Hijo de un inmigrante brasileño en Francia, Adrien Ogée reflexiona sobre cómo la experiencia migrante encendió en él el deseo de trascender las fronteras nacionales y abordar el desequilibrio en el mundo, algo que en su trabajo para el CyberPeace Institute, una organización no gubernamental (ONG ) dedicado a apoyar a sus colegas ONG y organizaciones humanitarias, ahora puede hacerlo a tiempo completo.
“Mi madre lo pasó mal como inmigrante”, dice. “Algunas de las asimetrías que ella sentía, las que yo enfrenté y las que enfrentamos juntos debido a nuestra historia familiar, me empujaron hacia una carrera cibernética para tratar de corregir algunas de esas asimetrías, que son bastante prominentes en el ciberespacio”.
Ogée se convirtió en ingeniero de sistemas y telecomunicaciones y trabajó durante un tiempo en el sector privado en Bélgica, antes de unirse a la agencia nacional de seguridad cibernética francesa ANSSI, cuando se estableció en 2010. Pero no fue suficiente.
“Me sentí limitado por las fronteras nacionales de Francia”, dice. “Quería tener un impacto profundo en el ecosistema cibernético y lograrlo a un nivel superior, así que fui a trabajar para la Unión Europea, pero una vez más me sentí un poco limitado por las fronteras europeas porque, como sabemos, lo cibernético no sabe. cualquier frontera”.
A partir de ahí, pasó a un rol global en el Foro Económico Mundial (WEF), todavía trabajando en asuntos de seguridad, y fue allí donde se dio cuenta por primera vez del trabajo del CyberPeace Institute con sede en Ginebra, establecido en septiembre de 2019.
La misión del Instituto se sintió muy convincente para Ogée porque parecía que podría permitirle finalmente trabajar para corregir el desequilibrio en el mundo. Por supuesto, cuando se trata de desequilibrio e injusticia global, las ONG y las organizaciones humanitarias están realmente en primera línea, trabajando en nombre de algunas de las personas más vulnerables del mundo.
¿Quién es vulnerable?
Pero vulnerable puede ser un término cargado. ¿Qué significa y a quién se debe aplicar? “Es una gran pregunta, ¿verdad?” dice Ogée. “¿A quién consideras vulnerable? ¿A quién no consideras vulnerable? Nos gusta pensar en ello en términos de cualquier actividad sin fines de lucro que busca proteger o promover la vida humana”.
Claramente, el término incluye a las víctimas de desastres naturales y cambios climáticos, solicitantes de asilo y refugiados de regímenes represivos y conflictos, pero también puede significar personas que viven en países ricos que dependen de servicios médicos y sociales, refugios para víctimas de violencia doméstica o bancos de alimentos para ser atendidos. capaces de seguir con sus vidas.
“Hay más de mil millones de personas que dependen de manera crítica de las ONG para servicios que damos por sentados y que provienen del estado o del sector privado a los que tenemos muy fácil acceso”, dice Ogée. “Cuando estas personas ven interrumpido su acceso al agua potable, a los alimentos, a la vivienda porque la ONG de la que dependen fue atacada por un ciberataque, las consecuencias para ellos son a veces de vida o muerte.
“Es ese tipo de grupos con los que estamos tratando de trabajar, y una razón clave para eso también es porque pensamos profundamente que esos grupos simplemente no deberían ser atacados en línea. No hay razón para que sean atacados. Y si no somos capaces de protegerlos, ¿qué dice eso sobre nuestra industria? ¿Qué dice sobre los profesionales de la seguridad cibernética, qué dice sobre Internet que todos hemos creado y que todos estamos usando?
“No puede haber ciberpaz cuando se ataca a quien no debe ser atacado”
Adrien Ogée, Instituto CyberPeace
El CyberPeace Institute tiene como objetivo establecer una conexión entre los ataques que enfrentan los grupos vulnerables y el estado más amplio de la paz cibernética. “No puede haber ciberpaz cuando se ataca a quienes no deben ser atacados”, dice Ogée.
Eso no quiere decir en absoluto que cualquier organización o persona debería ser atacados, pero las ONG necesitan una atención especial porque ocupan una posición especial en el ecosistema cibernético. Por lo general, son organizaciones pequeñas que no pueden permitirse la experiencia en seguridad de un banco o un conglomerado industrial y, por la naturaleza de su trabajo, tienen un perfil increíblemente alto y pueden atraer enemigos poderosos.
Esto los hace particularmente vulnerables, dice Ogée. “Las ONG recaudan fondos en promedio un billón de dólares estadounidenses al año, lo que es de interés para los ciberdelincuentes con motivaciones financieras, pero también son objeto de intereses que a veces contrastan con los intereses de los gobiernos”, dice.
“Son el blanco de estados que no necesariamente buscan robar su dinero, sino obtener acceso a datos confidenciales que puedan tener contra los refugiados, por ejemplo, como le sucedió al Comité Internacional de la Cruz Roja. [ICRC] a principios de este año. O pueden tener información particular sobre dónde se encuentran actualmente en el mundo ciertos periodistas o defensores de derechos humanos para poder arrebatarlos.
“Y observando lo que está sucediendo ahora mismo en Ucrania, a veces las ONG también son blanco de las mismas operaciones que brindan: el apoyo crítico que ofrecen a algunas comunidades vulnerables”.
Tres pilares de la paz
La misión principal del CyberPeace Institute es lograr la paz cibernética a través de tres servicios principales:
- Mediante el apoyo a las ONG para ayudar directamente a las comunidades vulnerables.
- A través de la documentación de los daños causados a las comunidades vulnerables con el fin de alejar el debate público sobre la cibernética de las agendas políticas, económicas y militares para centrarse en cómo los ataques cibernéticos afectan la vida humana.
- Presionando a aquellos que están empoderados para efectuar cambios para que lo hagan.
Para una ONG que se acerca al Instituto en busca de apoyo, el servicio más inmediatamente útil que brinda es el primero de estos.
“Tenemos una iniciativa voluntaria llamada CyberPeace Builders, que básicamente conecta a estos ingenieros con profesionales de ciberseguridad del sector privado”, dice Ogée. “Para las ONG que a veces tienen dificultades para encontrar recursos para atraer y retener a esos expertos, este es un puente hacia la capacidad.
“Estos expertos pueden hacer cualquier cosa, desde ejecutar pruebas de penetración rápidas para evaluar vulnerabilidades, proporcionar evaluaciones generales de seguridad y dar consejos sobre seguros cibernéticos o prácticas de protección de datos. Es una ayuda muy material, que usamos para llevar a las ONG en un viaje hacia una mejor resiliencia cibernética. Estamos tratando de elevar el nivel de madurez de la seguridad cibernética a través de ese programa de voluntarios, para que las ONG estén protegidas del 90 % de las amenazas”.
interferencia estatal
El otro 10% de las amenazas se considera bastante más difícil de defender porque entran en la categoría de actividad patrocinada por el estado nación, grupos de amenazas persistentes avanzadas (APT) y espionaje directo. Las ONG pueden ser increíblemente vulnerables a este tipo de actividad, pero en realidad no se puede abordar a través de un programa de voluntariado.
“No les voy a decir que el equipo que tenemos, el Instituto tiene 30 personas, más o menos, va a poder defenderse de las capacidades de la APT”, dice Ogée. “Pero lo que podemos hacer es documentar los daños que hacen los actores estatales.
“Nuestros métodos no son ir cara a cara con un gobierno, sino documentar lo que está sucediendo, hacer que la información esté disponible y llevarla a procesos de múltiples partes interesadas en foros, ya sea en la ONU, el Foro de Paz de París. y otros foros internacionales, donde podemos discutir estos temas para que aquellos que están facultados para investigarlos más a fondo y aquellos que tienen el poder de efectuar cambios tengan los datos correctos para hacerlo”.
Podría decirse que la historia de seguridad más impactante de 2022 es la guerra cibernética paralela que se desarrolló junto con la invasión de Ucrania por parte de Rusia, lo que provocó una gran cantidad de trabajo en el CyberPeace Institute, particularmente en términos de documentación de daños y conexión con los tomadores de decisiones.
“Ha habido mucho énfasis en nuestro trabajo analítico para documentar todos los daños causados allí, pero también tenemos ONG en nuestra red que actualmente se encuentran en Ucrania y enfrentan ataques, por lo que brindamos apoyo y análisis activos en el lado cibernético. del conflicto”, dice Ogée.
Es comprensible que Ogée desconfíe de sacar conclusiones prematuras del conflicto en curso, y desconfía aún más de hacer declaraciones audaces que puedan echar leña al fuego. “Estamos haciendo lo mejor que podemos para empoderar a aquellos que pueden efectuar el cambio sin tratar de escalar más la situación”, dice. “Hay muchas consideraciones políticas que haremos y aprenderemos de lo que está sucediendo”.
Una fuente de preocupación que el Instituto está considerando es el impacto del llamado Ejército de TI de Ucrania, una red de hacktivistas que ayuda a la defensa de Ucrania y contraataca contra objetivos rusos.
A Ogée le preocupa que esta red pueda ser penetrada por operativos rusos para subvertir su misión o dar a Moscú una justificación para intensificar la guerra, pero también que las convenciones de la guerra no toman en cuenta el hacktivismo. Por ejemplo, ¿se trata como combatiente a un hacker voluntario de Ucrania? Y si es así, ¿qué implicaciones podría tener esto para los estados donde viven si uno de ellos desencadena un ataque destructivo en una pieza clave de la infraestructura crítica?
Cómo participar
Los ciberprofesionales que estén interesados en ser voluntarios de Cyber PeaceBuilders pueden comunicarse directamente con CyberPeace Institute y se les recomienda encarecidamente que lo hagan.
“Nuestro programa se ha desarrollado teniendo en cuenta sus necesidades: tenemos una propuesta de valor para nuestros voluntarios”, dice Ogée. “Tenemos la intención de asegurarnos de que puedan incluir el voluntariado en su horario. Las misiones que buscamos para nuestros voluntarios duran entre una y cuatro horas. Nunca va a ser un compromiso de un mes, eso es algo que no se puede hacer con un trabajo diario.
“También los capacitamos: hay mucha capacitación que pueden tomar para aprender más sobre la actividad humanitaria y el colonialismo digital, y algunos temas que son de gran interés para las ONG y que a veces no se discuten lo suficiente en los círculos de seguridad cibernética, por lo que también hay un componente de mejora.
“También es una gran comunidad de profesionales de la seguridad cibernética. Pueden conocer a expertos de otros países, construir su red y, lo que es más importante, poner una sonrisa en la cara de alguien cuando tienen un compromiso con una ONG y ver la diferencia que pueden hacer”.
Ogée, quien a principios de este año dirigió una sesión en DEFCON en Las Vegas sobre la creciente red de voluntarios del Instituto, dice que ve un creciente apetito entre los ciberprofesionales por retribuir. “Es fantástico para mí y para nuestra industria; también es una verdadera señal de madurez en la industria”, dice.
“Veo que muchas más empresas invierten en programas de impacto social que tienen un lado de seguridad cibernética, lo cual es excelente porque la industria cibernética a veces ha invertido en RSC. [corporate social responsibility] esfuerzos que estaban desconectados de la misión central.
“Pero ahora veo que están tratando de reconectar eso, así que, en todo caso, estoy agradecido y soy optimista sobre el futuro y el papel que pueden desempeñar el sector privado y la industria tecnológica cuando se trata de reducir los incidentes en el ciberespacio. . Animaría a más empresas a hacer eso”.