¿Qué naciones u organizaciones podrían llamarse superpotencias cibernéticas?

Ser una “superpotencia cibernética” va a ser una barra baja para eliminar, si ser una superpotencia significa que un país tiene la capacidad de atacar sistemas específicos en países u organizaciones específicos. Una barra tan baja que las organizaciones en lugar de los países podrían ser superpotencias cibernéticas. Financie un equipo talentoso de 25 personas o menos y usted podría hacer esto.

Si define “superpotencia cibernética” como la capacidad de atacar una gran variedad de sistemas en una gran cantidad de países u organizaciones, entonces la lista sería más pequeña solo porque el talento necesitaría escalar de manera similar. Por ejemplo, si quisiera poder lanzar ataques cibernéticos a las refinerías, necesitaría capacidades en Emerson, Honeywell, Yokogawa y otros sistemas que abarcan décadas durante el ciclo de vida. ¿Una superpotencia va a recopilar una biblioteca de estas capacidades?

Por cierto … la parte más desafiante de Stuxnet fue la ingeniería de procesos en lugar de los “hacks”. De alguna manera, el atacante obtuvo toda la lógica de escalera en los PLC, entendió el proceso y luego decidió cómo modificar el proceso para causar el daño que quería de una manera que sería difícil la causa después de que ocurriera porque los datos grabados tenían fallas. La capacidad de hombre en el medio nuevamente fue solo parte de informar la parte de adquisición de datos de SCADA.

No estoy diciendo que todas las vulnerabilidades de Windows, el robo de certificados de firma, la carga de firmware malicioso en un PLC fue trivial, pero todo se había hecho antes.

Dejando a un lado por el momento la respuesta inicial de cuestionar la validez de la pregunta (¿Cómo define usted a la ‘superpotencia cibernética’ cuando los análogos entre ella y una superpotencia tradicional son tan débiles?), El mayor problema aquí puede ser que las capacidades de las partes bajo consideración están tan ocultas como pueden hacerlas. No hay conteos de soldados, aviones, barcos, ojivas nucleares, etc., para que podamos comparar. Incluso la evidencia de las capacidades de ataque que tenemos, como el ejemplo de Stuxnet, solo es atribuible a través de un extenso estudio realizado por expertos en la materia cuyos hallazgos vienen con un grado de confianza que solo puede acercarse pero nunca alcanzar el 100%. El consenso puede apoyar a los EE. UU. Y / o Israel como desarrolladores del gusano, pero eso carece de la solidez de un análisis de fuerza real.

Además, Ralph dice que Estados Unidos es la superpotencia cibernética, lo que considero una declaración bastante difícil de defender. Incluso suponiendo por el argumento de que Stuxnet fue 100% desarrollado en los Estados Unidos, eso no dice nada sobre las capacidades de los otros jugadores en este espacio. Existe evidencia significativa de que varias otras fuentes de código altamente sofisticado y dirigido están siendo utilizadas para propósitos de reconocimiento e intercesión en todo el mundo, y al menos algunas de ellas son entidades independientes (es decir, no nacionales).

Además, hay muchas razones para creer que se ha producido una rápida aceleración de los desarrollos en esta área desde que Stuxnet salió a la luz. Proporcionó una ilustración de potenciales, así como un ejemplo de métodos exitosos. Su deconstrucción y análisis ha sido muy educativo para todas las partes interesadas en desarrollar herramientas similares.

Finalmente, nuestra definición tradicional de una superpotencia contiene fuertes implicaciones del potencial de daño asimétrico, y esto es problemático en el ámbito cibernético. Los recursos de una nación grande y rica pueden ser necesarios para crear y mantener la capacidad de causar daño físico a un oponente militar, pero los recursos necesarios para establecer un equipo de personas capaces de causar estragos en la infraestructura cibernética de un oponente están dentro del alcance de muchas corporaciones y algunos individuos, y mucho menos de naciones.