento mundano, como capacitar a los usuarios, parchear software y fortalecer las contraseñas.
En segundo lugar, mientras que la mayoría de los relatos históricos tratan el auge de las operaciones cibernéticas militares como una respuesta a los cambios tecnológicos que estaban teniendo lugar fuera de las fuerzas armadas, yo examino estos cambios tecnológicos como internos a las fuerzas armadas. El ejército estadounidense no respondió simplemente al auge de las redes informáticas. También impulsó activamente el desarrollo de nuevas capacidades tecnológicas, ya que perseguía varias ventajas funcionales, como una mayor eficiencia en los sistemas logísticos o ventajas operativas en la guerra centrada en la red.14 Las vulnerabilidades asociadas con las redes de computadoras militares no eran simplemente un producto de una tecnología comercial defectuosa. . También fueron producidos por prácticas internas del Departamento de Defensa. Estos incluyen la búsqueda descentralizada de nuevas tecnologías de redes, la falta de estándares de seguridad sólidos y la falta de capacitación en seguridad y una cultura de seguridad entre el personal de comunicaciones e informática encargado de implementar sistemas informáticos.15
En tercer lugar, analizo la experiencia cibernética como más que un conjunto de conocimientos, habilidades y capacidades que poseen las personas y las organizaciones. Más bien, me baso en el trabajo que examina la experiencia como un conjunto de relaciones dinámicas entre personas o grupos que afirman poseer conocimientos y habilidades especializados y personas o grupos que carecen de tales conocimientos y habilidades.16 Los expertos deben hacer más que simplemente poseer conocimientos, habilidades y habilidades. . También deben persuadir a otros de la veracidad de sus afirmaciones y la efectividad de sus acciones.17 Este proceso de persuasión puede incluir, por ejemplo, obtener una certificación profesional, demostrar dominio de las tecnologías y otras prácticas culturales que establezcan confianza entre expertos y no expertos. expertos.18
Esta comprensión relacional de la experiencia es fundamental para comprender cómo las organizaciones crean y compiten con las fuerzas cibernéticas. Las organizaciones deben hacer mucho más que capacitar, reclutar o contratar personal talentoso: también deben establecer relaciones efectivas entre los guerreros cibernéticos y los muchos otros profesionales militares con los que trabajan. Una concepción relacional de la experiencia también es crucial para explicar cómo algunos individuos y grupos capacitados y conocedores pueden elevar su estatus dentro de una organización, mientras que otros no. Por último, la competencia internacional en el ciberespacio depende no sólo de adquirir y organizar personal calificado, sino también de persuadir a los adversarios de la capacidad de los ciberguerreros de una nación, es decir, de establecer una relación de superioridad.
La pericia proporciona una base única para la autoridad, no la autoridad formal de las estructuras de mando o los estatutos legales, sino la autoridad que proviene de poder persuadir de manera efectiva. Sin embargo, lo que cuenta como un argumento persuasivo y, por lo tanto, lo que cuenta como un experto autorizado, difiere de una cultura a otra. Por ejemplo, mientras que los médicos ayurvédicos son respetados por su gran eficacia en gran parte de la India, es probable que se los considere charlatanes en las culturas occidentales. La cultura también da forma a lo que cuenta como conocimientos y habilidades relevantes e importantes y lo que cuenta como un experto persuasivo y eficaz.
El ejército de EE. UU. no es de ninguna manera una cultura monolítica, 19 pero su misión principal es la guerra. Por lo general, la pericia gana en estatus cuanto más esencial es para la guerra. Todos los campos profesionales de los servicios distinguen explícitamente entre la lucha y el apoyo a la guerra. Además, la experiencia tradicional de guerra ha sido a menudo un requisito previo para la promoción profesional. Los comandantes de mayor jerarquía dirigen las unidades de apoyo de la lucha en lugar de la lucha, y las jerarquías organizativas otorgan poder a los comandos de la lucha por encima del apoyo de la lucha. En este contexto, elevar el estatus de la experiencia cibernética implica replantearla como una forma de combate en lugar de apoyo de combate.
El resto de este documento está organizado en tres partes. En primer lugar, describo brevemente los orígenes de las operaciones de redes informáticas en el Departamento de Defensa, destacando los enfoques orientados a la vulnerabilidad y a las amenazas. En segundo lugar, analizo el surgimiento de la "guerra de la información", que proporcionó un contexto conceptual y organizativo para desarrollar aún más las operaciones de redes informáticas durante la década de 1990. En tercer lugar, analizo el creciente desafío de defender las redes y el aumento asociado de las operaciones conjuntas de redes de computadoras a mediados y finales de la década de 1990. La defensa de las operaciones militares de las intrusiones en las redes informáticas exigía un nivel de coordinación que ningún servicio podía proporcionar por sí solo. En cuarto lugar, analizo cómo los servicios comenzaron a elevar las operaciones de redes de computadoras en el nuevo milenio, en parte en respuesta a la creciente importancia de las operaciones cibernéticas conjuntas. Concluyo con una discusión sobre las operaciones cibernéticas actuales, en particular el desafío de elevar el estatus del trabajo enfocado en mitigar vulnerabilidades.
Los orígenes de las operaciones de redes informáticas de EE. UU.
Vulnerabilidad tecnológica, organizacional y profesional
Los orígenes de lo que se denominó operaciones de redes informáticas se pueden encontrar en las organizaciones de inteligencia de EE. UU., que probaron la seguridad de varios sistemas informáticos de última generación a fines de la década de 1960 y principios de la de 1970 al intentar ingresar y tomar el control de 20 Estos "equipos tigre" siempre tuvieron éxito, demostrando vulnerabilidades generalizadas incluso en los sistemas mejor diseñados.21 Es razonable suponer que las agencias de inteligencia también estaban explorando formas de comprometer los sistemas informáticos de los adversarios, aunque la existencia de tales operaciones permanece altamente clasificado.22Por el contrario, la necesidad de la defensa de la red informática se convirtió en un tema de debate público después de que un panel de científicos informáticos lo abordó en una conferencia de 1967 y, por primera vez, reconoció públicamente la existencia de la Agencia de Seguridad Nacional, anteriormente descrita como "No tal Agencia. ”23 Para los científicos de la computación, la facilidad con la que las computadoras podían ser penetradas por personas externas era en parte un problema tecnológico: los sistemas de hardware y software eran tan complejos que inevitablemente contenían errores que podían explotarse. Con el patrocinio de la Agencia de Seguridad Nacional y la Fuerza Aérea, los informáticos trabajaron en el desarrollo de técnicas para reducir tales errores y demostrar que los sistemas informáticos realmente aplicaban las políticas de seguridad que estaban programados para hacer cumplir. Estos esfuerzos fracasaron en producir una computadora demostrablemente segura, pero tuvieron éxito en hacer crecer una comunidad de expertos en seguridad informática del gobierno, la industria y académicos.24
Esta comunidad reconoció que la seguridad también era un problema de mercado: las empresas no tenían ningún incentivo para diseñar sistemas seguros en las décadas de 1970 y 1980 porque había poca demanda de seguridad por parte de los consumidores. Aunque la Ley de Privacidad de 1974 ordenaba que las agencias federales tomaran medidas de seguridad de la información, y aunque el gobierno federal de los EE. UU. tenía un poder de mercado sustancial como principal consumidor de hardware y servicios informáticos, el personal responsable de comprar sistemas generalmente carecía de la comprensión necesaria para especificar los requisitos de seguridad. para nuevas adquisiciones.25 De manera similar, los gerentes de computación obtuvieron "principalmente un 'movimiento de brazo' del proveedor", en lugar de una evaluación objetiva de la "seguridad" de los sistemas informáticos.26 En consecuencia, los científicos de computación convocados por la Oficina Nacional de Estándares en 1978 propuso desarrollar “un proceso para evaluar la seguridad de los sistemas informáticos y para acreditar sistemas particulares para aplicaciones particulares” 27.
Estas recomendaciones llevaron a la creación de los Criterios de evaluación de sistemas informáticos confiables y el Centro nacional de seguridad informática asociado en la Agencia de seguridad nacional.28 El centro ayudó a coordinar el desarrollo de estos criterios y luego los utilizó para evaluar la seguridad de los sistemas informáticos comerciales. Pero la rápida innovación y el auge de las redes de computadoras amenazaron con hacer obsoletos los criterios y dieron lugar a una larga serie de "interpretaciones" para guiar las evaluaciones de nuevos tipos de productos.29 Mientras tanto, el lento proceso y el alto costo de la evaluación disuadieron a muchas organizaciones, entre ellas aquellos en el Departamento de Defensa, de exigir altas calificaciones de seguridad.30 Eso cambió algo después de 1987, cuando el Comité Nacional de Seguridad de Sistemas de Información y Telecomunicaciones ordenó que, para 1992, todas las agencias federales debían usar solo sistemas operativos evaluados en el nivel "C2" o superior para procesar información de seguridad nacional.31 La evidencia sugiere que este mandato fue realmente exitoso en la mejora de los estándares de seguridad en el mercado de la informática.32
[L]a necesidad de defensa de la red informática se convirtió en un tema de discusión pública después de que un panel de científicos informáticos lo abordó en una conferencia de 1967 y, por primera vez, reconoció públicamente la existencia de la Agencia de Seguridad Nacional, anteriormente descrita como "No tal Agencia."
Sin embargo, C2 todavía no era un nivel de seguridad particularmente alto, y el personal de comunicaciones e informática no exigía normalmente más seguridad que la requerida por el mandato federal.33 Además, este personal no sabía cómo utilizar sistemas "confiables" para construir sistemas seguros. Por tanto, las vulnerabilidades de las redes informáticas eran también el resultado de problemas de formación y gestión, además de ser problemas tecnológicos y de mercado. En 1990, el subsecretario de defensa para comando, control, comunicaciones e inteligencia encargó a la Agencia de Seguridad Nacional y la Agencia de Comunicaciones de Defensa (que pronto se convertiría en la Agencia de Sistemas de Información de Defensa) desarrollar medios para gestionar mejor la seguridad de la información. Esto llevó a la creación del Programa de Seguridad de los Sistemas de Información de Defensa, cuyo objetivo era desarrollar una arquitectura y una política de seguridad integral e integrada para el Departamento de Defensa35.
Sin embargo, la compra, el despliegue y la gestión de redes informáticas siguió estando muy descentralizada en las fuerzas armadas, y las redes proliferaron en la década de 1980 y principios de la de 1990.36 Esto dejó el problema de configurar y mantener tales redes a personal dispar en los campos de las comunicaciones y la computación en todo el país. 37 Como se describe brevemente a continuación, cada uno de los servicios estructuró sus campos de carrera en computación y comunicaciones de manera un poco diferente, pero el personal encargado de implementar y administrar redes de computadoras generalmente recibió poca o ninguna capacitación en seguridad informática.38
A fines de la década de 1980 y principios de la de 1990, el Comando de Sistemas de Información del Ejército de los EE. UU. Era responsable de las redes y comunicaciones globales del Ejército.39 Sin embargo, a fines de 1996, el Comando de Sistemas de Información se subordinó al Comando de Fuerzas del Ejército, donde se convirtió en el Comando de Señales del Ejército. , reduciendo su independencia y subrayando su papel de apoyo.40 La comunidad responsable de las redes de computadoras y las comunicaciones, el Cuerpo de Señales, era un campo de apoyo enfocado en poner las redes a disposición de los comandantes, no asegurar las redes de los adversarios.41 Además, la preferencia cultural del Ejército por los oficiales que eran generalistas en lugar de especialistas técnicos no recompensaban una profunda inversión en habilidades técnicas a principios de la década de 1990.42 Nada de esto alentó el desarrollo de administradores de redes informáticas técnicamente profundos y conocedores de la seguridad.
Por el contrario, la Fuerza Aérea ha recompensado históricamente la profundidad técnica, esperando que sus oficiales desarrollen una experiencia técnica sustancial antes de tomar el mando.43 La Fuerza Aérea también fue uno de los primeros líderes en computación y comunicaciones en red. Para diciembre de 1989, el Comando de Comunicaciones de la Fuerza Aérea era el comando más disperso a nivel mundial en la Fuerza Aérea, incluido más de 54.000 efectivos que trabajaban en 430 ubicaciones en los EE. UU. y 27 ubicaciones en el extranjero.44 Sin embargo, a principios de la década de 1990, como parte de la racionalización posterior a la Guerra Fría y reducción de personal, la Fuerza Aérea redujo la independencia y la fuerza de su comando de comunicaciones y personal asociado. En octubre de 1990, el personal de comunicaciones fue puesto bajo el mando de las unidades operativas a las que servían, reduciendo el mando a menos de 8.000 efectivos. En julio de 1991, el Comando de Comunicaciones fue degradado aún más de comando principal a agencia de operaciones de campo.45 Durante los siguientes años, el número de Códigos de Especialidad de la Fuerza Aérea para oficiales de informática y comunicaciones se redujo sustancialmente a medida que se fusionaron áreas de trabajo muy diferentes. y se alentó explícitamente a los oficiales a ser generalistas en lugar de especialistas.46 En conjunto, estos cambios erosionaron cualquier posibilidad de control centralizado de la seguridad de las redes informáticas en la Fuerza Aérea, al tiempo que desanimaban a los oficiales de comunicaciones de buscar la profundidad técnica que sería necesaria para garantizar la seguridad.
La gestión de las comunicaciones y la informática de la Marina estaba aún más descentralizada que la de la Fuerza Aérea en las décadas de 1980 y 1990. A lo largo de la década de 1990, el Comando Naval de Computación y Telecomunicaciones fue responsable de garantizar la interoperabilidad de los sistemas de computación de comunicaciones nuevos y heredados y de proporcionar, operar y mantener sistemas de comunicaciones en tierra y no tácticos.47 Sin embargo, esto dejó en manos de una miríada de otros sistemas ser desarrollado por otros comandos. Para el cambio de milenio, la Armada tenía 28 comandos diferentes independientemente de desarrollar, operar y mantener sus propios sistemas informáticos.48 La Marina también carecía de un comando de comunicaciones centralizado o un campo de carrera en la década de 1990, a pesar de tener clasificaciones alistadas como "técnico de radio" y "técnico de procesamiento de datos" .49 A flote, las responsabilidades de las comunicaciones eran a menudo asignados a oficiales por un período limitado, sin ningún entrenamiento formal.50 En tierra, gran parte del trabajo de comunicaciones y computación fue realizado por oficiales de línea generales sin restricciones, una comunidad en tierra que no era de combate y que era 93 por ciento de mujeres en 1990.51 Se convirtió en la comunidad de oficiales de apoyo a la flota después de que se levantaran las leyes que prohibían a las mujeres desempeñar funciones de combate en 1995, y continuaron desempeñando muchas de las mismas funciones tanto en tierra como a flote. Sin embargo, no se requería capacitación formal para desempeñar estos roles. Normalmente, la gente tenía que aprender en el trabajo.52
En resumen, las vulnerabilidades en las redes del Departamento de Defensa no eran solo una cuestión de cambios tecnológicos externos o inseguridades en productos comerciales que el departamento no podía controlar. El Departamento de Defensa impulsó activamente muchas innovaciones en redes de computadoras y seguridad, pero no pudo garantizar que sus redes se implementaran o mantuvieran de manera segura. Aunque el personal de comunicaciones e informática de los servicios constituía la primera línea de defensa de la red informática, responsable de la configuración de redes, la gestión de contraseñas y mucho más, la mayoría carecía de conocimientos sobre cómo proteger las redes. En última instancia, fue la incapacidad del Departamento de Defensa para administrar de manera centralizada la seguridad de las redes informáticas, combinada con la falta de habilidades y conocimientos de seguridad entre su dispar personal de comunicaciones e informática, lo que hizo que sus redes fueran tan vulnerables.
Enfoques orientados a amenazas para la defensa de redes informáticas
Los informáticos que trabajan con agencias de inteligencia reconocieron desde el principio que incluso si pudieran crear sistemas que hicieran cumplir las políticas de seguridad a la perfección, un interno podría comprometer el sistema, consciente o inconscientemente.53 Este reconocimiento llevó al desarrollo de uno de los primeros enfoques orientados a las amenazas para defensa de redes informáticas (sistemas de detección de intrusiones) que monitorearían las computadoras y las redes para detectar comportamientos sospechosos y alertarían a los oficiales de seguridad sobre actividades potencialmente no autorizadas. La Agencia de Seguridad Nacional, la Armada y la Fuerza Aérea patrocinaron investigaciones sobre sistemas de detección de intrusos en la década de 1980 y, a principios de la década de 1990, estaban utilizando dichos sistemas para monitorear redes seleccionadas.54 También desarrollaron nuevos tipos de experiencia asociados con los sistemas de detección de intrusos. , ya que los oficiales de seguridad aprendieron cómo evaluar alertas sobre actividades sospechosas y determinar qué acciones, si las hubiera, deben tomarse.55Otro enfoque temprano orientado a las amenazas para la defensa de la red informática vino en forma de equipos de respuesta a emergencias informáticas, también conocidos como equipos de respuesta a incidentes informáticos. Estos equipos se crearon por primera vez en respuesta al gusano de Internet del 2 de noviembre de 1988.56 El gusano fue el primero en interrumpir significativamente Internet, que entonces era principalmente una red de investigación patrocinada por el Departamento de Defensa. El Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas, una organización no gubernamental financiada con fondos federales con sede en la Universidad Carnegie Mellon, se estableció en enero de 1989 con el objetivo de prevenir futuros incidentes, proporcionando una red de expertos de élite a quienes se podría recurrir para diagnosticar futuros ataques, y facilitando la creación de una red de equipos de respuesta similares.57
Las unidades del Departamento de Defensa y los laboratorios nucleares nacionales estuvieron entre las primeras organizaciones en formar sus propios equipos de respuesta a emergencias informáticas. A principios de la década de 1990, la Agencia de Inteligencia de Defensa formó un equipo de respuesta a incidentes para su red clasificada de Sistemas de Información de Inteligencia, que, a fines de 1992, pasó a llamarse Equipo de Soporte de Incidentes de Seguridad de Sistemas Automatizados y se trasladó a la Agencia de Sistemas de Información de Defensa, donde se le asignó la tarea con la respuesta a incidentes en todo el Departamento de Defensa.58 Cada uno de los servicios también comenzó a formar capacidades de respuesta a incidentes.59
Los sistemas de detección de intrusos y los equipos de respuesta a incidentes fueron importantes no solo para identificar y detener a los intrusos, sino también para argumentar que las redes de computadoras estaban cada vez más bajo ataque.
A principios de la década de 1990, los equipos de respuesta ayudaron a identificar y hacer visibles intrusiones que de otra manera podrían haber pasado desapercibidas. Por ejemplo, la capacidad de asesoramiento sobre incidentes informáticos del Departamento de Energía ayudó a descubrir que entre abril de 1990 y mayo de 1991, al menos 34 de las computadoras del Departamento de Defensa habían sido pirateadas.60 Una investigación adicional finalmente concluyó que los piratas informáticos eran adolescentes en los Países Bajos que se llamaban a sí mismos " High Tech for Peace ”y había obtenido acceso a un sistema informático de gestión logística. Durante los preparativos para la Operación Tormenta del Desierto en Irak, los piratas informáticos ofrecieron vender las capacidades obtenidas a través de ese sistema a Saddam Hussein por $ 1 millón. Si el gobierno iraquí hubiera respondido a la oferta, lo que afortunadamente no fue así, los piratas informáticos podrían haber interrumpido el flujo de suministros a las tropas estadounidenses que se preparaban para la Tormenta del Desierto.61
Los sistemas de detección de intrusos y los equipos de respuesta a incidentes fueron importantes no solo para identificar y detener a los intrusos, sino también para argumentar que las redes de computadoras estaban cada vez más bajo ataque. Los equipos de respuesta registraron un aumento exponencial de incidentes que fue paralelo al aumento exponencial de los sitios de alojamiento de Internet en la década de 1990.62 Al presentar estas estadísticas a los responsables de la formulación de políticas tanto dentro como fuera del ejército, podrían argumentar a favor de dedicar más recursos a la defensa de las redes.
Pero la detección de intrusiones y la respuesta a incidentes hicieron más que simplemente demostrar el crecimiento de las amenazas y la necesidad de enfrentarlas. Los investigadores de incidentes también trabajaron para identificar las causas de las infracciones y, en el proceso, subrayaron repetidamente la importancia de una capa previa de defensa: los administradores de sistemas y el personal encargado de implementar y mantener redes seguras. El gusano de Internet de 1989, el incidente de piratería holandesa y muchas otras infracciones fueron posibles por la falta de conocimientos, habilidades y práctica de seguridad entre los administradores de sistemas.63 En 1999, un análisis de la Oficina de Investigaciones Especiales de la Fuerza Aérea mostró que la mayoría de las Las intrusiones raíz del año anterior se debieron al incumplimiento de las políticas de seguridad o las advertencias del equipo de respuesta a emergencias. Se determinó definitivamente que sólo el 13 por ciento era "inevitable". 64
Por lo tanto, los enfoques orientados a las amenazas del Departamento de Defensa para las defensas de red se volvieron críticos a mediados de la década de 1990 en gran parte debido a fallas en la primera línea de defensa: los administradores y mantenedores de sistemas que estaban en una posición única para prevenir y mitigar las vulnerabilidades. Aunque tanto las formas de pericia orientadas a las amenazas como las orientadas a la vulnerabilidad eventualmente se incorporarían a una nueva concepción de la guerra, esa transición fue más lenta y más difícil para la pericia orientada a la vulnerabilidad, como se analiza con más detalle a continuación.
El auge de la guerra de la información y la garantía de la información
A mediados de la década de 1990, las operaciones de redes informáticas comenzaron a encontrar un hogar organizativo y conceptual en la "guerra de la información". Para ser claros, la guerra de información no se trata principalmente de operaciones de redes informáticas. Cuando los oficiales militares describieron la Operación Tormenta del Desierto como la "primera guerra de información", estaban discutiendo tradiciones de trabajo mucho más antiguas, como la recopilación de inteligencia a través de satélites y sistemas de reconocimiento aerotransportado, el uso de dicha inteligencia para bombardear instalaciones de comando y control y la creación de un sistema de comunicaciones en el teatro.65De manera similar, cuando el Departamento de Defensa emitió una directiva ultrasecreta sobre guerra de información en diciembre de 1992, dedicó poca o ninguna atención a las oportunidades y riesgos inherentes al uso de redes informáticas en operaciones militares y de inteligencia.66 La directiva definió la guerra de información como la "competencia de los sistemas de información opuestos" a través de métodos tales como "inteligencia de señales y contramedidas de comando y control" 67. Estas contramedidas, también conocidas como guerra de comando y control, se definieron como el "uso integrado" de cinco elementos: "operaciones seguridad (OPSEC), engaño militar, operaciones psicológicas (PSYOP), guerra electrónica (EW) y destrucción física ", todos" apoyados mutuamente por la inteligencia "68. La guerra de información abarcaba así una gama muy diversa de especializaciones militares, todas ellas desde hace mucho tiempo anteriores a las computadoras.69
No obstante, la guerra de la información proporcionó el contexto conceptual y organizativo principal para los esfuerzos por mejorar el estado de la defensa y el ataque de redes informáticas a mediados de la década de 1990.70 Como se analiza más adelante, cada uno de los servicios abordó las operaciones de redes informáticas de manera algo diferente, pero todos construyeron sobre la respuesta a incidentes y el trabajo de detección de intrusos que había comenzado en sus organizaciones de inteligencia de señales en lugar de en sus unidades de comunicaciones e informática.
Fuerza aérea: el ciberespacio como un nuevo dominio de guerra
De los tres servicios, la Fuerza Aérea fue la más dispuesta a ver las operaciones de redes informáticas como una nueva área de guerra. No obstante, su respuesta inicial a la directiva de guerra de información de 1992 no fue crear una nueva unidad de guerra. En cambio, fusionó las funciones de seguridad del Centro de Apoyo Criptológico de la Fuerza Aérea con el Centro de Guerra Electrónica de la Fuerza Aérea, creando así el Centro de Guerra de Información de la Fuerza Aérea en la Base de la Fuerza Aérea Kelly en San Antonio, Texas.71 Aproximadamente la mitad del personal del centro tenía antecedentes en inteligencia de señales, mientras que el resto provino de una variedad de campos.72 En su fundación en septiembre de 1993, el Centro de Guerra de Información estaba dentro del Comando de Inteligencia de la Fuerza Aérea, pero en octubre de 1993 este comando fue degradado de un comando principal a un agencia, la Agencia de Inteligencia Aérea. La información Warfare Center se ubicó junto con el Joint Electronic Warfare Center, que se convirtió en Joint Command and Control Warfare Center en septiembre de 1994.73 A pesar del apodo de "guerra", ambos centros desempeñaron funciones de apoyo, ayudando a integrar varios métodos de guerra de información en las operaciones de combate.A principios de la década de 1990, la Fuerza Aérea también comenzó a integrar algunas operaciones de redes informáticas en la guerra a través del sistema de Operaciones Técnicas Especiales. El Coronel de la Fuerza Aérea Walter “Dusty” Rhoads, un piloto de combate que fue asignado a la división de planificación del Comando Aéreo Táctico en 1991, recuerda que comenzó a integrar una versión temprana de las operaciones de redes informáticas en los planes de guerra después de ayudar a establecer un Servicio Técnico Especial. Oficina de operaciones para el Comando Aéreo Táctico, que pronto se convertiría en Comando de Combate Aéreo.74 El sistema de Operaciones Técnicas Especiales proporcionó un medio para que los comandos regionales integraran capacidades altamente clasificadas, como el ataque a la red informática, en las operaciones militares.75 Cuando informó al general que estaba dirigiendo las operaciones del Comando Aéreo Táctico, el general le dijo: "Vas a hacer esta guerra de información". 76 Como resultado, Rhoads se convirtió en el director de una nueva rama de guerra de información en el Comando de Combate Aéreo, con el Departamento de Operaciones Técnicas Especiales oficina como foco de la nueva sucursal.77
En 1994, la rama de guerra de la información, bajo la dirección de Rhoads, elaboró un plan para apoyar la Operación Defender la Democracia, cuyo objetivo era revertir el golpe de Estado de 1991 del presidente haitiano elegido democráticamente Jean-Bertrand Aristide. Trabajó con el Centro de Guerra de Información de la Fuerza Aérea, donde un oficial subalterno que alguna vez fue un "dialer dialer", alguien que manipula el sistema telefónico para hacer llamadas gratuitas de larga distancia, descubrió cómo bloquear todas las líneas telefónicas en Haití. . Esto, a su vez, cerraría el sistema de defensa aérea de Haití porque el sistema se comunicaba a través de líneas telefónicas, permitiendo que la Fuerza Aérea sobrevuela sin ser detectada.78
Aunque la Operación Defender la Democracia fue cancelada después de que una delegación encabezada por Jimmy Carter persuadió a los líderes militares de Haití para que renunciaran, el plan de piratería telefónica impresionó al General de División Kenneth Minihan, comandante de la Agencia de Inteligencia Aérea. En el otoño de 1994, Minihan se convirtió en el asistente del jefe de personal de inteligencia en el Departamento de Defensa y comenzó a abogar por la creación de un escuadrón de guerra de información, una unidad de guerra que tendría autoridades del Título 10 (operaciones militares) en lugar de autoridades del Título 50 (inteligencia ) .79 Rhoads también ayudó a defender un escuadrón de este tipo, informando al comandante del Comando de Combate Aéreo quien, a su vez, informó al jefe de personal de la Fuerza Aérea80.
Mientras tanto, la Fuerza Aérea estaba desarrollando una doctrina que resaltaba la singularidad de las operaciones de redes informáticas. En 1995, el Mayor de la Fuerza Aérea Andrew Weaver, que tenía experiencia como operador de armas pero trabajaba en la división de doctrina del Estado Mayor Aéreo, escribió un artículo titulado “Piedras angulares de la guerra de información”, que fue publicado con un prefacio firmado por el El jefe de personal de la Fuerza Aérea y el secretario de la Fuerza Aérea.81 Weaver enfatizó que la “revolución” asociada con la tecnología de la información estaba haciendo más que simplemente aumentar la eficiencia de las operaciones de combate tradicionales. Más bien, argumentó que "la tecnología de la era de la información está convirtiendo una posibilidad teórica en un hecho: manipulando directamente la información del adversario" .82
A los cinco elementos de la guerra de información establecidos en la directiva de 1992, Weaver agregó el “ataque de información” como sexto elemento. Argumentó que, a diferencia de otros elementos de la guerra de información, el ataque de información directo pasó por alto las observaciones del enemigo. Sostuvo que un ataque de información directa podría tener el mismo resultado que uno que cause destrucción física, pero con más certeza, menos tiempo y menos costo, lo que sugiere una similitud entre bombardear una central telefónica y destruir su software. Y argumentó que la información debe entenderse como un nuevo "reino" o "dominio" para las operaciones, similar a la tierra, el mar y el aire, señalando "fuertes paralelismos conceptuales entre la concepción del aire y la información como reinos" 83.
Los argumentos de Minihan, Rhoads y Weaver resultaron convincentes para el liderazgo de la Fuerza Aérea.84 En agosto de 1995, la Fuerza Aérea ordenó la formación del 609 ° Escuadrón de Guerra de Información bajo la 9 ° Fuerza Aérea en la Base de la Fuerza Aérea Shaw. El escuadrón fue encargado de realizar misiones defensivas y ofensivas en apoyo de la 9ª Fuerza Aérea y el Centro de Operaciones Aéreas del Comando Central. Por lo tanto, el escuadrón siguió siendo una especie de apoyo de operaciones, pero a diferencia del Centro de Guerra de Información de la Fuerza Aérea, operaba bajo la autoridad del Título 10.85.
Rhoads fue seleccionado como comandante de la nueva unidad y Weaver fue elegido como oficial de operaciones. Rhoads y Weaver seleccionaron a ocho personas adicionales para que sirvieran como primer cuadro. Rhoads recuerda que, dado que nadie "sabía qué era un ciberguerrero", armaron "una combinación de combatientes de guerras pasadas, tipos J-3 [Operaciones], mucha gente de comunicaciones y un puñado de gente de inteligencia y planificación ".86 Del equipo inicial de 10 personas, cinco tenían experiencia en computadoras o redes, pero el liderazgo: Rhoads y Weaver - procedían de entornos operativos tradicionales87.
Dado que muchos de los miembros iniciales del escuadrón carecían de conocimientos sobre redes informáticas, tomaron un curso de tres días sobre redes informáticas en abril de 1996. Esto se describe en la historia oficial del escuadrón como "un gran éxito", pero el escuadrón necesitaba un programa de entrenamiento más completo, particularmente a medida que el equipo inicial de 10 personas creció.88 Consideró los cursos existentes del Departamento de Defensa, pero concluyó que ninguno funcionaría porque los cursos estaban dispersos geográficamente y solo partes de los cursos eran relevantes para lo que el escuadrón necesitaba saber. . Entonces, en cambio, el escuadrón organizó una serie de cursos comerciales para brindar capacitación en junio y julio de 1996.89
De acuerdo con el énfasis en la guerra, el trabajo del escuadrón parece haberse centrado en actividades orientadas a amenazas, como la detección y respuesta a intrusiones, en lugar de la mitigación de vulnerabilidades, que habrían incluido administración de contraseñas, administración de configuraciones y capacitación.90 Poco después Durante el entrenamiento inicial, el escuadrón probó y seleccionó un "sistema defensivo", un sistema de monitoreo de red y detección de intrusos.91 Durante los siguientes dos años, este equipo permitió al escuadrón demostrar sus capacidades defensivas a cientos de "visitantes distinguidos" en numerosos ejercicios.92
Sin embargo, el énfasis del escuadrón en la ofensiva tiene mucho sentido desde la perspectiva de una nueva unidad ansiosa por demostrar su valor a los combatientes. Las operaciones ofensivas podrían crear efectos militares dramáticos, al menos en teoría.
Si bien la historia oficial del escuadrón enfatiza la misión defensiva, Rhoads recuerda que la mayor parte de su tiempo de misión se dedicó en realidad a operaciones ofensivas.93 El escuadrón también privilegió el trabajo ofensivo al exigir a los individuos que realicen tareas defensivas antes de que se les permitiera tomar la ofensiva.94 En Blue Flag 1998, uno de los ejercicios operativos anuales de la Fuerza Aérea, este enfoque condujo a una fácil victoria para la ofensiva. La historia oficial del escuadrón relata que el equipo rojo del escuadrón `` creó una curva de aprendizaje empinada '' para la defensa.95 Un comité del Consejo Nacional de Investigación que presenció el ejercicio ofreció una evaluación menos barnizada: `` La célula defensiva ... estaba abrumada por su contraparte del equipo rojo. (Por ejemplo, el equipo rojo pudo descargar la orden de asignación aérea antes de que se transmitiera) ". 96 El comité criticó el énfasis general del escuadrón en la ofensiva:
Con una cultura que valora la toma de la ofensiva en las operaciones militares, las fuerzas armadas pueden tener dificultades para darse cuenta de que la defensa contra el ataque de información es una función más crítica que poder realizar operaciones similares contra un adversario, y de hecho es más difícil y requiere mayor habilidad y experiencia que las operaciones de información ofensivas.97
El comité del Consejo Nacional de Investigación continuó señalando que "la Agencia de Seguridad Nacional requiere experiencia en descifrar códigos antes de que un analista pueda comenzar a desarrollar algoritmos de cifrado" .98 En otras palabras, la agencia requería que los aprendices practicaran la ofensiva antes de graduarse en el trabajo más difícil. de defensa.
Sin embargo, el énfasis del escuadrón en la ofensiva tiene mucho sentido desde la perspectiva de una nueva unidad ansiosa por demostrar su valor a los combatientes. Las operaciones ofensivas podrían crear efectos militares dramáticos, al menos en teoría. Por el contrario, los efectos de una defensa exitosa no son notables: las operaciones y redes militares continuarían funcionando según lo planeado.
Si bien el Escuadrón 609 fue considerado exitoso, en junio de 1998, los altos mandos de la Fuerza Aérea decidieron cambiar la organización de las operaciones de información en un esfuerzo por reducir los costos y los requisitos de personal. Esto llevó a la terminación del escuadrón. La mayoría de sus responsabilidades funcionales se transfirieron a lo que pronto se convirtió en la 67.a Ala de Operaciones de Información dentro de la Agencia de Inteligencia Aérea en la Base de la Fuerza Aérea Kelly, lo que devolvió las operaciones de redes informáticas a sus raíces de inteligencia.99
Armada: guerra centrada en la red
Al igual que la Fuerza Aérea, la Armada respondió a la directiva de guerra de información de 1992 reorganizando el trabajo en curso dentro del Grupo de Seguridad Naval, la unidad criptológica de la Armada. Los criptólogos de la Armada realizan funciones similares a las del personal de inteligencia de señales y de guerra electrónica en otros servicios, pero han ocupado un lugar especial en la Armada desde su papel decisivo en la Batalla de Midway y enfrentamientos similares durante la Segunda Guerra Mundial.100 En la Armada, la criptología y la inteligencia son campos profesionales distintos con una historia de rivalidad, a pesar de la estrecha conexión entre los dos. En julio de 1994, la Actividad de Guerra de Información Naval se lanzó formalmente dentro de la Seguridad NavalGrupo, basado en trabajos anteriores altamente clasificados sobre guerra de mando y control.101 La actividad fue atendida por expertos técnicos cuidadosamente seleccionados que desarrollaron nuevas capacidades de guerra de información.102
La Marina también estableció el Centro de Guerra de Información de la Flota bajo el Comando del Atlántico en octubre de 1995 para ayudar a poner en funcionamiento las capacidades desarrolladas por la actividad.103 El centro tenía un enfoque defensivo: el director de guerra de comando y control de la Marina explicó que aseguraría “la batalla Los grupos están abrochados contra "amenazas de información.104 Describió el Fleet Information Warfare Center como el servicio" 911 "de la Marina para la guerra de información, que probablemente era una referencia al nuevo Equipo de Respuesta a Incidentes Informáticos de la Marina que se formalizó dentro del Fleet Information Warfare Center en su fundación.105 El centro era una pequeña organización compuesta por combatientes (su primer director era un ex piloto de combate) junto con criptólogos, técnicos de guerra electrónica y oficiales de inteligencia.106
La Actividad de Guerra de Información Naval y el Centro de Guerra de Información de Flota desempeñaron papeles de apoyo similares al Centro de Guerra de Información de la Fuerza Aérea, pero la Armada no creó una unidad de guerra enfocada en operaciones de redes de computadoras, similar al Escuadrón 609 de la Fuerza Aérea. En cambio, buscó integrar el campo mucho más amplio de la guerra de información en su construcción de comandante de guerra compuesta, en la que cada grupo de batalla designa a un oficial para comandar un área de misión en particular. En 1989, mucho antes de que se emitiera la directiva de guerra de información de 1992, la Marina designó la guerra espacial y electrónica como un área de guerra importante, igual a las operaciones de superficie, submarinas y aéreas.107 Dos años más tarde, la Dirección de Espacio, Mando y Control fue rebautizada la Dirección de Guerra Espacial y Electrónica, y se creó una nueva palanquilla dentro de la construcción del comandante de guerra compuesta: el comandante de guerra espacial y electrónica.108 A finales de la década de 1990, se había convertido en el comandante de la "guerra de mando y control", y para principios de la década de 2000 se cambió a "comandante de guerra de información". 109
No obstante, hubo poco consenso sobre el papel que debería desempeñar la guerra de información en las operaciones navales. ¿Era realmente una nueva área de guerra a la par con la superficie, el subsuelo y el aire, o era un conjunto dispar de herramientas que se utilizarían en apoyo de áreas de guerra más establecidas? La Marina no emitió ninguna doctrina formal sobre la guerra de información a mediados de la década de 1990, y las discusiones en las Actas del Instituto Naval de los EE. UU. De este período indican una amplia gama de puntos de vista.
Por ejemplo, un oficial de inteligencia naval argumentó que los métodos de gran alcance de la guerra de información no podían asignarse a un solo comandante. Actividades como la destrucción pertenecían a todos los comandantes de guerra y la seguridad operacional era responsabilidad de todos. Sugirió que la única cosa "única" aportada por un comandante de guerra de información era la "guerra de computadoras", que iba a ser vista como "el sexto elemento de la guerra de información". Sin embargo, argumentó que “en el futuro previsible, estas capacidades probablemente permanecerán bajo el nivel de teatro y los planificadores estratégicos” en lugar de a nivel de grupo de batalla.110
Un oficial especializado en guerra electrónica señaló de manera similar que muchas áreas de la guerra de información eran del dominio de otras, incluida la defensa de redes informáticas, que estaba a cargo del personal de seguridad del sistema de información. Además, debido a que no había un campo profesional enfocado para los oficiales especializados en informática o comunicaciones en la década de 1990 o una calificación de guerra correspondiente, los oficiales asignados para ser el comandante de guerra de información generalmente no tenían experiencia sustancial en informática o cualquier otro aspecto de la guerra de información. 111 Sin embargo, en lugar de sugerir que se debería abolir el puesto de comandante de la guerra de información, este oficial argumentó que la Marina debería crear una carrera de especialización para proporcionar la formación adecuada.112
En general, los oficiales navales se mostraron más escépticos que sus contrapartes de la Fuerza Aérea sobre la noción de que el ciberespacio constituía un nuevo dominio. El oficial de inteligencia naval Robert Gourley se opuso a las discusiones sobre "'luchar en el ciberespacio' y crear equipos de 'ciberguerreros' para liderar esas luchas". 113 Gourley insistió en que "no podemos luchar en el ciberespacio como tampoco podemos caminar dentro de una pintura de Picasso". y la guerra de información enmarcada en términos de su impacto de inteligencia, argumentando que “tiene el potencial de hacer por las fuerzas armadas de hoy lo que Ultra y Magic hicieron por nuestras fuerzas durante la Segunda Guerra Mundial: proporcionar información sobre las intenciones del enemigo y formar la base de nuestros planes de engaño. 114 Otro oficial de inteligencia naval fue más allá, argumentando que mientras que "los militares han visto los servicios de información (tradicionalmente, inteligencia y comunicaciones) como insumos de apoyo a las funciones de guerra reales de fuego, maniobra y ataque," la guerra de información "podría no siempre ser una función de apoyo; en algún futuro las campañas, podría tener un papel de liderazgo ". 115
La articulación más influyente de la creciente importancia de las redes informáticas provino del vicealmirante Arthur K. Cebrowski, un piloto de combate que había obtenido una maestría en Gestión de Sistemas de Información de la Escuela de Postgrado Naval en 1973.116 A principios de la década de 1990, Cebrowski se convirtió en la Marina de Guerra. director de espacio, guerra de información y mando y control.117 En 1994, se convirtió en director de la Dirección de Comando, Control, Comunicaciones y Computación del Estado Mayor Conjunto y estableció una nueva unidad para guerra de información defensiva, que se describe más adelante. En 1996, Cebrowski regresó a su puesto como director de espacio, guerra de información y mando y control, y en este puesto, fue coautor de un artículo de Proceedings que describe el concepto de “guerra centrada en redes”. 118 Cebrowski y su coautor El autor, John Garstka, asesor técnico de la Dirección de Comando, Control, Comunicaciones y Computación, argumentó que las redes de computadoras estaban revolucionando los asuntos militares, pero no porque fueran parte de un nuevo dominio. Más bien, así como las redes de computadoras estaban transformando las operaciones comerciales de los EE. UU. Y haciéndolas más rentables y productivas, las redes de computadoras deberían transformar las operaciones navales. El artículo defendía el cambio de operaciones centradas en plataformas (es decir, centradas en barcos, submarinos y aviones) a operaciones centradas en redes.
Es importante destacar que Cebrowski y Garstka argumentaron que este cambio implicaba elevar el estatus de las personas con talentos técnicos particulares, señalando que "el ejército no recompensa la competencia" en los procesos basados en la información:
El estatus de “operador” frecuentemente se le niega al personal con estos talentos críticos, pero el valor de los operadores tradicionales con una perspicacia limitada en estos procesos está cayendo y, en última instancia, serán marginados ... Los servicios deben incorporar y fusionar tanto a aquellos con habilidades técnicas como a aquellos con experiencia operativa en estas áreas. Estos son los nuevos operadores.119
La Marina hizo algunos cambios en sus especializaciones en tecnología de la información a fines de la década de 1990. En 1998, fusionó las calificaciones de técnico de procesamiento de datos y de operador de radio alistado, y en 1999 esta nueva calificación se denominó técnico de sistemas de información.120 En octubre de 2001, la Marina creó una nueva especialización de línea restringida - profesional de la información - para ser ocupada por los miembros. de la comunidad de oficiales de apoyo a la flota.121 Sin embargo, las personas en estas especializaciones continuaron enfrentándose a limitaciones en el avance profesional. Dado que las calificaciones de guerra eran hitos importantes para la promoción, las personas que se especializan en campos relacionados con las redes informáticas u otras áreas de la guerra de información a menudo dedican tiempo a buscar esas calificaciones en lugar de desarrollar la profundidad técnica en su propio campo.122
Ejército: el entorno de información global
Como la Fuerza Aérea y la Armada, el Ejército respondió a la directiva de guerra de información de 1992 reorganizando sus unidades de inteligencia. Desde mediados de la década de 1980, el Comando de Inteligencia y Seguridad del Ejército había mantenido una Actividad de Estudios y Análisis altamente clasificada, que trabajaba con otros grupos de inteligencia para explorar formas de ingresar a los sistemas de comando y control del enemigo. En 1995, la Actividad de Estudios y Análisis fue absorbida por una nueva Actividad de Guerra de Información Terrestre, también dentro del Comando de Inteligencia y Seguridad. Esta actividad comenzó con 55 miembros del personal, incluidos 11 alistados y aproximadamente una docena de civiles gubernamentales, y aumentó a unos 250 en octubre de 1997. La mayoría del personal eran oficiales de campo o de nivel superior de señales o inteligencia. A fines de la década de 1990, la Actividad de Guerra de Información Terrestre buscó incorporar operadores más tradicionales y, a menudo, aumentó sus capacidades técnicas mediante la contratación de contratistas, y un miembro recordó que era la mitad de contratistas en un momento de su historia.123Aunque la Actividad de Guerra de Información Terrestre estaba administrativamente dentro del Comando de Inteligencia y Seguridad del Ejército, informaba al jefe de estado mayor adjunto para operaciones y entrenamiento en lugar de inteligencia.124 Esto ayudó a mover lo que había sido principalmente una función de apoyo de operaciones - inteligencia - hacia la guerra. . Pero la actividad de guerra de información terrestre estaba explícitamente en un papel secundario. Al igual que el Centro de Guerra de Información de la Fuerza Aérea y el Centro de Guerra de Información de Flota, ayudó a los comandos a planificar las operaciones de información, pero no las llevó a cabo. Desplegó dos tipos de equipos: los equipos de apoyo de campo ayudarían a las unidades del Ejército a planificar e integrar la guerra de información en sus operaciones, mientras que los equipos de evaluación de vulnerabilidades ayudarían a identificar las debilidades.125 En septiembre de 1996, la Actividad de Guerra de Información Terrestre también estableció el Equipo de Respuesta a Emergencias Informáticas del Ejército, que realizaba operaciones defensivas.126
Debido a que la especialización no era típicamente un camino hacia el avance profesional, el Ejército enfrentó una escasez de personal técnicamente profundo a mediados de la década de 1990. Esta fue una de las razones por las que el Ejército estableció un grupo de trabajo para rediseñar el sistema de gestión de personal de oficiales en 1996.
Al igual que la Fuerza Aérea, a mediados de la década de 1990, el Ejército comenzó a discutir explícitamente las operaciones de redes de computadoras en sus publicaciones. El "Manual de campo 100-6: Operaciones de información" del Ejército, publicado en 1996, destacó la "corrupción de la base de datos" y el "software malintencionado" como medios para atacar los sistemas de información.127 También incluyó una discusión sobre el gusano de Internet y las violaciones de Rome Labs, que fue extraída en la Doctrina Conjunta para la Guerra de Mando y Control, publicada en febrero de 1996.128 El "Manual de Campo 100-6" del Ejército no sugería que la información comprendiera un nuevo dominio similar a la tierra, el mar y el aire, sino que se centrara en un "entorno de información global" que estaba experimentando una rápida transformación debido a la "tecnología de la información moderna" y el "potencial explosivo asociado de una rápida difusión y uso de la información". 129
En 1998, el Ejército comenzó a crear una fuerza de operaciones de redes de computadoras dedicada dentro del grupo de inteligencia de señales del Comando de Inteligencia y Seguridad, como se analiza más adelante. Sin embargo, el Ejército luchó por desarrollar una capacidad de operaciones de redes de computadoras a fines de la década de 1990 porque su sistema de administración de personal no recompensaba la profundidad técnica. El Ejército capacitó a sus oficiales para que fueran líderes generalistas, con la expectativa de que el trabajo técnico fuera realizado principalmente por el personal alistado.130 Debido a que la especialización no era típicamente un camino hacia el avance profesional, el Ejército enfrentó una escasez de personal técnicamente profundo en el medio. 1990.131 Esta fue una de las razones por las que el Ejército estableció un grupo de trabajo para rediseñar el sistema de gestión de personal de oficiales en 1996. El director del grupo de trabajo, el general David Ohle, señaló que con “la tecnología de la era de la información, vemos que los oficiales tienen que ser más especializado. ”132 Explicó que se le había dado“ la misión de ampliar la definición de guerra para incluir no solo el combate, sino también la estabilidad y las operaciones de apoyo ”como un medio de mejorar las oportunidades para las personas fuera de los roles de guerra tradicionales133.
En julio de 1997, el informe final del grupo de trabajo señaló la "propensión de las juntas de ascenso a seleccionar a los oficiales con antecedentes en la guerra (comúnmente conocidos como la 'pista de mando') sobre aquellos que poseen habilidades de área funcional". 134 Recomendó dejar intacto el sistema para desarrollo de funcionarios de nivel empresarial. Pero para el desarrollo del grado de campo (mayor) o niveles superiores, recomendó la creación de cuatro campos profesionales distintos a través de los cuales se podría promover a las personas: operaciones, operaciones de información, apoyo a las operaciones y apoyo institucional.135
Las operaciones consistieron en las 16 ramas del Ejército, incluido el Cuerpo de Señales y el Cuerpo de Inteligencia Militar, y dos áreas funcionales: operaciones psicológicas y asuntos civiles y logística multifuncional. El nuevo campo de carrera de operaciones de información incluyó dos áreas funcionales previamente establecidas - ingeniería de telecomunicaciones y gestión de sistemas de información - que eran relevantes para las operaciones de redes de computadoras. Las operaciones de información también incluyeron simulación, operaciones espaciales, inteligencia estratégica y asuntos públicos, una mezcla ecléctica. Se creó una nueva séptima área para los generalistas de operaciones de información.136 Desafortunadamente, esta última área ganó reputación por su mediocridad. Sufría de una falta de formación adecuada - las operaciones de información eran un campo muy amplio y el régimen de formación establecido para ello era demasiado corto - y tendía a atraer a oficiales que no sobresalían en ninguna otra especialización137.
Aunque el Sistema de Gestión de Personal de Oficiales revisado proporcionó formalmente una vía de promoción para los oficiales que se especializan en redes de computadoras, esto no necesariamente aumentó su estatus cultural. Los oficiales superiores continuaron argumentando que la gente optaba por especializarse en un área funcional simplemente porque no podían tener éxito en una rama de guerra.138 Luego, en 2006, un nuevo Sistema de Gestión de Personal para Oficiales eliminó el campo de la carrera de operaciones de información, estableciendo solo tres carreras amplias áreas: maniobra, fuego y efectos (anteriormente operaciones); Soporte de Operaciones; y sostenimiento de operaciones. La mayoría de las áreas funcionales que anteriormente estaban en el campo de operaciones de información, incluida la ingeniería de telecomunicaciones y la gestión de sistemas de información, se ubicaron dentro del soporte de operaciones, reafirmando que incluso si las personas pudieran avanzar profesionalmente en estas áreas, estaban desempeñando un papel de apoyo139.
El problema de la defensa
A fines de la década de 1990, los servicios estaban explorando varias formas de operaciones de redes informáticas, pero su doctrina y tácticas formales, jerarquías organizativas y estructuras profesionales todavía enmarcaban estas actividades como apoyo a la guerra en lugar de lucha por derecho propio. No obstante, las operaciones de redes informáticas se vieron cada vez más como el único aspecto "nuevo" de la guerra de información.Además, como se analiza más adelante, a mediados de la década de 1990 se produjo un crecimiento de la preocupación por un sentido en el que las operaciones de redes informáticas eran fundamentalmente diferentes de otros métodos para la guerra de información: dependían de activos civiles que el ejército de los Estados Unidos no podía controlar. Esta confianza hizo que el problema de la defensa fuera más urgente y más difícil. En febrero de 1994, la Comisión Conjunta de Seguridad, que había sido establecida por el secretario de Defensa y el director de inteligencia central, describió “la seguridad de los sistemas y redes de información” como “el mayor desafío de seguridad de esta década y posiblemente del próximo siglo, ”Argumentando que“ no hay suficiente conciencia de los graves riesgos que enfrentamos en este ámbito ”. La comisión señaló el desafío de "proteger los sistemas que están conectados y dependen de una infraestructura que no poseemos ni controlamos". 140 Un grupo de trabajo de la Junta de Ciencias de la Defensa de 1994 se hizo eco de estas preocupaciones y señaló que por necesidad "el Departamento de Defensa [el Departamento de Defensa] ha vinculó sus sistemas de información al sector privado / comercial y usó de manera rutinaria [sic] INMARSAT, INTELSAT, EUROSAT, etc. Además, muchos usuarios del DoD están conectados directamente a INTERNET ". 141 El grupo de trabajo estaba" convencido de que el DoD actualmente está gastando mucho muy poco en IW defensivo [guerra de información], y que la gravedad y la urgencia potencial del problema merecen [sic] reparación ". 142
Los artículos en la prensa especializada en ese momento también sugieren que la defensa no era un foco importante a principios de la década de 1990. Un artículo del Defense Daily de agosto de 1994 señaló que "[todas] las tácticas de guerra de información de los servicios se centran actualmente más en la misión ofensiva". 143 En un informe sobre una conferencia de guerra de información en octubre de 1995, un periodista de tecnología describió "los escépticos del Pentágono que bromee diciendo que la guerra de la información es simplemente 'seguridad informática con dinero' ”. 144 Como sugiere esto, la seguridad informática, una actividad defensiva, se veía como algo diferente y menos importante que la guerra.
No obstante, algunos líderes militares trabajaron para elevar el estatus de la defensa de las redes de computadoras.145 Como se señaló anteriormente, cuando Cebrowski se convirtió en el director de la Dirección de Comando, Control, Comunicaciones y Computación del Estado Mayor Conjunto en 1994, estableció una división de guerra de información. Cebrowski trajo a William Gravell, un capitán del Grupo de Seguridad Naval, para configurarlo. Gravell no era un tecnólogo, había ingresado al Grupo de Seguridad Naval a través de capacitación en idiomas, pero había desarrollado algunos conceptos importantes en contramedidas de comando, control y comunicaciones mientras estaba asignado a la Oficina del Jefe de Operaciones Navales a mediados de la década de 1980. Allí, también le había demostrado a Cebrowski y a otros su capacidad para reducir temas altamente técnicos en sesiones informativas convincentes.146 Una parte del trabajo de Gravell, como jefe de la División de Guerra de Información del Estado Mayor Conjunto, era persuadir a las organizaciones militares y privadas para mejorar la seguridad. de computadoras y otros sistemas de información de los que dependían las operaciones militares. La división pronto encargó una revisión integral de las leyes, políticas e iniciativas relacionadas con la guerra de información defensiva y produjo varias publicaciones educativas dirigidas tanto al sector privado como a partes del establecimiento de defensa.147
Como recuerda Gravell, mientras "asistía a comandos y conferencias militares, pero también a asociaciones comerciales, conferencias y juntas directivas", tratando de "conseguir apoyo" para la guerra de información defensiva, rápidamente concluyó que "las organizaciones del sector privado y sus abogados y accionistas no querían saber que estaban involucrados en una 'guerra'. Tales asociaciones amenazaban, y en ocasiones incluso obstaculizaban, la colaboración que se necesitaba para asegurar las redes militares ". 148 Roger Callahan, un colega de la Agencia de Seguridad Nacional , sugirió que Gravell adopte el término "garantía de la información". Este término se estaba utilizando cada vez más entre los científicos informáticos que buscaban ampliar las concepciones de la seguridad de la información más allá de la privacidad, y la Agencia de Seguridad Nacional había cambiado recientemente el nombre de su Dirección de Seguridad de la Información a la Dirección de Aseguramiento de la Información.149 Para 1995, la División de Guerra de la Información del Estado Mayor Conjunto había sido rebautizada oficialmente como División de Garantía de la Información 150.
En el Departamento de Defensa, la garantía de la información a veces se trataba como sinónimo de la guerra de información defensiva.151 Sin embargo, la “garantía de la información” también podía connotar algo que iba más allá de las fuerzas armadas, ya que estaba preocupado por la vulnerabilidad de la infraestructura crítica que las fuerzas armadas no poseían. o control.152 E incluso dentro de las fuerzas armadas, la garantía de la información a veces se consideraba algo más centrado en la gestión de la tecnología que en la guerra, como se indica a continuación.
En última instancia, elevar el estado de la defensa de la red informática requirió más que un programa de garantía de la información del director de información del Departamento de Defensa. El camino para elevar la defensa de la red informática al nivel de la guerra fue a través de la Dirección de Operaciones del Estado Mayor Conjunto.
A pesar de los esfuerzos de la División de Aseguramiento de la Información del Estado Mayor Conjunto, la adquisición y gestión descentralizadas de tecnología de la información planteó desafíos para el aseguramiento de la información.153 Reconociendo que “la complejidad de la gestión de los esfuerzos de aseguramiento de la información del Departamento de Defensa [del Departamento de Defensa] había aumentado debido a la proliferación de redes en todo el Departamento de Defensa y que su gestión descentralizada de aseguramiento de la información no pudo manejarlo adecuadamente ”, el Grupo de Trabajo de Aseguramiento de la Información, dirigido por la Oficina del Subsecretario de Defensa para Comando, Control, Comunicaciones e Inteligencia y la División de Aseguramiento de la Información del Estado Mayor Conjunto, comenzó a desarrollar un enfoque más integral e integrado en 1997.154 Esto condujo a un Programa de Garantía de la Información para toda la Defensa, que fue lanzado por el subsecretario de defensa para comando, control, comunicaciones e inteligencia en su calidad de director de información del Departamento de Defensa en enero 1998.155
El programa de garantía de la información para toda la defensa tenía como objetivo combinar la “supervisión centralizada con la ejecución descentralizada” de las actividades de garantía de la información.156 Pero no se le dio la autoridad ni los recursos necesarios para cumplir con su estatuto. Aunque el programa se aprobó inicialmente para entre 30 y 34 miembros del personal, en 2001 el mayor número de puestos que se habían llenado al mismo tiempo era de 16. Se ordenó al Estado Mayor Conjunto, los servicios y otros organismos de defensa que proporcionaran personal al programa , pero no existía ningún mecanismo para hacer cumplir estas directivas, y la mayor parte del personal provenía de la Agencia de Seguridad Nacional y la Agencia de Sistemas de Información de Defensa. En 2001, la Oficina de Responsabilidad Gubernamental descubrió que, si bien algunos funcionarios del Departamento de Defensa "expresaron la necesidad de productos y actividades" del Programa de Garantía de Información para toda la Defensa, otros "citaron la falta de liderazgo y apoyo del DOD [Departamento de Defensa] para DIAP [ el Programa de Aseguramiento de la Información en Toda la Defensa] y declaró que los componentes individuales deben continuar gestionando sus propias actividades de IA [Aseguramiento de la Información] sin la participación de DIAP ". 157
En última instancia, elevar el estado de la defensa de la red informática requirió más que un programa de garantía de la información del director de información del Departamento de Defensa. El camino para elevar la defensa de la red informática al nivel de la guerra pasó por la Dirección de Operaciones del Estado Mayor Conjunto.
La necesidad de una defensa operativa conjunta
En 1997, el ejercicio anual de interoperabilidad sin aviso del Estado Mayor, conocido como Receptor Elegible, incluyó por primera vez una intrusión en la red informática. La intrusión fue propuesta por Minihan, quien, como se señaló anteriormente, se había familiarizado con el impacto potencial de la piratería informática en las operaciones militares como director de la Agencia de Inteligencia Aérea. Sin embargo, en puestos posteriores como subjefe de personal de inteligencia de la Fuerza Aérea y luego como director de la Agencia de Inteligencia de Defensa, luchó para persuadir a otros de que se tomaran en serio la seguridad informática. Cuando Minihan se convirtió en director de la Agencia de Seguridad Nacional en febrero de 1996, finalmente tuvo la oportunidad de demostrar el problema de manera persuasiva al incluir un ataque a la red informática en Eligible Receiver.158En junio de 1997, como parte del ejercicio, un equipo rojo de la Agencia de Seguridad Nacional compuesto por alrededor de 25 efectivos irrumpió con éxito en los sistemas informáticos del Comando del Pacífico de los Estados Unidos, el Centro de Comando Militar Nacional y una serie de otras instalaciones de comando conjunto. El Receptor Elegible estaba programado para funcionar durante dos semanas, con dos semanas adicionales reservadas si era necesario, pero el equipo rojo de la Agencia de Seguridad Nacional tuvo tanto éxito que terminó después de solo cuatro días.159
El Estado Mayor Conjunto había asignado una nueva División de Operaciones de Información para supervisar el ejercicio las 24 horas del día y hacer recomendaciones. La división se separó de la División de Planes y Operaciones del Estado Mayor Conjunto y fue dirigida por Brig. El general John "Soup" Campbell, piloto de combate de la Fuerza Aérea. Campbell recuerda que, después de algunas semanas de recopilar observaciones y recomendaciones, su grupo comenzó a informar al director de operaciones del Estado Mayor Conjunto, el general Peter Pace. Rápidamente se hizo evidente que las recomendaciones estaban dirigidas a organizaciones que “estaban dispersas por todo el mapa” y que a ninguna organización individual se le podía dar la responsabilidad principal de implementarlas.160 Pace terminó la reunión antes de tiempo y envió a los informantes para averiguar quién debería liderar el esfuerzo para remediar los problemas identificados por el Receptor Elegible.
Representantes de tres direcciones en el Estado Mayor Conjunto: inteligencia; operaciones; y comando, control, comunicaciones y computación —y la Agencia de Sistemas de Información de Defensa se unió a los delegados de operaciones de cada uno de los servicios en la exploración de quiénes deberían estar a cargo. Para noviembre de 1997, los diputados de operaciones de los servicios estaban considerando varias posibles organizaciones de estructuras nacionales, incluido el aumento de la Célula de Respuesta de Operaciones de Información (un grupo liderado por la División de Operaciones de Información del Estado Mayor Conjunto), o la asignación de la tarea a un comando militar existente o una agencia como la Agencia de Sistemas de Información de Defensa o la Agencia de Seguridad Nacional.161 Sin embargo, Campbell recuerda “la resistencia de los Servicios que no querían que ninguna agencia externa les dijera cómo manejar sus redes y que tuvieran una Agencia de Apoyo al Combate (por ejemplo, DISA [la Agencia de Sistemas de Información de Defensa] o NSA [la Agencia de Seguridad Nacional]) hacerlo no fue un comienzo ”162. Campbell y otros finalmente concluyeron que deberían establecer un nuevo grupo de trabajo para dirigir la defensa de la red informática. También reconocieron la importancia de asegurarse de que el grupo de trabajo fuera "doctrinalmente correcto", de modo que tuviera las autoridades adecuadas163.
Los esfuerzos para establecer el grupo de trabajo se hicieron más urgentes por el descubrimiento de nuevas intrusiones. El 3 de febrero de 1998, los monitores del Centro de Guerra de Información de la Fuerza Aérea notaron una intrusión en la base de la Fuerza Aérea Andrews, en las afueras de Washington, DC. En unos días, un grupo de trabajo que incluía a miembros de la Dirección de Operaciones de Información del Estado Mayor Conjunto, el FBI , la Agencia de Sistemas de Información de Defensa y la Agencia de Seguridad Nacional estaban investigando. Después de determinar que los piratas informáticos habían explotado una vulnerabilidad conocida en sus sistemas operativos, conocida como Sun Solaris 2.4 y 2.6, la operación se denominó "Solar Sunrise". 164 Una investigación adicional determinó que los piratas informáticos eran una pareja de adolescentes en los suburbios de San Francisco. que estaban recibiendo ayuda de un hacker de 18 años en Israel. A fines de mes, todos habían sido arrestados por las autoridades de sus respectivos gobiernos165. No obstante, la violación demostró la facilidad con la que los sistemas de información de los militares podrían verse comprometidos.
Poco después del descubrimiento de Solar Sunrise, el subsecretario de Defensa, John Hamre, convocó una reunión de unas 30 personas en el Pentágono. Hizo la misma pregunta que venía surgiendo desde Receptor Elegible: ¿Quién está a cargo? Al contar la reunión 14 años después, Campbell declaró que no podía recordar "si levantaba la mano o si alguien me empujaba y saltaba", pero como director de la División de Operaciones de Información del Estado Mayor Conjunto ("el J-39 Bubba" ), se convirtió en la respuesta a la pregunta de Hamre.166 Eventualmente, Campbell se convirtió en el comandante de la nueva Fuerza de Tarea Conjunta-Defensa de Redes de Computadoras que la División de Operaciones de Información estaba ayudando a organizar.
Para mayo de 1998, se estaban considerando dos propuestas diferentes para el nuevo grupo de trabajo: podría estar en San Antonio con el Joint Command and Control Warfare Center o podría ubicarse en las instalaciones de la Agencia de Sistemas de Información de Defensa en Washington DC167 En una reunión en En mayo de 1998, los subsecretarios de operaciones de los servicios respaldaron la opción de San Antonio.168 Pero posteriormente, el director de la Agencia de Sistemas de Información de Defensa y el teniente general del ejército David Kelley defendieron con fuerza la ubicación de la nueva unidad en su agencia. Ofreció al nuevo grupo de trabajo el uso del Centro de Seguridad y Operaciones de Red Global de la agencia, una instalación sofisticada con capacidades de monitoreo de red. Esta fue una "gran parte" de por qué, en última instancia, se estableció allí la Fuerza de Tarea Conjunta-Defensa de la Red de Computadoras, donde podría aprovechar la experiencia técnica de la agencia.169
¿Qué hace una defensa de red informática operativa?
Pero, ¿qué haría exactamente el nuevo grupo de trabajo? La respuesta a esta pregunta se formó no solo por el análisis de los resultados de Receptor Elegible, sino también por concepciones distintivas de los tipos de experiencia y trabajo que podrían constituir una "guerra". 170Receiver Elegible demostró la necesidad de mejoras tanto para mitigar vulnerabilidades como para responder a amenazas. Algunas de las vulnerabilidades se debieron a la falta de conciencia y capacitación sobre seguridad: el personal de las unidades seleccionadas dio sus contraseñas por teléfono o las dejó en la basura para que las descubrieran los buzos de basura. Otras vulnerabilidades eran debilidades tecnológicas bien conocidas que, sin embargo, no se mitigaron. Las defensas orientadas a amenazas también habían fallado. En un informe posterior a la acción sobre el receptor elegible, el oficial de selección de objetivos del equipo rojo de la Agencia de Seguridad Nacional señaló que los sistemas de detección de intrusiones habían funcionado bien, pero que los informes sobre intrusiones llegaron dos semanas tarde: "Ahora saben que el caballo ha salido del establo después de eso quemado y las cenizas están frías ". 171 Concluyó:" Tendemos a luchar contra todo arrojándole tecnología y dinero y no gastando el tiempo necesario para que la gente aprenda a usarlo de manera efectiva ". 172
Estas debilidades sugirieron que el nuevo grupo de trabajo de defensa de redes informáticas necesitaba abordar tanto la mitigación de vulnerabilidades como la respuesta a amenazas. Y, de hecho, representantes de la Agencia de Sistemas de Información de Defensa y la Dirección de Comando, Control, Comunicaciones e Informática del Estado Mayor Conjunto argumentaron que el grupo de trabajo debería incluir evaluación de vulnerabilidades, equipos rojos y otros tipos de trabajo para prevenir intrusiones exitosas.173 Sin embargo, según un documento de antecedentes de octubre de 1998 del capitán de la Fuerza Aérea Jay Healey, un oficial de inteligencia en el Estado Mayor del Aire, los esfuerzos para prevenir intrusiones “son no forma parte del papel de guerra de la red informática de la JTF [Fuerza de Tarea Conjunta] y los Servicios se han resistido enérgicamente ”. 174 En una sesión informativa posterior, Healey describió la defensa de la red informática como enfocada en el exterior, enemigos activos, activos y que requieren experiencia operativa. Por el contrario, describió la garantía de la información como centrada en el interior, sin involucrar enemigos, pasiva y que requiere experiencia en administración de redes.175 De acuerdo con la preferencia de los servicios por un enfoque de guerra, Healey señaló que el grupo de trabajo estaría “integrado principalmente por operadores tradicionales (pilotos, armas de combate, etc.), confiando en DISA [la Agencia de Sistemas de Información de Defensa] para la experiencia técnica en computadoras de comunicaciones ”. 176 Específicamente, se proyectó que el grupo de trabajo consistiría en 19 palanquillas, 10 de las cuales se dedicaron a operaciones, cuatro a comunicaciones y cinco a inteligencia177.
Receiver Elegible demostró la necesidad de mejoras tanto para mitigar vulnerabilidades como para responder a amenazas. Algunas de las vulnerabilidades se debieron a la falta de conciencia y capacitación sobre seguridad: el personal de las unidades seleccionadas dio sus contraseñas por teléfono o las dejó en la basura para que las descubrieran los buzos de basura.
Este pequeño grupo de trabajo funcionó aprovechando la experiencia tecnológica dentro de la Agencia de Sistemas de Información de Defensa y los servicios, así como los contratistas. Para el año 2000, estaba compuesto por alrededor de un tercio de contratistas, un tercio de personal militar y un tercio de personal civil del gobierno.178 Cada uno de los servicios tenía la tarea de designar fuerzas componentes y un comandante asociado que la Fuerza de Tarea Conjunta tendría autoridad para coordinar y dirigir. De acuerdo con el énfasis en responder a las amenazas, cada uno de los servicios recurrió a sus equipos de respuesta a emergencias informáticas y unidades de guerra de información de sus respectivas organizaciones de inteligencia.179 El equipo de respuesta a emergencias informáticas del Departamento de Defensa también se colocó bajo la Fuerza de Tarea Conjunta-Defensa de Redes de Computadoras .180
El enfoque operativo fue impulsado en parte por la necesidad de persuadir a los combatientes del valor de esta nueva actividad. Como recuerda Campbell:
[S]i vas a tener alguna credibilidad con los combatientes de guerra, debes tener personal operativo ... Pensamos que el mejor enfoque era comenzar con personas que tuvieran cierta credibilidad en el lado operativo de la casa, y luego brindarles la capacitación y la ayuda adicional que necesitaban para ser técnicamente competentes.181
Por ejemplo, algunos miembros del grupo de trabajo tomaron cursos impartidos por la Universidad James Madison, que, en mayo de 1999, fue certificada por la Agencia de Seguridad Nacional como uno de los siete Centros iniciales de Excelencia Académica en Aseguramiento de la Información.182
Aunque la Fuerza de Tarea Conjunta-Defensa de la Red de Computadoras fue inicialmente constituida como una organización defensiva, en enero de 1999, el Estado Mayor Conjunto había acordado que pasaría a formar parte del Comando Espacial de los Estados Unidos y que integraría operaciones tanto ofensivas como defensivas. El grupo de trabajo permaneció físicamente ubicado en la Agencia de Sistemas de Información de Defensa, y el comandante del grupo de trabajo conjunto se convirtió en su subdirector, lo que permitió al grupo de trabajo aprovechar la experiencia técnica de la agencia. Pero los miembros del grupo de trabajo continuaron distinguiendo su trabajo del enfoque de soporte técnico de la Agencia de Sistemas de Información de Defensa. En octubre de 1999, el coronel del ejército Larry Frank, jefe de la división de operaciones del grupo de trabajo, afirmó: "Traemos un enfoque operativo" a la defensa y "no arreglamos computadoras". 184
El estatuto del grupo de trabajo conjunto en diciembre de 1998 lo hizo "responsable de coordinar y dirigir la defensa de los sistemas informáticos y las redes informáticas del Departamento de Defensa", una gama de actividades potencialmente enorme.185 Sin embargo, muchas actividades de mitigación de vulnerabilidades se delegaron efectivamente en la Defensa. Agencia de Sistemas de Información o las organizaciones de comunicación de los servicios. Por ejemplo, la Agencia de Sistemas de Información de Defensa desarrolló el proceso de Alerta de Vulnerabilidad de Aseguramiento de la Información, en el que todos los administradores de sistemas del Departamento de Defensa debían recibir, reconocer e informar sobre su cumplimiento con las alertas de vulnerabilidad.186
No obstante, en reuniones informativas ante el Congreso, Campbell incluyó explícitamente la formación de equipos rojos y el proceso de Alerta de Vulnerabilidad de Aseguramiento de la Información dentro de la categoría de "operaciones", junto con la Fuerza de Tarea Conjunta-Defensa de Redes de Computadoras. Como esto sugiere, el concepto de operaciones de redes informáticas estaba comenzando a ampliarse, a pesar del enfoque orientado a las amenazas del grupo de trabajo. Y, sin embargo, este concepto de operaciones en expansión aún excluía ciertas formas de mitigación de vulnerabilidades, como la capacitación y la certificación de administradores y usuarios de sistemas.187
El creciente estado de las operaciones cibernéticas conjuntas y las respuestas de servicio
Las operaciones de redes de computadoras, tanto defensivas como ofensivas, crecieron en influencia, tamaño y autoridad en los 20 años posteriores al establecimiento de la Fuerza de Tarea Conjunta-Defensa de Redes de Computadoras. Ese grupo de trabajo se convirtió en el Grupo de Trabajo Conjunto-Operaciones de Red de Computadoras en 2000, cuando asumió la responsabilidad de las operaciones ofensivas y defensivas.188 Después de los ataques terroristas del 11 de septiembre de 2001, las operaciones en Afganistán e Irak subrayaron la importancia de la defensa. Así, en 2004, el grupo de trabajo conjunto volvió a su enfoque defensivo inicial, con el nuevo nombre, el Grupo de Trabajo Conjunto-Operaciones de Red Global.189 Las operaciones ofensivas se trasladaron a un nuevo Componente Funcional Conjunto Comando-Red de Guerra dentro de la Seguridad Nacional. Agencia. Tanto el componente defensivo como el ofensivo estaban al mando del Comando Estratégico, que había asumido varias funciones del Comando Espacial cuando este último se disolvió en 2002.190
Pero la Fuerza de Tarea Conjunta-Operaciones de Red Global no descubrió la primera violación conocida de las redes militares clasificadas de EE. UU. En octubre de 2008. En cambio, fue la Dirección de Garantía de la Información de la Agencia de Seguridad Nacional la que detectó por primera vez el problema y en un día había ideado una solución de software. neutralizarlo (aunque implementar esa solución en todas las redes del Departamento de Defensa tomaría más de un año) .191 La rápida respuesta de la Agencia de Seguridad Nacional al problema, cuyo nombre en código es "Buckshot Yankee", reforzó su caso para unificar el ataque a la red informática y defensa bajo la autoridad de la agencia. En junio de 2009, el secretario de Defensa, Robert Gates, anunció la formación del Comando Cibernético de los EE. UU., Un comando unificado bajo el Comando Estratégico que fusionó la Fuerza de Tarea Conjunta-Operaciones de Red Global y el Componente Funcional Conjunto Comando-Red de Guerra. También anunció su intención de convertir al director de la Agencia de Seguridad Nacional en un comandante de cuatro estrellas del Comando Cibernético de Estados Unidos.192 Después de décadas de argumentar a favor de la importancia de las operaciones de redes informáticas, los líderes de la comunidad de inteligencia finalmente habían obtenido la ventaja. autoridad de un comando combatiente.
Todos los servicios recibieron instrucciones para designar comandos de componentes, que se esperaba que fueran comandos de tres estrellas. Además, a fines de 2012, el Comando Cibernético de EE. UU. Comenzó a establecer requisitos de capacitación estándar que se utilizarán en la creación de fuerzas de misión cibernética: unos 133 equipos. Estos equipos estarían compuestos por más de 6.200 personas y apoyarían las tres misiones principales del Cyber Command: defender las redes del Departamento de Defensa, apoyar las operaciones de combate y defender a los Estados Unidos de los ataques cibernéticos con implicaciones de seguridad nacional.193
Las siguientes secciones muestran cómo la elevación de las operaciones conjuntas de redes informáticas impulsó los servicios para elevar el estatus profesional y organizativo de la experiencia en redes informáticas. Este proceso fue lento y difícil porque implicó la reorganización de las organizaciones existentes, los campos profesionales y los programas de capacitación, en particular los asociados con la inteligencia de señales y las comunicaciones, para darles un mayor estatus de lucha. En última instancia, algunos tipos de experiencia, en particular la experiencia orientada a las amenazas que tendía a residir dentro de las comunidades de inteligencia de señales, se promovieron más fácilmente a un rol operativo que la experiencia orientada a la tecnología de las comunidades de comunicaciones e informática.
Fuerza Aérea: Transformar las comunicaciones en "operaciones"
Al igual que en la década de 1990, la Fuerza Aérea siguió siendo el más ansioso de los servicios por establecer el ciberespacio como un dominio de guerra. En noviembre de 2005, revisó su declaración de misión para incluir "volar y luchar en el aire, el espacio y el ciberespacio". 194 En 2006, la Fuerza Aérea también comenzó a centralizar su adquisición y gestión de redes informáticas, reconociendo que muchas de sus vulnerabilidades resultaban de la descentralización y la falta asociada de aplicación de estándares de seguridad sólidos195.
Sin embargo, la Agencia de Comunicaciones de la Fuerza Aérea no se encargó de centralizar las redes informáticas. En cambio, en julio de 2006, la Fuerza Aérea estableció un nuevo Comando de Operaciones de Red bajo la 8.a Fuerza Aérea - el hogar anterior del 609.o Escuadrón de Guerra de Información - dentro del Comando de Combate Aéreo.196 Al mismo tiempo, el 67o Ala de Operaciones de Información, que , como se señaló anteriormente, heredó muchas de las tareas asignadas al escuadrón 609, pasó a llamarse 67th Network Warfare Wing. Sus responsabilidades se ampliaron explícitamente para incluir el ataque, y su función defensiva también aumentó a medida que el ala tomó el control de las operaciones de red y los centros de seguridad que anteriormente se habían dispersado en 10 ubicaciones diferentes, sirviendo a 17 unidades diferentes.197
En noviembre de 2006, la Fuerza Aérea anunció planes para establecer un importante comando en el ciberespacio bajo la Octava Fuerza Aérea "que se encuentra junto al Comando Espacial de la Fuerza Aérea y el Comando de Combate Aéreo". 198 La Fuerza Aérea también comenzó a planificar un nuevo campo profesional que "aseguraría una carrera completa con oportunidades completas para avanzar a los rangos más altos de la Fuerza Aérea". 199 El nuevo campo se basaría en especializaciones dentro de cuatro campos existentes: comunicaciones, inteligencia , guerra electrónica y espacio.200
Sin embargo, estos planes se desaceleraron significativamente después de 2007, cuando la mala gestión nuclear llevó a que la 8.a Fuerza Aérea se hiciera cargo de todas las operaciones nucleares y nada más, dejando al comando propuesto sin hogar.201 No obstante, la Fuerza Aérea estableció la sede de Air Force Cyber Comando (Provisional), que comenzó a planificar un hogar más permanente para el comando cibernético de la Fuerza Aérea.202 En 2008, el comando provisional propuso crear un comando de tres estrellas que consistiera en un cuartel general, una Fuerza Aérea numerada y cuatro alas: la 67a. Ala de guerra en red; 688 ° Ala de Operaciones de Información (que se había desarrollado a partir del Centro de Guerra de Información de la Fuerza Aérea); 689th Cyber Wing (una unidad reactivada que se había retirado cuando el Comando de Comunicaciones de la Fuerza Aérea fue degradado a una agencia de operaciones de campo); y una nueva 450a Ala de Guerra Electrónica.203 En 2009, la Fuerza Aérea siguió adelante con esta propuesta activando la 24.a Fuerza Aérea / Cibernético de las Fuerzas Aéreas como un comando de tres estrellas bajo el Comando Espacial, que también serviría como el componente de la Fuerza Aérea para El Comando Cibernético de los Estados Unidos.204 Además, la Agencia de Comunicaciones de la Fuerza Aérea pasó al Comando Espacial y se le cambió el nombre a Centro de Integración de la Red de la Fuerza Aérea para que pudiera brindar un mejor apoyo a la 24.a Fuerza Aérea.205
El 30 de abril de 2010, todo el campo de oficiales de comunicaciones e información, que incluía a más de 3000 oficiales, cambió a un nuevo campo de oficiales del ciberespacio. Esto marcó un cambio explícito de un campo de soporte a un campo operativo, pero quedaron muchas funciones de soporte heredadas.
Por lo tanto, la Fuerza Aérea construyó su Comando Cibernético operativo sobre el trabajo anterior de las organizaciones de inteligencia, en particular la 67a Ala de Guerra de la Red y la 688a Ala de Operaciones de Información, al tiempo que mantuvo a las organizaciones de comunicaciones en un papel de apoyo. Sin embargo, cuando la Fuerza Aérea finalmente estableció un nuevo campo profesional de operaciones cibernéticas, se basó más en el campo profesional de las comunicaciones. Esto no se debió a que dicho personal fuera visto como los operadores naturales, sino a que el Comando de Combate de la Fuerza Aérea no estaba dispuesto a entregar su personal de guerra electrónica al nuevo campo y la Agencia de Inteligencia, Vigilancia y Reconocimiento de la Fuerza Aérea (anteriormente la Agencia de Inteligencia Aérea) no estaba dispuesta. perder personal en un campo que no controlaría. Por el contrario, el personal de informática y comunicaciones estaba ansioso por mejorar su estatus convirtiéndose en el núcleo de un nuevo campo profesional en las operaciones cibernéticas.206
El 30 de abril de 2010, todo el campo de oficiales de comunicaciones e información, que incluía a más de 3000 oficiales, cambió a un nuevo campo de oficiales del ciberespacio.207 Esto marcó un cambio explícito de un campo de apoyo a un campo operativo, pero quedaron muchas funciones de apoyo heredadas. 208 El campo de los oficiales de información y el ciberespacio se convirtió rápidamente en un campo profesional muy amplio que incluía roles de reducción de vulnerabilidades (por ejemplo, operaciones DODIN) y roles orientados a amenazas (por ejemplo, operaciones cibernéticas ofensivas y defensivas) .209 El personal también podía ingresar a las operaciones del ciberespacio a través de inteligencia especializaciones.210
Sin embargo, los oficiales de la Fuerza Aérea continúan viendo los roles orientados a las amenazas como preferibles a los roles orientados a la vulnerabilidad, en virtud de su mayor estatus de lucha. Por ejemplo, en 2013, el primer teniente Robert Lee, un líder del equipo cibernético en la Agencia de Inteligencia, Vigilancia y Reconocimiento de la Fuerza Aérea, argumentó en contra de categorizar los roles de establecer, mantener y supervisar redes como "operaciones", es decir, guerras. Reconoció que estos roles orientados a la vulnerabilidad eran muy importantes y "tal vez incluso más importantes que el rol de un operador de defensa cuando se realiza correctamente". Pero insistió en diferenciarlos de la defensa operativa: “La aplicación de parches de software emitidos por los proveedores no es defensa; es mantenimiento ”. 211 Lee argumentó que la combinación de estos diferentes tipos de actividades en un solo campo profesional, con una sola línea de capacitación, socavaba la capacidad de la Fuerza Aérea para desarrollar ambos tipos de experiencia.
De manera similar, en una encuesta reciente de los oficiales de operaciones ciberespaciales de la Fuerza Aérea (17D), un oficial afirmó que “todos los 17D deberían estar ejecutando operaciones cibernéticas, ya sea en la línea ofensiva o defendiendo un sistema de armas. No apoyando ni manteniendo ”. 212 Otro criticó a los altos mandos de la Fuerza Aérea por no entender“ que las operaciones en el ciberespacio = mantener la red, es decir, el correo electrónico ”. 213 Otro argumentó que estaban“ haciendo malas palabras de 'apoyo' y 'mantenimiento' al llamar todo "operaciones", y la verdadera comunidad operativa ve que una gran parte de lo que hacemos es soporte o mantenimiento, y nuestra campaña de marketing nos cuesta credibilidad ". Este oficial discutió por la necesidad de ser honestos con los oficiales en este campo sobre el tipo de trabajo que probablemente estarían haciendo y de generar “comprensión y aprecio de cuán críticos son el soporte y el mantenimiento cibernéticos para CADA otra área de la misión” 214.
Marina: Organización de una comunidad de guerra de información
La Armada comenzó a consolidar sus redes de computadoras incluso antes que la Fuerza Aérea, reconociendo ineficiencias y vulnerabilidades significativas asociadas con la descentralización. En octubre de 2000, otorgó un contrato para el desarrollo de la Intranet del Cuerpo de Infantería de Marina de la Armada, que fusionaría hasta 200 redes diferentes, muchas de las cuales no eran interoperables, en una única red integrada.215 Para 2004, la intranet de la Marina había reducido el número de aplicaciones distintas de 90.000 a 10.000. El secretario de Marina señaló que el "aspecto más deficiente" de la tecnología de la información heredada era la inseguridad, reconociendo que "era insegura porque la compramos y la construimos de esa manera". 216 Este era un problema de gestión y de adquisición: " No era solo que no estábamos siguiendo nuestras propias reglas; en muchos casos ni siquiera sabíamos de ellos ”. 217 La Marina también subestimó en gran medida la complejidad de sus redes, lo que ralentizó considerablemente el despliegue de la intranet. Los esfuerzos para acelerar el proceso alienaron a muchos de los usuarios del sistema y crearon problemas. No obstante, en 2006, la Intranet del Cuerpo de Marines de la Armada había consolidado más de 1.000 redes heredadas y había mejorado considerablemente la seguridad.218
La Marina también centralizó la gestión de la seguridad mediante la consolidación de los comandos responsables de las comunicaciones y la informática. En 2001, fusionó el Comando de Computación y Telecomunicaciones Naval con la Intranet de la Fuerza de Tarea-Cuerpo de Marines de la Armada, formando un nuevo Comando de Operaciones de la Red Naval. Al año siguiente, elementos de ese comando y el Comando Espacial Naval se incorporaron a un nuevo Comando de Operación Espacial y Red Naval.219 El 1 de mayo de 2002, el Comando de Guerra de la Red Naval se estableció como un comando de rango de bandera de tres estrellas. Los comandos subordinados incluyeron el Comando de Operaciones Espaciales y de la Red Naval, el Centro de Guerra de Información de la Flota y la Fuerza de Tarea del Componente de la Armada-Defensa de la Red de Computadoras.220 El Equipo de Respuesta a Incidentes de Computadoras de la Armada fue trasladado del Centro de Guerra de Información de la Flota al Grupo de Trabajo de la Armada-Computadora. Network Defense en 2003 y se convirtió en el Comando de Operaciones de Defensa Cibernética de la Armada en enero de 2006.221
El establecimiento del Comando de Guerra de la Red Naval amplió la autoridad y responsabilidades del personal de informática de comunicaciones de la Marina. Si bien el Comando de Guerra de la Red Naval era un comando de tipo, lo que significa que administraba el entrenamiento para un tipo particular de sistema de armas (cibernético), también era un comando operativo. Por ejemplo, incluyó el componente de la Marina de la Fuerza de Tarea Conjunta para Operaciones de Redes de Computadoras, que llevó a cabo operaciones tanto defensivas como ofensivas. Inicialmente, el Comando de Guerra en Red estaba integrado principalmente por técnicos de sistemas de información (alistados) y oficiales profesionales de la información.222
Sin embargo, el comandante del Grupo de Seguridad Naval y otros criptólogos destacados vieron una oportunidad en la creciente prominencia de las operaciones de redes informáticas.223 Como resultado, en 2005, el Grupo de Seguridad Naval se transformó en la nueva Dirección de Operaciones de Información dentro del Comando de Guerra en Red. y los destacamentos y actividades del Grupo de Seguridad Naval se convirtieron en Comandos de Operaciones de Información de la Armada dentro de la Dirección de Operaciones de Información.224 Por ejemplo, la Actividad de Guerra de Información Naval se convirtió en el Comando de Operaciones de Información Naval en Suitland, Maryland.225 Casi al mismo tiempo, la Marina reestructuró la criptología campo de la carrera para enfatizar la creciente importancia de las operaciones de redes informáticas. En 2004, el secretario de la Marina aprobó una nueva clasificación de alistados, redes de técnicos criptológicos y convirtió a más de 240 especialistas en tecnología de la información alistados en la nueva especialización.226 Al año siguiente, los oficiales de criptología naval fueron redesignados como oficiales de guerra de información, una medida destinada a reconocer sus “conjuntos de habilidades y responsabilidades ampliados” asociados con las operaciones de información.227
La Marina consideró realizar cambios más drásticos para profesionalizar las operaciones cibernéticas como algo distinto tanto de las comunicaciones como de la criptología. En 2008, el Grupo de Estudios Estratégicos XXVI, un grupo de élite de oficiales navales comisionado por el Jefe de Operaciones Navales, Almirante Michael Mullen en 2006, para estudiar los impactos del ciberespacio en las operaciones navales, entregó un informe en el que concluía que para "luchar y ganar, "La Armada debería crear" una Comunidad de Guerra Cibernética compuesta por guerreros iguales en todos los aspectos a los que operan en los dominios de guerra tradicionales ". 228 El informe, que había sido encargado por Mullen dos años antes, argumentó que los oficiales del ciberespacio deberían ser entrenados" para ser guerreros, no administradores ”, individuos que poseían no solo habilidad técnica, sino también la capacidad de mandar de una manera equivalente a los comandantes en las áreas tradicionales de guerra de superficie, subterránea y aérea.229
Sin embargo, estas recomendaciones fueron rechazadas. Tanto Mullen como el sucesor jefe de operaciones navales, el almirante Gary Roughead, vieron el ciberespacio como solo un componente de un problema mucho más amplio en la gestión de la inteligencia y la información.230 Este punto de vista fue apoyado por la comunidad criptológica de la Marina, que vio las operaciones cibernéticas como parte de criptología.231
No obstante, con el establecimiento del Comando Cibernético de los EE. UU. Y las directivas asociadas para suministrar las fuerzas componentes, la Marina elevó las operaciones cibernéticas. En 2009, reactivó la Décima Flota, que había desempeñado un papel fundamental en la guerra antisubmarina durante la Segunda Guerra Mundial, convirtiéndola en Fleet Cyber Command, el componente de la Armada del Cyber Command de los EE. UU. Al reactivar la Décima Flota, la Armada subrayó que “la victoria se basará en la inteligencia y la información más que en el poder de fuego”. 232 La Armada trasladó todas las organizaciones de la red bajo el Comando Cibernético de la Flota / Décima Flota, incluido el Comando de Guerra en Red. Pero para enfatizar el papel de guerra del nuevo comando, su primer comandante fue el vicealmirante Barry McCullough, un experimentado oficial de guerra de superficie, no un criptólogo ni un especialista en informática de comunicaciones.233
A pesar de este estatus elevado, el personal de la Marina que se especializa en operaciones cibernéticas aún no ha obtenido todas las oportunidades disponibles para los combatientes tradicionales.
Con la creciente demanda de personal con habilidades en operaciones de redes de computadoras, la Marina también reorganizó y elevó los campos profesionales relevantes. En 2010, la Armada creó la especialización de ingeniero de guerra cibernética.234 Los oficiales fueron comisionados directamente en esta nueva especialización basada en registros de excelencia en ciencias de la computación e ingeniería académicas y debían servir por un mínimo de seis años. Después de eso, se les alentaría a transferirse a otra comunidad dentro del Cuerpo de Dominio de la Información, un nuevo campo profesional también establecido en 2010. El ingeniero de guerra cibernética se convirtió en una de las cinco especializaciones dentro del cuerpo. Los otros cuatro fueron meteorología y oceanografía, guerra de la información, profesional de la información e inteligencia.235 Quizás lo más significativo es que en 2010, la Armada hizo del dominio de la información una especialización en la guerra con un proceso de calificación asociado y un pin asociado, algo de lo que normalmente carecían los campos de apoyo.236 En En 2016, el Cuerpo de Dominio de la Información pasó a llamarse Comunidad de Guerra de la Información para promover "la guerra de la información como una de las cuatro áreas predominantes de guerra".
A pesar de este estatus elevado, el personal de la Armada que se especializa en operaciones cibernéticas aún tiene que aprovechar todas las oportunidades disponibles para los combatientes tradicionales. En general, los oficiales dentro del Cuerpo de Dominio de la Información son oficiales de línea restringidos, lo que significa que no son elegibles para el mando en el mar.238 Algunos han pedido una comunidad de guerra cibernética de oficiales de línea sin restricciones que pueda “evolucionar de su función histórica de apoyo a una proactiva operativa y función predictiva. ”239 Los ingenieros de guerra cibernética deben cambiar de especialización después de su período de servicio de seis años, lo que significa que no pueden avanzar por encima del rango de teniente.240 Podría decirse que las limitaciones han sido más significativas dentro de la comunidad profesional de la información: los mantenedores de redes de la Marina . Los profesionales de la información vieron una disminución de los puestos de mando en el nuevo milenio, no solo debido a los cambios en la tecnología y la misión, sino también por la subcontratación civil.241 La comunidad de la guerra de la información, que lleva a cabo operaciones cibernéticas defensivas y ofensivas, no parece haber experimentado una reducción similar en el mando. tochos.242 Esto sugiere que las personas que se especializan en trabajos orientados a amenazas continúan teniendo más oportunidades que las que se dedican a la reducción de vulnerabilidades y el trabajo de mantenimiento.
Ejército: Inteligencia, Comunicaciones y Creación de la Rama Cibernética
Al igual que la Armada, a fines de la década de 1990, el Ejército reconoció que la seguridad y la eficiencia exigían un enfoque más centralizado para la adquisición y gestión de redes informáticas. Si bien el Ejército no participó en la Operación Receptor Elegible, "adquirió religión" después de que Solar Sunrise revelara que no tenía medios efectivos para monitorear sus redes en busca de intrusos.243 En respuesta, el Comando de Señales del Ejército de EE. UU. se encargó de desarrollar sistemas de detección de intrusos. En 2002, Signal Command fue absorbido por un nuevo Network Enterprise Technology Command en Fort Huachuca, AZ, que se estableció para centralizar la adquisición y administración de las redes de computadoras del Ejército.
El nuevo comando tenía la tarea de centralizar el conocimiento de la situación y ayudar a defender las redes, y trabajó con el Comando de Inteligencia y Seguridad del Ejército de los EE. UU. para establecer responsabilidades distintivas para la defensa.244 El Centro de Seguridad y Operaciones de Red del Ejército era parte del Comando de Tecnología Empresarial de Red, pero el primero estaba ubicado junto con la Equipo de Respuesta de Emergencias Informáticas del Ejército en Fort Belvoir, VA para que el equipo de respuesta pudiera proporcionar la “dirección sin comando” del centro y ayudar a coordinar la defensa de la red.245 Los comandos de comunicaciones e inteligencia llegaron a compartir cierta responsabilidad en los enfoques de defensa orientados a amenazas.
Sin embargo, las unidades de inteligencia continuaron desempeñando el papel principal. En 2002, Land Information Warfare Activity se convirtió en el primer Comando de Operaciones de Información, con dos batallones. El primero consistió en equipos de apoyo sobre el terreno y equipos de evaluación de vulnerabilidades, y el segundo se centró en las operaciones de redes informáticas. El segundo batallón desarrolló una experiencia considerable, en gran parte al depender en gran medida de los contratistas. A mediados de la década de 2000, estaba formado por solo ocho miembros del personal en servicio activo, complementados por unos 190 contratistas, 30 civiles del gobierno y 60 reservistas.246
El grupo de inteligencia de señales del Comando de Inteligencia y Seguridad, la 704ª Brigada de Inteligencia Militar, tenía la tarea de desarrollar una capacidad de operaciones de redes informáticas incluso antes, en 1998. La compañía B del 742º Batallón de Inteligencia Militar asumió este desafío. En junio de 2000, se convirtió en Destacamento Meade.247 Inicialmente, el Destacamento Meade tuvo problemas para cubrir puestos. De un grupo inicial de alrededor de tres docenas de personas, solo la mitad estaba técnicamente calificada.248 No obstante, a principios de la década de 2000, el Destacamento Meade creció rápidamente, tanto en respuesta a la creciente demanda de efectos cibernéticos en la "Guerra contra el Terror" como con el estímulo de Keith Alexander, quien como mayor general se desempeñó como director del Comando de Inteligencia y Seguridad de 2001 a 2003 y quien luego como teniente general se convirtió en el Subjefe de Estado Mayor de Inteligencia del Ejército de 2003 a 2005.249 Después de que Alexander se convirtió en el director de la Agencia de Seguridad Nacional en 2005, ya medida que las operaciones cibernéticas siguieron creciendo en importancia nacional, el Destacamento Meade pasó por varios cambios organizativos que aumentaron su importancia. En 2009, se convirtió en el 744 ° Batallón de Inteligencia Militar (también conocido como el Batallón de Guerra de la Red del Ejército) .250
El aumento de las operaciones cibernéticas conjuntas elevó aún más el estado de estas actividades. En 2009, el Secretario de Defensa Gates ordenó a los servicios que establecieran un componente de apoyo al Cibercomando de los EE. UU ..251 Tanto el Comando de Inteligencia y Seguridad como el Comando de Tecnología Empresarial de Redes presionaron por la propiedad de la nueva misión, reconociendo que vendría con recursos sustanciales y un aumento de estado de dos a tres estrellas. Sin embargo, se consideró que el Comando de Tecnología Empresarial de Red carecía de la orientación centrada en la amenaza necesaria para un comando operativo.252 De hecho, se informó que fue inconsistente al cooperar con el equipo de respuesta a emergencias informáticas del Ejército para remediar vulnerabilidades o responder de otra manera a incidentes de red, probablemente porque Tales acciones podrían reducir temporalmente la disponibilidad de la red e incomodar a los usuarios, el enfoque principal de los mantenedores.
Por lo tanto, al Comando de Tecnología Empresarial de Red no se le asignó la misión de operaciones cibernéticas, sino que se le puso bajo el control operativo del Comando Cibernético del Ejército, una nueva unidad establecida en octubre de 2010 en Fort Belvoir, VA, hogar del Equipo de Respuesta a Emergencias Informáticas del Ejército y El Centro de Operaciones y Seguridad de la Red del Ejército.254 Si bien las unidades ciberoperativas del Comando de Inteligencia y Seguridad, el 744 ° Batallón de Inteligencia Militar y el 1. ° Comando de Operaciones de Información, también se pusieron bajo el control operativo del Comando Cibernético del Ejército, permanecieron bajo el control administrativo del Comando de Inteligencia y Seguridad, que permaneció independiente del Comando Cibernético del Ejército.255 En 2011, el 744 ° Batallón de Inteligencia Militar se reorganizó como el 781 ° Batallón y se colocó bajo una nueva unidad, la 780 ° Brigada de Inteligencia Militar, dentro del Comando de Inteligencia y Seguridad256.
A medida que creció la escala de las operaciones cibernéticas conjuntas, también lo hizo la necesidad de personal capacitado, lo que estimuló al Ejército a crear nuevas especializaciones.257 La rama de señales del Ejército creó el suboficial técnico de protección de la información en 2010, y el defensor de la red cibernética se especializó en 2014. De manera similar, la rama de inteligencia creó el recolector de inteligencia criptológica del ciberespacio en 2012. En 2014, el Ejército finalmente creó una nueva rama cibernética, con tres especializaciones iniciales: oficial del ciberespacio, técnico de operaciones cibernéticas (suboficial) y especialista en operaciones cibernéticas (alistado). 258 En 2014, el Ejército anunció la nueva rama cibernética como una "que ocupará su lugar junto a la infantería, la artillería y las otras ramas de armas de combate del Ejército". 259
Por lo tanto, mientras que las operaciones cibernéticas del Ejército ganaron un estatus considerable después del establecimiento del Comando Cibernético, los roles orientados a amenazas continúan teniendo un estatus de guerra mayor que los roles orientados a la vulnerabilidad.
En consonancia con la tendencia a tratar las actividades orientadas a amenazas como más parecidas al combate que a las actividades orientadas a la vulnerabilidad, fue Cyber Branch la que se convirtió en “una rama de maniobra con la misión de realizar operaciones defensivas y ofensivas en el ciberespacio (DCO y OCO) ”. 260 Por el contrario, los suboficiales técnicos de protección de información del Ejército, un campo de apoyo a las operaciones, realizan operaciones DODIN, actividades que tienden a estar orientadas a reducir vulnerabilidades. 261 Los defensores de la red cibernética, que también es un campo de apoyo, realizan evaluaciones de vulnerabilidad y otros tipos de trabajo de apoyo a la infraestructura, aunque también realizan respuesta a incidentes, una actividad orientada a las amenazas262. , los roles orientados a amenazas continúan teniendo un mayor estatus de lucha que los roles orientados a la vulnerabilidad.
Conclusión
El desarrollo de la experiencia cibernética militar ha implicado mucho más que simplemente desarrollar una oferta de personal con habilidades, conocimientos y habilidades especializadas. También ha involucrado persuadir a los combatientes tradicionales de la importancia crítica de las habilidades, el conocimiento y las habilidades cibernéticas y elevar ciertos roles laborales dentro de las jerarquías organizacionales. En otras palabras, las relaciones entre tipos distintivos de ciber expertos, otro personal militar y las redes de computadoras con las que todos deben trabajar para lograr los objetivos operativos tuvieron que sufrir una transformación.
Los líderes clave en las comunidades de inteligencia y operaciones militares lograron esta transformación al enmarcar las operaciones cibernéticas como una especie de guerra por derecho propio, en lugar de ser simplemente un apoyo operativo. Los líderes desarrollaron conceptos de ciberespacio y operaciones cibernéticas que eran análogos a conceptos bien aceptados de operaciones cinéticas. Los líderes de la comunidad de inteligencia se volvieron particularmente expertos en el uso de ejercicios para demostrar el impacto potencial de los ciberataques en la guerra. Los equipos de respuesta a incidentes hicieron visible que este tipo de ataques estaban aumentando. Estos esfuerzos lograron elevar formalmente el estado de la ofensiva y la defensa cibernéticas, lo que culminó con la elevación en 2018 del Comando Cibernético de EE. UU. Para convertirse en el décimo Comando Combatiente Unificado de la nación.
Incluso cuando destacaron las crecientes amenazas en el ciberespacio, los líderes de la comunidad de inteligencia reconocieron que esas amenazas no podían tener éxito a menos que hubiera vulnerabilidades, que en parte eran creadas por el propio Departamento de Defensa. Si bien el Departamento de Defensa logró mejorar la seguridad de los productos comerciales, esos productos podrían implementarse y administrarse de manera insegura, y a menudo lo fueron. Muchas intrusiones del Departamento de Defensa se debieron a errores en la administración y el mantenimiento de la red. Pero en la década de 1990, la mayoría del personal de comunicaciones e informática no sabía cómo configurar y administrar redes de forma segura y no tenía un incentivo inmediato para hacerlo. La mitigación eficiente de vulnerabilidades se vio reforzada por algunas innovaciones tecnológicas y organizativas, como las herramientas de análisis de vulnerabilidades y el proceso de Alerta de Vulnerabilidad de Aseguramiento de la Información. Pero, en última instancia, se trataba de innovaciones al servicio de una mejor gestión y mantenimiento. Así, esta historia ha puesto de relieve la importancia del mantenimiento tanto como de la innovación.
Para 2013, la Publicación Conjunta 3-12, “Operaciones en el ciberespacio”, incluía explícitamente el mantenimiento en su definición de operaciones DODIN. Esto se reiteró cuando se reeditó la publicación en 2018. La doctrina conjunta define estas operaciones en términos de mitigar una amplia gama de vulnerabilidades, tanto tecnológicas como humanas. Por ejemplo, los operadores de DODIN están encargados de capacitar a los usuarios cotidianos en buenas prácticas de seguridad, así como en el funcionamiento de firewalls. Sin embargo, como se discutió anteriormente, muchas personas siguen considerando que estas operaciones tienen un estatus más bajo que las actividades centradas en amenazas, es decir, operaciones cibernéticas defensivas y ofensivas. Esta diferencia de estado es más visible en la Fuerza Aérea, debido a que las operaciones DODIN se colocan en el mismo campo de carrera con las operaciones cibernéticas defensivas y ofensivas. Sin embargo, también es visible de formas más sutiles en la Armada y el Ejército, donde los roles orientados a la vulnerabilidad tienden a tener menos estatus de combatiente y menos oportunidades de mando.
Este documento no toma una posición sobre si la mitigación de la vulnerabilidad debe o no ser considerada una especie de lucha. Más bien, mi objetivo ha sido analizar el proceso histórico mediante el cual tales actividades llegaron a incluirse oficialmente en el alcance de las operaciones y cómo ha evolucionado el estatus cultural de las diversas formas de experiencia cibernética con el tiempo. También he tratado de resaltar la importancia de la mitigación de la vulnerabilidad, independientemente de su condición de “luchadora”.
La evidencia sugiere que la mitigación de la vulnerabilidad sigue siendo una prioridad menor de lo que debería. En septiembre de 2015, el presidente del Estado Mayor Conjunto y el secretario de Defensa lanzaron una Iniciativa de Cumplimiento y Cultura de Ciberseguridad, señalando que “aproximadamente el 80 por ciento de los incidentes en el dominio cibernético se pueden atribuir a tres factores: malas prácticas de los usuarios, redes deficientes y gestión de datos prácticas y la implementación deficiente de la arquitectura de la red ”. 263 La iniciativa ordenó al Cyber Command y al director de información del Departamento de Defensa que completaran 11 tareas, incluido el desarrollo de materiales de capacitación de liderazgo para comandantes combatientes y otras unidades, estableciendo requisitos de capacitación para proveedores de equipos y servicios y recomendar cambios específicos a las capacidades tecnológicas para parchear sistemas vulnerables. La iniciativa también ordenó a todos los comandantes combatientes que introduzcan ciertos principios de seguridad en el entrenamiento, reduciendo así las vulnerabilidades humanas.
Un mes después, el comandante del Comando Cibernético y el director de información del Departamento de Defensa fueron más allá al crear un Plan de Implementación de Disciplina de Ciberseguridad, argumentando que las redes del Departamento de Defensa "no eran defendibles". 264 Señalaron "una cantidad inaceptable de vulnerabilidades sin parchear" y dio a los comandantes y supervisores la responsabilidad de verificar que “todos los servidores y dispositivos de infraestructura de red” cumplieran con el proceso de Alerta de Vulnerabilidad de Garantía de Información. Esta fue solo una de las 17 tareas asignadas a los comandantes y supervisores. Finalmente, de acuerdo con las directivas del Departamento de Defensa para la capacitación en garantía de la información, la Agencia de Sistemas de Información de Defensa lanzó en 2015 el programa de capacitación Cyber Awareness Challenge para reforzar las "mejores prácticas" entre los miembros del servicio, civiles y contratistas.265
Sin embargo, en 2020, la Oficina de Responsabilidad del Gobierno de EE. UU. Identificó deficiencias importantes en la implementación de cada uno de estos tres programas. Siete de las 11 tareas de la Iniciativa de Cumplimiento y Cultura de Ciberseguridad aún no se completaron, a pesar de los plazos de 2016. Cuatro tareas en el Plan de Implementación de Disciplina de Ciberseguridad fueron difíciles de completar debido al equipo heredado, y se desconocía el estado de otras siete tareas porque no se había asignado a nadie la responsabilidad de garantizar su finalización. De manera similar, las unidades no realizaron un seguimiento de los usuarios de computadoras que tomaron o no la capacitación del Cyber Awareness Challenge.266 En 2019, el inspector general del Departamento de Defensa concluyó que el Departamento de Defensa no había solucionado constantemente las vulnerabilidades descubiertas por los equipos cibernéticos.267
Al establecer las operaciones DODIN como una especie de lucha de guerra, junto con las operaciones cibernéticas ofensivas y defensivas, el Departamento de Defensa ha buscado elevar el estado de la remediación de vulnerabilidades y de quienes la gestionan. Pero, en última instancia, las vulnerabilidades no pueden ser eliminadas por completo ni siquiera por las fuerzas cibernéticas más expertas. Más bien, la eliminación completa de las vulnerabilidades requeriría una transformación de los usuarios cotidianos: individuos que no son expertos cibernéticos pero que, sin embargo, pueden comprometer los sistemas mediante prácticas descuidadas. Al reconocer este problema, algunos funcionarios han tratado de enmarcar a los usuarios cotidianos de las redes informáticas como guerreros.
En 2009, la Fuerza Aérea comenzó a defender la filosofía del "ascenso del Cyber Wingman", esbozando 10 principios que todo el personal de la Fuerza Aérea debería observar y argumentando que "todo aviador es un defensor en el ciberespacio". 268 Para 2012, los marines habían llegado considerar a "cada infante de marina un guerrero cibernético" e instituyó un régimen de entrenamiento en seguridad cibernética análogo a su conocido mantra, "cada infante de marina un fusilero". 269 Una revisión crítica reciente de la seguridad cibernética de la Marina, encargada por el secretario de la Marina después de múltiples infracciones, concluyó que “la fuerza laboral generalmente no tiene educación en ciberseguridad, es en gran medida complaciente” y tiende a ver la ciberseguridad “como un 'problema de TI' o 'un problema de otra persona'”. 270 Como resultado, la revisión explicó, “la ciberseguridad es subvalorado, y a menudo utilizado como pagador de facturas dentro de los programas de registro ". 271 Proponía que la Marina inculcara una mentalidad de" Todo marinero es un centinela cibernético "272 Y un artículo reciente titulado" Todo guerrero es un ciberguerrero "argumenta a favor de mejorar el Ejército cibernético educación en seguridad porque “todo soldado del Ejército de los EE. UU. debe estar listo para luchar en el campo de batalla digital” .273 Sin embargo, queda por ver si estas metáforas serán finalmente persuasivas.
No hay comentarios.:
Publicar un comentario