Si una nación debe tomar represalias contra un ciberataque es una decisión complicada, y un nuevo marco guiado por la teoría de juegos podría ayudar a los responsables políticos a determinar la mejor estrategia.
El "Juego de la culpa" fue desarrollado en parte por Robert Axelrod, un politólogo de la Universidad de Michigan que es conocido por resolver una versión del escenario clásico de la teoría de juegos conocida como "el dilema del prisionero". Axelrod es el profesor Walgreen para elEstudio de la comprensión humana en la Escuela de Políticas Públicas UM Gerald R. Ford.
El nuevo estudio, publicado en Actas de la Academia Nacional de Ciencias esta semana, examina cuándo una víctima debe tolerar un ciberataque, cuándo debe responder una víctima, y cómo. Los investigadores, incluidos otros de la Universidad de Michigan y sus colegas de la Universidad de Nuevo México e IBM Research, utilizan el método históricoejemplos para ilustrar cómo se aplica el Juego de la culpa a los casos de conflictos cibernéticos o tradicionales que involucran a Estados Unidos, Rusia, China, Japón, Corea del Norte, Estonia, Israel, Irán y Siria.
Se publica a medida que EE. UU. Se enfrenta a crecientes amenazas de ciberseguridad, incluidos los recientes ataques contra el Comité Nacional Demócrata y el robo chino de bases de datos que contienen la información personal de 21,5 millones de empleados federales.
"El conflicto es cada vez más común y grave en Internet hoy en día, ya que los gobiernos y las corporaciones han reconocido su potencial como instrumento de poder y control", dijo Stephanie Forrest, profesora distinguida de la Universidad de Nuevo México y miembro de la facultad externa deEl Instituto Santa Fe.
"A diferencia de la tecnología nuclear, puede ser extremadamente difícil identificar a la parte responsable de un ciberataque, y esto complica la decisión estratégica de cuándo asignar la culpa. Nuestro modelo aclara estos problemas e identifica los parámetros clave que deben considerarse al formular unrespuesta."
En muchos casos, puede ser racional que las naciones toleren los ataques cibernéticos, incluso ante fuertes críticas públicas.
"Se podría pensar que siempre se debe culpar públicamente y tomar represalias en una situación de guerra cibernética", dijo Axelrod. "Pero eso no es cierto. La razón no es que el atacante no sea vulnerable. Puede que no importe si se les culpao no. Y si eso es cierto, podrías estar en una situación en la que si asignas la culpa, tu propia gente esperaría que hagas algo, pero no hay nada que puedas hacer ".
Blame Game ofrece una serie de preguntas que los formuladores de políticas pueden formular mientras trabajan en cómo responder a un ciberataque. Las víctimas deben preguntar primero: ¿Sé si mi atacante es vulnerable? La vulnerabilidad se presenta en varias formas. Podría significar una naciónes susceptible a un contraataque cibernético. También podría significar que el atacante está en una posición geopolítica difícil y que se le puede culpar por una violación cibernética de alto perfil podría ser perjudicial.
Si la víctima sabe que el atacante es vulnerable, el marco pasa a la siguiente pregunta: ¿Es el costo de no hacer nada más alto que el costo de culpar? Las naciones siempre deben asignar la culpa si el atacante es vulnerable.
Luego, las víctimas pueden determinar si contrarrestan el ataque, cambiando de bando en el modelo de teoría del juego. Las preguntas que los posibles atacantes deben hacer son: ¿Soy vulnerable a la culpa? Si lo soy, ¿lo sabe mi víctima?no, un ataque puede ser la opción correcta.
Si bien las preguntas son sencillas, los investigadores dicen que las respuestas no lo son.
En el dominio cibernético, asignar la culpa de un ataque o intrusión es complicado tanto por factores técnicos como por la falta de acuerdo sobre definiciones básicas, como lo que constituye un ataque o lo que cuenta como infraestructura crítica, según el estudio.
Pero hay mucho en juego
"Ciertamente es posible que los ciberataques se puedan usar de una manera mucho más amplia de lo que hemos visto hasta ahora", dijo Axelrod. "Vale la pena tratar de comprender todo lo que podamos sobre los incentivos y la dinámica para que podamos pensar encómo prevenirlos. Esperamos que nuestro modelo ayude a los encargados de formular políticas a identificar lagunas en su conocimiento y a centrarse en estimar los parámetros antes de los nuevos ciberataques ".
Fuente de la historia :
Materiales proporcionado por Universidad de Michigan . Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cite esta página :