—De quina definició parteix quan parla de ciberguerra? Remet als ciberatacs a infraestructures o també inclou altres tipus d’amenaces híbrides com la desinformació?
—Aquestes qüestions estan convergint cada cop més: especialment en el domini militar, ja que no hi ha ús de ciberatacs en l’acció o els exercicis militars sense el suport de la electronic warfare [guerra electrònica]. Sobre la recent superposició entre ciberguerra i electronic warfare, malgrat que són dos camps separats, sempre ha existit aquesta convergència. Sovint l’objectiu dels ciberatacs ha estat el d’estendre la propaganda. Això ho hem vist a Ucraïna, on tropes russes van difondre missatges falsos entre els mòbils dels soldats ucraïnesos. Veiem, cada dia més, aquesta integració, i no passa només a Rússia, si no també als EUA. La nova doctrina de l’exèrcit nord-americà barreja ciberguerra i electronic warfare.
—Però no és ben bé el mateix, no?
—Consideraria que existeix una àrea compartida entre aquests dos fenòmens, però no està tan clar que conformin la mateixa categoria. Els dos són amenaces híbrides, però cal discernir, d’aquestes, quines són ciberamenaces. Allò que va dirigit a difondre propaganda o allò que vol soscavar infraestructures crítiques, essencials per a les operacions d’un estat, la seva societat i la seva economia, en una societat digital com la nostra, mereixen que establim algun tipus de diferenciació a l’hora de respondre-hi.
—I com opera, aquesta diferència?
—Per exemple, en allò relatiu al periodisme. Això és una aproximació molt més tècnica, però quan parlem d’amenaces a l’ecosistema informatiu hem d’identificar els actors que en prenen part. No només els periodistes, també els usuaris, que haurien de rebre una educació que els capaciti per entendre com funcionen aquestes tàctiques i eines de desinformació i protegir-se’n.
—Ja que parla de l’ensenyament, voldria preguntar-li de quina manera les institucions d’Estònia faciliten l’impuls de les capacitats en ciberdefensa.
—En aquest moment estem elaborant la nostra tercera estratègia nacional en l’àmbit de la ciberseguretat. El Ministeri de Comunicació i Afers Econòmics, el que lidera aquest procés, ha dut a terme diversos seminaris que han ajuntat a totes les autoritats públiques, però també representants de centres d’investigació, d’universitats i del sector privat. Especialment persones vinculades a àrees clau i a operadors d’infraestructures crítiques que han revisat l’estratègia vigent i han fet propostes per a la nova. Vam iniciar aquest tipus d’operacions el 2007. És una dinàmica que va començar després dels ciberatacs contra Estònia i que en aquests anys ha assentat unes bases molt sòlides.
—Una estratègia en què l’ensenyament hi juga un paper clau.
—Pel que fa a l’educació, es va posar molt d’èmfasi que un dels objectius clau en l’estratègia era el de bastir una oferta formativa en ciberseguretat que es troba per sobre la mitjana de la Unió Europea i de bona part de la resta del món, tenint en compte els nostres pocs recursos humans i materials. Un assoliment remarcable. Ja a primària hi tenim programes d’alfabetització digital que a dia d’avui integren mòduls en l’àmbit de la ciberseguretat adaptats al nivell d’estudis. Així, els joves poden escollir un itinerari vinculat a la ciberseguretat. També a l’institut hi tenim un cicle formatiu, el d’enginyeria en ciberseguretat, a les escoles estonianes de tecnologies de la informació, els programes de la qual són en anglès, ja que hi acceptem estudiants forans. Tenim un grau en enginyeria de ciberseguretat a la Universitat Tècnica de Tallinn i un programa amb tres especialitzacions en ciberseguretat, investigació digital forense i criptografia. Des de fa com a mínim cinc anys la nostra educació superior és gratuïta. Fins i tot els estudiants forans poden estudiar-hi gratuïtament.
—Bo saber-ho.
—A més, des de 2008 hem introduït la ciberseguretat en tots els programes sobre tecnologies de la informació, a tots els instituts i universitats. Això ho reforcem amb competicions periòdiques entre estudiants de cicles formatius i universitats. També tenim un programa pilot per capacitar els reclutes [a Estònia el servei militar és obligatori].
—I més enllà dels centres educatius?
—En un nivell més sènior hi tenim agències estatals o ministeris governamentals subjectes a formacions en l’àmbit de la ciberseguretat. Entenem que és important que els nostres líders entenguin que la ciberseguretat ha de ser part de la gestió i el lideratge de qualsevol programa governamental. No és una qüestió tècnica: ha de ser part del dia a dia d’un ministeri o d’una empresa. No establim diferències entre una empresa privada i una autoritat pública. La ciberseguretat ha de ser consubstancial a qualsevol organització.
—Suposo que tenir el Centre d’Excel·lència per a la Ciberdefensa Cooperativa de l’OTAN a la capital del seu país ha d’atorgar algun tipus d’impuls a l’ecosistema del qual em parla.
—Per descomptat. Primer, perquè és part de les nostres iniciatives internacionals. Tenim el centre a Tallinn, i som considerats un dels països líder a l’aliança atlàntica en el disseny de polítiques de ciberdefensa. Aquest centre treballa estretament amb el nostre govern i la Unió Europea en general, amb els seus centres de competències en ciberdefensa inclosos. Ens dóna reputació, tenir-lo. I es tradueix en avantatges a l’hora de participar en exercicis conjunts i conferències que s’hi organitzin. L’e-residence i la indústria de la ciberseguretat, en tant que part de la xarxa d’agents implicats en els exercicis del centre d’excel·lència, acaben traslladant el que experimenten a l’àmbit empresarial i universitari. Això permet una transfarència indirecta de coneixement, quelcom que té un gran impacte en un país tan petit com Estònia.
—I això es tradueix en exportació de talent en l’àmbit de la ciberseguretat?
—No tinc dades específiques. Però sí que és cert que la indústria tecnològica, amb totes les seves dimensions, les empreses del sector de la innovació, del blockchain, del sector de defensa, etcètera, treballen de forma molt estreta amb el nostre Ministeri de Defensa. Estònia proveeix suport governamental a start-ups que volen exportar els seus serveis arreu. L’exportació de productes i serveis de l’àmbit de la ciberseguretat representa entre el 5% i el 8% del nostre PIB.
—Llegia a Meduza un reportatge sobre com el Kremlin estaria donant feina a cibercriminals per incrementar la seva capacitat ofensiva. Com poden les democràcies enfrontar-se a això tenint en compte els seus estàndards de contractació, que deixen fora els que tenen antecedents penals?
—Tens tota la raó. A països en què funciona l’imperi de la llei i hi ha mecanismes de pesos i contrapesos les autoritats han de partir d’un mandat legal i actuar dins dels marges que la norma permet. Rússia treballa estretament amb el crim organitzat, cibercriminals, empreses i individuals, quelcom promogut per l’Estat. Pel que sabem per la premsa, a alguns cibercriminals russos se’ls hi perdona l’estada a presó si proveeixen alguns serveis a l’Estat. Això hauria de preocupar els països democràtics. Crec que la manera de contrarestar això és a través de la cooperació des de la legalitat pressionant estats com Rússia, Corea del Nord o Iran en aquest sentit, i cooperar entre cossos policials. S’hauria d’exigir als diplomàtics russos més compromís amb la lluita contra el cibercrim.