Commentary
Mainpage
| Contact
us | E-mail Directory
| Discussion
Forum
The Americas focus on cyber-security threats
By Dr. Odeen Ishmael - Posted February 12th. 2005
Security experts from the 34 OAS member-states will gather in Port of Spain on 16-18 February to discuss multilateral cooperation strategies for the fight against terrorism in the hemisphere. This fifth meeting of the OAS Inter-American Committee against Terrorism (CICTE) plans to examine existing anti-terrorism policies as they affect border controls and transportation security. Further, the experts will formulate a strategy to combat growing threats to cyber-security in the region.
Clearly, the efforts to combat threats against cyber-security are moving rapidly to the top of the CICTE agenda. Only recently, at its fourth regular meeting in Montevideo in January 2004, CICTE identified threats against cyber security as among the emerging threats facing countries, both at the hemispheric and global levels.
No doubt, the countries of the Americas see a tight inter-relationship between security issues and the fight against terrorism. And more and more they are recognising that cyber-crime poses some real, grave dangers. At the OAS Special Conference on Security held in Mexico City in October 2003, delegates from the 34 participating countries issued a final document which declared: "We will develop a culture of cyber-security in the Americas by taking effective preventive measures to anticipate, address, and respond to cyber-attacks, whatever their origin, fighting against cyber threats and cyber-crime, criminalizing attacks against cyberspace, protecting critical infrastructure and securing networked systems."
At this meeting, the countries reaffirmed their commitment to develop and implement an integral OAS cyber-security strategy by utilizing the contributions and recommendations developed jointly by experts from member states and other regional bodies. Delegates also agreed with the Caricom countries' view that security in the hemisphere must be addressed in a multi-dimensional manner. The final declaration noted that the Western Hemisphere's "traditional concept and approach (to security) must be expanded to encompass new and non-traditional threats, including political, economic, social, health, and environmental aspects."
The document listed threats like terrorism, international organized crime, money laundering, the "global drug problem," and corruption as serious threats to hemispheric security. The list also identified extreme poverty and "social exclusion of broad sectors of the population," natural and man-made disasters, HIV/AIDS and other diseases, environmental degradation, weapons of mass destruction, transporting hazardous materials at sea and cyber-crime.
Over the past three years, the issue of threats to cyber-security became very pronounced. As a result, CICTE in July 2003 called a special conference in Buenos Aires to address this concern. The conference examined the trends of the threats and identified financial losses, theft of proprietary information, vandalism (loss of services), loss of consumer confidence, loss of reputation, and insider attacks as among the most destructive effects.
Upon examination of the threats, specialists at the conference advised the hemispheric body that the response would include increased research and development investments in the "science" of information assurance, and engineering practices and protocols that limit damage from distributed attacks. To do all of this, they emphasized that international cooperation and collaboration would be vital.
The Buenos Aires meeting also learned that a worldwide study conducted on network-based cyber-attack vulnerability concluded that in the future, threats would be "blended", meaning that one threat would use various targets and weaknesses in computer systems. To combat this will require security that goes far beyond the application of antivirus measures.
Currently, there is great concern that because of the economic nature of the problem, Latin American and Caribbean governments are not in a position to provide protection for their citizens from cyber-attacks and cyber fraud. But certainly measures can be put in place to allow for greater cooperation among OAS members to develop joint initiatives in developing legislation and emergency response programmes and also in the sharing of information to fight against the threats to cyber-security.
These cyber-security threats have various dimensions, and, no doubt, they are turning into matters of crucial importance for all countries. For instance, if there is a cyber attack by criminal elements or terrorist groups on the banking system in any of the developed countries, all countries in the hemisphere can be seriously affected, for their banking systems are rapidly becoming internationally intertwined. And while cyber attacks on transportation system can seriously disrupt travel, commerce and communication, it can also hinder the movement of emergency assistance. Therefore, it is of utmost importance that countries be armed with a strategic defence mechanism to combat such threats.
However, it must be noted that a difference exists in cyber-security approaches among the hemisphere's developed countries and the less developed ones of Latin America and the Caribbean. Since in this latter group there is less frequent e-commerce because it is not widely developed, the inability to accurately track attacks may give the wrong impression that there are lower incidents in these countries. Considering this, the cyber-security specialists at the Buenos Aires conference suggested that everywhere, as computer and network systems are implemented, regularly updated security systems must be put in place as well.
The United States, seen as the primary target of cyber-security threats, has been constantly addressing this issue of cyber-security, and at the Buenos Aires meeting it presented a proposal for discussion in the preparation of a hemispheric cyber-security strategy. As part of this proposal, it suggested that the following points should be given serious consideration:
(a). Each member state of the OAS should survey its infrastructure, determine where vulnerabilities lie, and establish a program to address them.
(b). Each member state should consider the appointment of national points of contact, one for watch and warning remediation and one for law enforcement and investigative response. Both should be capable of fostering greater coordination within government ministries and between the government and private sector to ensure an effective domestic cyber-security capability.
(c). Each member state must foster a partnership with private industry since the latter includes the owners and operators of major information infrastructure bearing the greatest responsibility in implementing cyber-security measures.
(d). Each member state should identify or establish a round-the-clock national capability warning system, cyber-threat assessment, and mitigation plan in order to facilitate global information sharing on cyber threats. Each must also have an immediately accessible national point of contact for the prevention, investigation and prosecution of high-tech crimes.
(e). Each member state should review its legal code to assure that it effectively criminalises misuse of technology and that it has in place rules to facilitate international law enforcement cooperation, and domestic tools to investigate cyber-crime.
(f). Each member state must promote cyber-security education, training, and awareness to foster a "culture of cyber-security" at every level of society.
(g). The OAS should assist member states in their domestic efforts to combat threats to cyber-security. The Organisation should also facilitate the broadest cooperation among member states to make effective the inter-American plan to combat threats to cyber-security with special emphasis on training and capacity building.
Clearly, the above proposals are all very worthwhile strategy points which must be deliberated upon urgently so that they can be incorporated and implemented in a plan of action. And it is essential, too, that the OAS gives much needed assistance to its less developed members like those in Caricom to build their defence against cyber-crime and cyber terrorism. As the delegates meet in Port of Spain to tackle the crucial issues of security and terrorism in the hemisphere, they must surely recognise the growing urgency of cyber-security threats and address them in a very meaningful way.
(Dr. Odeen Ishmael is Guyana's Ambassador to Venezuela, and until recently was Ambassador to the United States and Permanent Representative to the OAS.)
El enfoque de las Américas en las amenazas a la ciber seguridad
Por Odeen Ishmael
Expertos de 34 estados miembros de la OEA se reunirán en Puerto España entre el 16 y 18 de febrero para discutir las estrategias de cooperación multilateral en la lucha contra el terrorismo en el hemisferio. Esta Quinta Reunión del Comité Interamericano de la OEA contra el Terrorismo (CICTE) se propone examinar las políticas antiterroristas existentes en cuanto afectan los controles fronterizos y la seguridad de transporte. Además, los expertos formularán una estrategia para combatir las crecientes amenazas a la ciber seguridad en la región.
Claramente, los esfuerzos para combatir las amenazas a la ciber seguridad se mueven rápidamente para colocarse como tema principal de la agenda de la CICTE. Sólo recientemente, durante su cuarta reunión regular, celebrada en Montevideo en enero de 2004, la CICTE identificó las amenazas contra la ciber seguridad como una de las amenazas emergentes que confrontan los países, tanto en el plano hemisférico como el global.
Sin duda, los países de las Américas ven una estrecha correlación entre los temas de seguridad y la lucha contra el terrorismo. Y se van dando cuenta cada vez más de que el delito contra la cibernética representa algunos peligros reales, graves. En la Conferencia Especial sobre Seguridad de la OEA celebrada en Ciudad de México en octubre de 2003, los delegados de 34 países participantes emitieron un documento final que declaraba: "Desarrollaremos una cultura de ciber seguridad en las Américas mediante medidas preventivas efectivas para prevenir, ocuparse y responder a los ataques contra la cibernética, cualquiera que sea su origen, luchar contra las ciber amenazas y delitos, penalizar los ataques contra el ciberespacio, proteger la infraestructura crítica y asegurar los sistemas interconectados."
En esta reunión los países reafirmaron su compromiso desarrollar e implementar una estrategia integral de ciber seguridad de la OEA mediante la utilización de contribuciones y recomendaciones desarrolladas conjuntamente por expertos de los estados miembros de la OEA y de otros organismos regionales. Los delegados también estuvieron de acuerdo con el punto de vista de los países de la Caricom en que la seguridad en el hemisferio tiene que ser manejada de una manera multidimensional. La declaración advertía que "el concepto y el enfoque (de la seguridad) tradicionales" del Hemisferio Occidental "deben ser ampliados para que abarquen las nuevas y viejas amenazas, incluyendo los aspectos político, económico, social, salubridad y ambiental."
El documento mencionó amenazas tales como el terrorismo, el crimen organizado internacional, lavado de dinero, el "problema mundial de la droga," y la corrupción como amenazas serias a la seguridad hemisférica. La lista también identificó la pobreza extrema y la "marginación social de vastos sectores de la población," desastres naturales o causados por el hombre, el VIH/SIDA y otras enfermedades, la deterioración ambiental, armas de destrucción masiva, el transporte marítimo de materiales peligrosos y el ciber delito.
Durante los últimos tres años el tema de las amenazas a la seguridad cibernética ha cobrado mucha relevancia. Como resultado de ello, la CICTE convocó una conferencia especial en Buenos Aires en julio de 2003 para abordar esta preocupación. La conferencia analizó las tendencias de las amenazas e identificó las pérdidas financieras, el robo de información patentada, el vandalismo (pérdida de servicios), la pérdida de la confianza del consumidor, pérdida de la reputación, y ataques internos, entre los efectos más destructivos.
Al analizar las amenazas, los especialistas en la conferencia informaron al organismo hemisférico que la respuesta incluiría aumentar el trabajo investigativo y las inversiones de desarrollo en la "ciencia" de la seguridad de información, y prácticas de ingeniería y protocolos que limiten el daño causado por ataques diseminados. Para ello, subrayaron que la cooperación y colaboración internacionales serían vitales.
La reunión de Buenos Aires se enteró asimismo que un estudio mundial realizado sobre la vulnerabilidad de ataques cibernéticos utilizando una red come base concluyó que, en el futuro, las amenazas serían "combinadas", es decir que una amenaza usaría varios objetivos y debilidades en el sistema de computación. Para combatir esto se requerirá de seguridad que vaya mucho más allá de la aplicación de medidas antivirus.
En la actualidad existe gran preocupación porque la naturaleza económica del problema no permite que los gobiernos latinoamericanos y caribeños provean seguridad a sus ciudadanos la protección contra los ciber ataques o ciber fraudes. Pero ciertamente se pueden poner en práctica medidas que permitan una mayor cooperación entre los miembros de la OEA para desarrollar iniciativas conjuntas para elaborar leyes y programas de respuesta de emergencia, así como compartir la información sobre la lucha contra las amenazas a la ciber seguridad.
Estas amenazas a la ciber seguridad tienen varias dimensiones y sin duda, se están convirtiendo en asunto de importancia crucial para todos los países. Por ejemplo, si hay un ciber ataque de elementos criminales o grupos terroristas al sistema bancario en cualquiera de los países industrializados, todos los países del hemisferio pueden ser afectados seriamente, ya que sus sistemas bancarios se están entrelazando internacionalmente rápidamente. Y mientras que los ciber ataques al sistema de transporte pueden interrumpir seriamente el viajar, el comercio y la comunicación, también pueden obstaculizar el movimiento de asistencia de emergencia. Por lo tanto, es de suma importancia que los países se armen de mecanismos de defensa estratégicos para combatir tales amenazas.
Sin embargo, debe advertirse que hay una diferencia de enfoque de la ciber seguridad entre los países desarrollados del Hemisferio y aquellos menos desarrollados de la América Latina y el Caribe. En vista de que el comercio electrónico (e-comercio) es menos frecuente entre éstos porque no ha sido desarrollado ampliamente, la incapacidad de rastrear los ataques con precisión puede dar la falsa impresión de la existencia de menos incidentes de este tipo en estos países. Tomando en cuenta esto, los especialistas en ciber seguridad en la conferencia de Buenos Aires sugirieron que a medida que se vayan implementando sistemas de computación y redes en todas partes, también deben ser ordenados los sistemas de seguridad actualizados con regularidad.
Visto como el blanco principal de las amenazas a la ciber seguridad, los Estados Unidos ha estado ocupándose de este problema constantemente y, durante la realización de la reunión en Buenos Aires presentó una propuesta para discutir la preparación de una estrategia de ciber seguridad. Dentro de esta propuesta sugirió que se debería dar seria consideración a los puntos siguientes:
(a). Cada estado miembro debe evaluar su infraestructura, determinar donde están los puntos vulnerables, y establecer un programa para tratarlos.
(b). Cada estado miembro debe considerar la designación de dos puntos de contacto: uno de vigilancia y socorro, y otro para la aplicación obligatoria de la ley y come respuesta investigativa. Ambos deben ser capaces de fomentar mayor coordinación dentro de los ministerios del gobierno y entre éste y el sector privado para asegurar una efectiva capacidad doméstica de ciber seguridad.
(c). Cada estado miembro debe fomentar una asociación con la empresa privada ya que ésta incluye los dueños y operadoras más grandes de la infraestructura informática que tienen la principal responsabilidad en la implementación de medidas de ciber seguridad.
(d). Cada estado miembro debe identificar o crear un sistema de alerta nacional día y noche, evaluación de ciber amenazas, y un plan de mitigación para facilitar la repartición global de información sobre ciber amenazas. Asimismo, cada uno debe tener un punte de contacto nacional de acceso inmediato para la prevención, investigación y enjuiciamiento por delitos de alta tecnología.
(e). Cada estado miembro debe revisar su código de leyes para asegurar que penaliza efectivamente los malos uses de la tecnología y que posee reglas que facilitan la cooperación internacional para la aplicación obligatoria de la ley, y los instrumentos nacionales para investigar los ciber delitos.
(f). Cada estado miembro debe estimular la educación sobre la ciber seguridad, entrenamiento y conciencia para fomentar una "cultura de ciber seguridad" en todos los niveles de la sociedad.
(g). La OEA debe prestar asistencia a los estados miembros en sus esfuerzos domésticos para combatir las amenazas a la ciber seguridad. La Organización también debe facilitar la más amplia cooperación entre los estados miembros para hacer efectivo el plan interamericano para combatir las amenazas a ciber seguridad, con énfasis especial en el entrenamiento y la capacidad constructiva.
Evidentemente, las propuestas antes mencionadas son todos puntos estratégicos muy dignos de atención que deben ser discutidas urgentemente de manera que sean incorporadas a un plan de acción. También es esencial que la OEA provea la muy necesitada asistencia a sus miembros menos desarrollados, como aquellos de la Caricom para que crean su defensa contra el ciber delito y el ciber terrorismo. Al mismo tiempo que los delegados en Puerto España se reúnen para discutir los temas cruciales de seguridad y terrorismo en el hemisferio, ellos seguramente deben reconocer la creciente urgencia de las amenazas a la ciber seguridad y tratarlas de modo significativo.
Caracas, 10 de febrero de 2005
(El autor es Embajador de Guyana en Venezuela)
This
page is part of Guyana News and Information.
(http://www.guyana.org)