Estonia

El rápido desarrollo de la tecnología de la información y las comunicaciones (TIC) en las últimas décadas ha contribuido notablemente al aumento de la competitividad económica, el bienestar de los ciudadanos y la eficiencia de la gobernanza. Sin embargo, esta creciente conectividad y dependencia también ha traído consigo una amplia gama de nuevos desafíos. Desde ataques de denegación de servicio y robo de propiedad intelectual hasta ataques contra redes gubernamentales e infraestructura crítica.

Estonia ha planteado constantemente problemas cibernéticos en el escenario internacional. Esto no solo se ha convertido en una parte integral de los asuntos internos, sino también de las relaciones internacionales y económicas.

Significativamente, la ciberseguridad se definió como una de las esferas de actividad de la OTAN en la Cumbre de Varsovia. Estonia considera la ciberseguridad como un aspecto integral de una seguridad más amplia.

A mediados de la década de 1990, Estonia había comenzado a forjarse audazmente un nicho como país tecnológicamente avanzado. Abrazó con entusiasmo Internet y, como resultado, ha sido durante mucho tiempo uno de los estados más conectados del mundo, a veces llamado » e-Estonia «.

Una identificación digital segura para cada ciudadano permite la prestación de casi todos los servicios estatales en línea. En las elecciones parlamentarias de marzo de 2019, el 28% del electorado votó en línea.

Dicha innovación y movimientos hacia una sociedad digital no solo han traído dividendos sociales y económicos a Estonia, sino que también juegan un papel importante en su seguridad nacional más amplia. La excelencia y el liderazgo de Estonia en ciberseguridad, especialmente después de los ataques cibernéticos de 2007, han fortalecido su seguridad nacional, particularmente al mejorar la posición de Estonia en la Alianza de la OTAN.

Construcción de normas internacionales de ciberseguridad?

En Estonia existe una audaz y exitosa innovación digital. Como es necesario para una sociedad que depende de la tecnología digital, Estonia también está muy centrada en la ciberseguridad.

Sin embargo, este enfoque no es solo garantizar su propia ciberseguridad nacional en el hogar. Especialmente desde 2007, Estonia ha desempeñado un papel destacado en el liderazgo de los esfuerzos internacionales de seguridad cibernética. Particularmente aquellos centrados en establecer reglas de comportamiento en el ciberespacio.

Ciberataques de 2007

En abril de 2007, estallaron violentos disturbios en las calles de Tallin, la capital de Estonia. Los alborotadores eran miembros de la importante minoría étnica rusa de Estonia que, irritada por la retórica y la propaganda rusas, protestaron contra el traslado de un controvertido monumento soviético de la Segunda Guerra Mundial a un cementerio militar.

En medio de estos disturbios, Estonia se convirtió en la primera víctima de ataques cibernéticos por motivos políticos contra la infraestructura política y económica. Los ciberataques coordinados se realizaron contra el gobierno de Estonia, los medios de comunicación, la banca, así como contra servidores y enrutadores específicos. Los defensores estonios fueron efectivos y exitosos en mitigar los efectos de los ataques.

Irónicamente, los ataques cibernéticos de 2007 han fortalecido la situación de seguridad de Estonia, demostrando, entre otras cosas, ser un punto de inflexión en los esfuerzos de Estonia para aumentar la posición estratégica de su país en la Alianza de la OTAN.

Estos ataques no fueron más que un anticipo de las amenazas que permite la creciente dependencia de Internet en sociedades cada vez más digitalizadas. Los ataques revelaron debilidades y desafíos que enfrenta toda la Alianza de la OTAN. Y abrieron la puerta a la discusión pública sobre tales ataques, destacando la necesidad de cooperación internacional en este área.

Los ataques de 2007 también sentaron el contexto para el reconocimiento del liderazgo de defensa cibernética de Estonia. Otras seis naciones se unieron a Estonia para establecer el Centro de Excelencia Cooperativa de Defensa Cibernética de la OTAN (CCDCOE) en Tallin.

A partir de 2018, el CCDCOE es responsable de identificar y coordinar soluciones de educación y capacitación en defensa cibernética para todos los organismos de la OTAN en toda la Alianza.

Medidas de ciberseguridad

Una OTAN que esté adecuadamente preparada para enfrentar amenazas cibernéticas es mejor tanto para la seguridad de Estonia como para su posición estratégica en la Alianza.

Estonia debe garantizar que la OTAN esté firmemente comprometida con su seguridad. Y, por lo tanto, debe hacerse tan valiosa e indispensable como sea posible. Al tratar de hacer menos probable el abandono de la OTAN, Estonia utiliza varias tácticas de compromiso en el ciberespacio.

Estas tácticas incluyen:

  • intercambio,
  • compartir la carga,
  • emprendimiento normativo y legal y,
  • nuevas ideas e innovación.

Eventos de seguridad cibernética

Hogar del Cyber Range de la OTAN , Estonia y el CCDCOE organizan importantes ejercicios internacionales así como importantes conferencias.

Estonia también alberga una amplia gama de otros eventos y ejercicios destinados a reforzar las posiciones de defensa cibernética de los estados de la UE y la OTAN. Dentro de esos ejercicios se incluye EU CYBRID. Se trata de un ejercicio de ciberdefensa en vivo en el que deberá darse respuesta por los propios ministros de defensa de la UE a un escenario de crisis cibernética.

A través de tales eventos, Estonia utiliza la táctica de intercambio. Al ofrecer servicios importantes a la Alianza, esta se siente más dependiente de Estonia, ofreciéndole así un compromiso más fuerte.

Compartir la carga ha sido una táctica central en Estonia desde que se unió a la OTAN. Uno de los mayores compromisos de Estonia con la OTAN es que no será libre. En general, Estonia lo demuestra al ser uno de los pocos estados de la OTAN que supera el mínimo del 2% del gasto del PIB en defensa requerido por la Alianza.

También tiene una larga tradición de superar su peso con respecto a las contribuciones a las misiones militares de la UE, la OTAN y la ONU en el extranjero. En ciberseguridad, Estonia gasta dinero y recursos para garantizar la resistencia de sus redes. Y también ofrece ayuda a los aliados.

Emprendimiento en el ciberespacio

Otra área de éxito para Estonia, a pesar de su pequeño tamaño, han sido las normas de emprendimiento en el ciberespacio, en particular con respecto a la aplicación de la ley al ciberespacio.

A la vanguardia de las normas legales en el ciberespacio está el Manual de Tallin (actualmente versión 2.0). Es un estudio académico no vinculante sobre cómo se aplica el derecho internacional a los conflictos cibernéticos y la guerra cibernética, el más autorizado y completo de este tipo.

El CCDCOE lo desarrolla continuamente, con aportes de casi 50 estados. Estonia también se ha posicionado como un jugador clave en el trabajo normativo en el ciberespacio por parte de la Comisión Global sobre la Estabilidad del Ciberespacio (GCSC) y en las deliberaciones de la ONU, como el proceso GGE de la ONU.

Al presionar por normas legales y acuerdos internacionales en la ONU y en otros lugares, Estonia está jugando un papel importante en la Alianza.

Digitalización de servicios

Los esfuerzos de Estonia para crear una sociedad digital y el medio general hacia la digitalización de sus servicios e instituciones democráticas también hacen que el país sea un lugar más seguro dentro de la OTAN.

Estonia ha sido durante mucho tiempo un defensor de una Internet libre y abierta, así como un defensor de la democracia liberal. Su experimentación e innovación en toda la sociedad con sistemas y servicios digitales coloca a Estonia a la vanguardia del nexo entre tecnología y democracia, mientras se concentra intensamente en las amenazas de seguridad que plantea dicha digitalización.

En este sentido, Estonia tiene la capacidad de informar a la OTAN tanto sobre asuntos de seguridad relativos a los avances tecnológicos como sobre las consecuencias de estos progresos en la democracia y la sociedad. Las ideas y experiencias de Estonia ofrecen modelos valiosos y casos de prueba para la Alianza. Y a su vez aseguran que Estonia siga siendo valiosa para ella.

Estonia es un peón entre reyes. Con solo 1.3 millones de ciudadanos, su población y su PIB son pequeños. Sin embargo, gracias a su exitosa adopción, dominio y promoción de tecnologías digitales y excelencia cibernética, se ha ganado un asiento en la mesa y una voz que encuentra una audiencia global.

Además, Estonia ha encontrado un nicho en el que tiene una ventaja comparativa. Y aprovecha esta ventaja para lograr una posición más segura en la alianza de la OTAN, entre muchos otros beneficios. Al enfatizar la ciberseguridad para mejorar su seguridad nacional, muestra cómo los estados pueden usar varios mecanismos para complementar los objetivos diplomáticos, políticos y estratégicos existentes.

Cooperación internacional

La conexión mutua de los estados y la dependencia del ciberespacio sin fronteras requiere la cooperación internacional en el campo de la ciberseguridad. El objetivo de la cooperación internacional en ciberseguridad es garantizar la protección nacional de alto nivel contra las ciberamenazas. Esto se logra mediante el intercambio internacional de información y experiencia, la promoción de la confianza mutua, la protección de los derechos humanos y las libertades fundamentales en el ciberespacio y el fortalecimiento de las relaciones de alianza y asociación.

En vista de estos objetivos, Estonia:

  • desarrolla relaciones bilaterales y multilaterales con otros países;
  • contribuye a las actividades conjuntas acordadas en organizaciones internacionales (especialmente la UE y la OTAN) y nuevas iniciativas;
  • se comunica con el sector privado, el tercer sector y los socios académicos a nivel mundial; y
  • utiliza una ‘política de ayuda’ y soluciones electrónicas seguras para promover el desarrollo de un ciberespacio libre y seguro en estados donde el tercer sector carece de libertad de acción y la competencia técnica necesaria.

Normativa

Como un dominio relativamente nuevo, el ciberespacio plantea nuevos problemas sobre cómo se aplica el derecho internacional y qué constituye el comportamiento responsable del estado. Estonia trabaja en organizaciones internacionales como la ONU y la OSCE para determinar que el derecho internacional es aplicable al ciberespacio y examina los detalles de esa aplicación. También colabora en el establecimiento de un acuerdo sobre las normas universalmente aceptadas en el ciberespacio, haciendo hincapié en la aplicabilidad de los derechos humanos.

Estonia ha sido parte del Grupo de Expertos Gubernamentales de la ONU sobre los avances en el campo de la información y las telecomunicaciones en el contexto de la seguridad internacional en cuatro ocasiones.

Estos y otros esfuerzos, como el trabajo que se está realizando en la OSCE para aumentar la transparencia y generar confianza y la promoción del Convenio del Consejo de Europa sobre cibercrimen, ayudarán a mitigar las amenazas y minimizar las tensiones derivadas de la aparición en este campo.

Garantizar la ciberseguridad de Estonia requiere una estrecha cooperación con aliados y socios en las esferas de la tecnología, la redacción legislativa, la defensa nacional y la diplomacia.

Estrategia nacional de Ciberseguridad

Estonia es ahora uno de los pocos estados del mundo que ha lanzado una Estrategia Nacional de Seguridad Cibernética de tercera generación (2019-2022). A lo largo de las tres estrategias de seguridad cibernética, destaca la naturaleza global de las amenazas en el ciberespacio y la necesidad de una acción internacional y multilateral.

Para mantenerse a la vanguardia de la gobernanza digital y continuar desarrollando su sociedad digital, Estonia debe seguir siendo un líder en seguridad. Como se indica en su Estrategia de seguridad cibernética de 2019, “Para Estonia, la seguridad cibernética no significa proteger soluciones tecnológicas; significa proteger la sociedad digital y la forma de vida en general «.

Además, como estado pequeño, Estonia depende particularmente de las normas internacionales.

Al establecer la agenda y desarrollar normas, Estonia reúne a los países para acordar reglas para el ciberespacio, trabajando así directamente en los intereses de seguridad más importantes del país. Un ciberespacio estable y basado en reglas es de interés crítico para una sociedad digital como Estonia, que se encuentra entre las más vulnerables a las amenazas cibernéticas.

Ley de Ciberseguridad

Con esta ley Estonia transpuso la directiva de la UE sobre la seguridad de las redes y los sistemas de información, por la cual se imponen requisitos sobre la implementación de medidas de seguridad y notificación sobre incidentes cibernéticos a nivel nacional, operadores de servicios esenciales y servicios digitales.

La ley también especifica los deberes del organismo de supervisión nacional, la Autoridad del Sistema de Información (RIA), en la coordinación de garantizar la seguridad cibernética y organizar la cooperación transfronteriza.

Los operadores de servicios esenciales, como los proveedores de servicios vitales, las empresas de infraestructura importantes, la Fundación de Internet de Estonia, así como los principales proveedores de servicios digitales, como los mercados en línea, los motores de búsqueda y los procesadores de datos en la nube, deben tomar una organización basada en estimaciones de riesgos, medidas de seguridad física y de tecnología de la información.

También deben monitorizar las actividades que ponen en peligro la seguridad y tomar medidas para reducir el impacto y la propagación de incidentes cuando sea necesario.

Además, se introduce la obligación de notificar a la RIA los incidentes cibernéticos significativos.

En el sector público, incluso en los municipios, la obligación de implementar medidas de seguridad de la información se amplia para cubrir servidores de correo, servidores de archivos y sistemas de gestión de documentos, por ejemplo.

Organismos

Los principales organismos en materia de ciberseguridad en Estonia son los siguientes.

Centro de Excelencia Cooperativa de Defensa Cibernética de la OTAN ( CCDCOE )

Este centro fue creado en 2008 en Tallin. Está formado por un grupo de expertos militares que lidera el mundo en la creación de soluciones de defensa cibernética a través de un análisis multinacional e interdisciplinario de varios problemas cibernéticos.

A partir de 2018, el CCDCOE es responsable de identificar y coordinar soluciones de educación y capacitación en defensa cibernética para todos los organismos de la OTAN en toda la Alianza. Hoy, el CCDCOE comprende 22 estados, 18 naciones de la OTAN y cuatro participantes contribuyentes aliados de la OTAN. Muchos más están en fila para unirse, incluidos los estados socios de la OTAN, Japón y Australia.

La misión principal y rol único es fomentar la cooperación entre los estados miembros y ofrecer un enfoque interdisciplinario a los temas más relevantes en defensa cibernética. Para ello se llevan a cabo investigaciones, capacitaciones y ejercicios en cuatro áreas principales: tecnología, estrategia, operaciones y derecho.

Reune a investigadores, analistas y formadores del ejército, el gobierno, la academia y la industria. Pretende idear nuevos enfoques innovadores y crear conciencia y compartir este nuevo conocimiento en capacitación y ejercicios de vanguardia.

CERT-EE

CERT-EE, establecida en 2006, es una organización responsable de la gestión de incidentes de seguridad en redes informáticas. También es un punto de contacto nacional para la cooperación internacional en el campo de la seguridad informática.

Su deber es ayudar a los usuarios de Internet de Estonia en la implementación de medidas preventivas para reducir los posibles daños causados por incidentes de seguridad y ayudarlos a responder a las amenazas de seguridad. El CERT-EE se ocupa de los incidentes de seguridad que ocurren en las redes estonias, comienzan allí o sobre los cuales han sido notificados ciudadanos o instituciones en Estonia o en el extranjero.

El soporte proporcionado por CERT Estonia depende del tipo y la gravedad de un incidente de seguridad, del número de usuarios potencialmente afectados por él y de los recursos disponibles para la organización.

Los objetivos del CERT-EE son:

  • monitorizar el estado de la seguridad de la información en Estonia mediante el uso de los informes recibidos y la recopilación de información sobre incidentes de seguridad de la información;
  • prevenir incidentes de seguridad y reducir los riesgos de seguridad, principalmente mediante la sensibilización y el trabajo de comunicación;
  • ayudar a las instituciones con respecto a incidentes de seguridad y asesorarlas si desean que las agencias de aplicación de la ley comiencen una investigación de incidentes.

CERT-EE es miembro de la red CSIRTs.

Departamento de Diplomacia Cibernética

El nuevo Departamento de Diplomacia Cibernética, ubicado en el Ministerio de Relaciones Exteriores, comenzó a funcionar en otoño de 2019. Su personal de asesores está compuesto por funcionarios del Ministerio de Relaciones Exteriores, que ya han trabajado en varios aspectos de la diplomacia cibernética.

Las funciones del departamento son:

  • contribuir a las discusiones sectoriales en organizaciones internacionales;
  • promover las relaciones bilaterales y multilaterales;
  • supervisar la cooperación para el desarrollo en el campo cibernético y participar en formatos relacionados con la libertad de Internet.

Casi todo en nuestra economía y sociedad depende de la infraestructura digital de alguna forma. Esto también implica nuevos riesgos y nuevas preguntas para las relaciones internacionales.

Supongamos que un país explota vulnerabilidades en la infraestructura crítica del ciberespacio de otro país. ¿Cómo lo averiguarías y cómo puedes atribuir ese ataque? ¿Cómo se aplica el derecho internacional? ¿Cuáles son las mejores medidas de respuesta proporcional?

La diplomacia cibernética se ocupa de esas preguntas. Tiene que ver principalmente con el comportamiento del estado en el ciberespacio y su cumplimiento de las normas cibernéticas, las medidas de fomento de la confianza y el derecho internacional vigente.

e-Governance Academy

Fundada en 2002, e-Governance Academy (eGA) es una organización sin fines de lucro y una consultora: una iniciativa conjunta del Gobierno de Estonia, el Open Society Institute (OSI) y el Programa de Desarrollo de las Naciones Unidas.

Su misión es crear y transferir conocimiento y mejores prácticas en el área de transformación digital: gobierno electrónico, democracia electrónica y ciberseguridad nacional.

eGA puede capacitar de manera experta a los tomadores de decisiones del gobierno central y local para que lideren programas de transformación digital para crear soluciones inteligentes, sostenibles y efectivas de gobierno electrónico, democracia electrónica y seguridad cibernética.

Esto se realiza a través de consultoría, capacitación, trabajo en red, investigación y asistencia en la implementación de sus soluciones técnicas de gobierno electrónico.

eu-LISA

La Agencia de la UE para la gestión operativa de sistemas informáticos a gran escala en el área de libertad, seguridad y justicia, se encuentra en Tallin. Fue creada en 2011 y comenzó sus actividades el 1 de diciembre de 2012.

Fue establecida para proporcionar una solución a largo plazo para la gestión operativa de los sistemas informáticos a gran escala, que son instrumentos esenciales en la implementación de las políticas de asilo, gestión de fronteras y migración de la UE.

Actualmente, la Agencia gestiona Eurodac, el Sistema de Información de Schengen de segunda generación (SIS II) y el Sistema de Información de Visados (VIS).

La base de datos SIS II permite compartir información sobre asuntos penales para garantizar la investigación coordinada de delitos que ya no respetan las fronteras nacionales. El sistema VIS garantiza un procesamiento justo, eficiente y seguro de los procesos de solicitud de visa y los procedimientos de viaje de entrada fronteriza de los visitantes externos a la UE, mientras que el sistema Eurodac permite el monitoreo de las solicitudes de asilo de aquellos que pueden necesitar protección bajo los valores y normas de la UE.

La misión principal de la agencia es dedicarse a agregar continuamente valor a los Estados miembros, apoyando a través de la tecnología sus esfuerzos por una Europa más segura.

La aplicación de la misión de la Agencia le permite lograr su visión general, que es:

  • Proporcionar servicios y soluciones eficientes de alta calidad
  • Crear confianza entre todas las partes interesadas y alinear continuamente las capacidades de la tecnología con las necesidades cambiantes de los Estados miembros
  • Crecer como centro de excelencia.

e-Estonia Briefing Center

El e-Estonia Briefing Center es un centro ejecutivo y un centro de innovación en Tallin, especialmente diseñado para experimentar el estado mental electrónico. Establecida en 2009 como una ONG, hoy forma parte de Enterprise Estonia y tiene un papel esencial en la promoción de la marca y el país de e-Estonia.

Ofrece soluciones en materia de:

  • identidad electrónica,
  • servicios de interoperabilidad,
  • seguridad y protección,
  • cuidado de la salud,
  • gobierno electrónico,
  • servicios de movilidad.
  • negocios y finanzas y
  • educación.

Todo esto hace que Estonia sea actualmente uno de los países más avanzados en materia de ciberseguridad.

Creación de «jueces robot» basados en la Inteligencia artificial

El Ministerio de Justicia de Estonia pidió al director de datos del país, que diseñe un «juez robot» para encargarse de una acumulación de disputas judiciales en reclamaciones menores. Se supone que el «juez» impulsado por inteligencia artificial analiza documentos legales y otra información relevante y toma una decisión.

Aunque un juez humano tendrá la oportunidad de revisar esas decisiones, el proyecto es un sorprendente ejemplo de justicia por inteligencia artificial.

Estonia, con menos de 1,4 millones de habitantes, ha logrado avances impresionantes en la digitalización, racionalización y modernización de sus funciones gubernamentales. Lanzó su famoso programa de «residencia electrónica» que permite a prácticamente cualquier persona, incluidos los extranjeros, acceder a los servicios del gobierno del país.

Su tarjeta inteligente de identificación nacional digital abrió el camino de las identificaciones emitidas por el gobierno de próxima generación, a pesar de sus vulnerabilidades de seguridad.

Y no solo el sistema judicial está recibiendo una revisión de IA en el país. De hecho, IA ya ha automatizado una serie de funciones gubernamentales. Está escaneando imágenes por satélite con algoritmos para averiguar si las actividades agrícolas subsidiadas siguen las reglas establecidas por el gobierno.

Los algoritmos de IA incluso escanean los currículums de los trabajadores despedidos para encontrarles trabajo.

Con respecto al tema de los datos de capacitación para jueces de IA, se indica que, el campo legal, las reglas sobre las que se entrena un software están sujetas a cambios, lo que puede inutilizar los conjuntos de datos utilizados para la capacitación. ¿Qué hacer entonces? Es importante que todo el sistema en sí no se base solo en el aprendizaje automático.

Sobre cómo planea el Gobierno lidiar con los errores en las sentencias emitidas por jueces de AI, se indica que los humanos siempre tienen la posibilidad de impugnar la decisión final.

El poder de la IA

No sería la primera vez que un algoritmo se ocupa de cuestiones legales. Por ejemplo, un chat-bot con sede en el Reino Unido ayudó a volcar más de 100.000 multas de estacionamiento en Londres y Nueva York.

Pero sí marca el poder de la inteligencia artificial y cómo no solo podría racionalizar las operaciones del gobierno y eliminar grandes retrasos, si es que encontramos y superamos los sesgos inherentes a los algoritmos de automatización actuales.

El piloto de jueces de inteligencia artificial aún se encuentra en las primeras etapas y está siendo dirigido por el Ministerio de Justicia. Estonia cuenta con un grupo de trabajo de IA, que en las próximas semanas presentará su estrategia de IA basada en un enfoque práctico.

Estonia se ve a sí misma como pionera y uno de los principales países en lo que respecta a la IA aplicada cuando se trata del sector público.

El país tiene 16 casos de uso de IA en el sector público, y el Gobierno tiene el ambicioso objetivo de tener 50 casos de uso de AI para 2020.

La IA es una parte de un enfoque más amplio para que el Gobierno tenga servicios automáticos para «servicios de eventos de la vida». Un ejemplo es que en el futuro cuando nazca un niño, se registrará automáticamente en la lista de espera de jardín de infancia y recibirá subsidios y beneficios del gobierno, sin solicitarlos implícitamente. Esto eliminará el papeleo, los sistemas manuales y el aspecto humano del procesamiento de tales decisiones.