III Cyber Defence Symposium of the Spanish Joint Cyber Defence Command
Military Operations In Cyberspace
Madrid, 2018 May 22nd - 24th. Kinépolis Madrid (Ciudad de la Imagen)
www.jornadasciberdefensa.es   |   #JornadasCD18   |   #MandoCiberdefensa
Legal
PANEL: Legal Framework for response actions
Wednesday, 23rd May 2018   -   10:00 - 11:00
The slides of the presentations made by each speaker can be downloaded below, next to his biography. The answers to the questions that were made can be found at the end of each video, except for those that were answered personally afterwards due to lack time, that can be accessed here.
Participants:
Moderator
Enrique Cubeiro Cabello
Navy Captain. Chief of Operations ESP Joint Cyber Command (MCCD)

Captain Enrique Cubeiro was born in Madrid; he joined the Navy in 1981 and was promoted to his current post in July 2013.

Throughout his career, he has occupied various posts in the structure of the Navy, including the command of the ships "Bergantín", "Serviola" and "Patiño"; He has participated in numerous operations, including Operation "Sharp Guard" for the embargo on the former Yugoslavia, "Active Endeavor" of NATO to prevent the movement of terrorists and weapons of mass destruction in the Mediterranean, and, most recently, Operation Atalanta of the European Union for the fight against piracy in the Indian Ocean. During his command of the ship Patiño in this last operation, the arrest of the first pirates and their trial and conviction in Spain for the crime of piracy took place. He has more than 2000 sea days.

He is a Communications Specialist, a graduate of the Armed Forces Staff Course and has a master's degree in Cyberdefense from the University of Alcalá de Henares.

He has got in 2002 the "Defense Award", in the form of Research Works developed by concurrent courses of High Military Studies for its monograph "Command and Control Systems, a historical-prospective vision" and "Alvaro de Bazán" Prize in the years 2012 and 2014 by articles published in the General Magazine of the Spanish Navy on piracy in Somalia and Cyberdefense, respectively.

Since September 2013, he is the Chief of Operations of the Joint Cyber ​​Defense Command. In this post he has held positions of chairman and representative of the Ministry of Defense in different interministerial Working Groups responsible for developing several lines of action of the National Strategies of Maritime Security and Cybersecurity.

He is married and he has a daughter.

Speaker
Jerónimo Domínguez Bascoy
General Auditor. Central Military Court

He studied law at the Universities of Valladolid and the Autonomous University of Madrid, for which he received the title of Bachelor in June 1981, later entering, by public examination, in the Legal Corps of the Navy in December 1982. He has also conducted studies of Bachelor of Political Science at the UNED, and a Diploma in Social Communication at the School of Information Sciences at the Complutense University of Madrid. He also has the Diploma in International Military Law and owns a degree of Master in Security and Defence from the Complutense University of Madrid. He has also completed the Advanced Course on Law of Armed Conflict at the International Institute of Humanitarian Law in San Remo (Italy), with whom he works regularly as a teacher.

He was promoted to General Auditor in May 2017 serving as a member of the Central Military Court.

General Auditor DOMINGUEZ BASCOY has experience in the international arena that comes mainly for having occupied (in 2002 and 2004) the post of Legal Adviser to the Joint Command Headquarters Southwest Subregional NATO; their participation as General Advisor of the Naval Component in various exercises of the NATO Response Force and his participation, between November 2010 and April 2011, as Legal Advisor of the Naval Force of the Union European Headquarters deployed in the Indian Ocean during Operation ATALANTA against piracy off the coast of Somalia.

He is a member of the Spanish Group of the International Society of Military Law and the Law of War, whose Board of Directors is currently a member.

Speaker
Ángel Gómez de Ágreda
Colonel, Defence Policy General Secretary

He is Colonel of the Air Force, Diploma of General Staff and Master in Terrorism and Counterterrorism by the University of La Rioja.

He has been a professor at the Department of Strategy and International Relations of the Higher School of the Armed Forces, at CESEDEN, and head of the Cooperation Section of the Joint Staff of the ESP Cyberdefence Joint Command.

He is currently the head of the Geopolitical Analysis Area of ​​the Division of Security and Defense Studies and Coordination of the General Secretariat of Defense Policy (SEGENPOL), where he was already assigned between 2011 and 2014.

As a paratrooper instructor, he has made 624 skydiving jumps, almost all of them manually opening and as a member of the Acrobatic Parachute Patrol of the Air Force and the national parachuting team. He is also a flight professor and transport pilot with around 4000 flight hours. His last flight destination was as head of 353 Squadron of Ala 35 in Getafe, flying CASA C-295.

His main research topics have to do with China and the Far East, Energy and Environment, and Cybersecurity.

He has participated in four international missions, two related to operations in the Former Yugoslavia, and one in Afghanistan and one in Senegal as head of the Air Force detachment in Operation Barkhane.

He speaks English, French and Italian and is the author of more than a hundred articles and book entries.

He is married and the father of two children.

Speaker
Margarita Robles Carrillo
Department of Public International Law and International Relations, Law College of the University of Granada

Ms Margarita ROBLES CARRILLO is Professor of Public International Law and International Relations at the University of Granada and Master in European and International Comparative Legal Studies by the European University Institute.

Ms. ROBLES is professor and Coordinator of the Master in Cybersecurity of the University of Granada. She is also a professor in the Master in Public International Law and International Relations and in the Master in Labour Advisory, Tax and Business Law at the University of Granada.

Ms. Robles is a founding member of UcyS Group, University of Granada Cybersecurity Group, and currently member of the organizing Committee of the II National Conference on Cybersecurity Research, organized by INCIBE and the University of Granada. She is also Director of the II International Congress of Military Studies.

She has been Director of the University of Granada-MADOC Joint Center (2013-2015), Director of the I International Congress of Military Studies (2014) and Director of the International Conference on Afghanistan: Lessons learned and future trends (2015).

Her publications on military subjects include a monograph and several articles on European cooperation on security and defense, two monographs on gender and armed conflict and several publications on cyber-law and cybersecurity concerning the legal regulation of cyberspace, the governance of cybersecurity, the threat and use of force through cyberspace, the ICANN and NIS Directive.

Answers to those questions that were not answered during the session due to lack of time, that were sent directly to the attendees that made them.
Dado el estado del arte de la tecnología actual en el que la atribución es altamente complejo de demostrar, los diferentes agentes jurídicos ¿deberán esperar a un salto de calidad de la tecnología para llevar a cabo su tarea mejor o, reaccionar ya, no abarcando tantas esperanzas en ello? Muchas gracias
Obviamente, este es uno de los aspectos en los que más queda por hacer. La potenciación de medios para la investigación de los incidentes y para favorecer la trazabilidad resulta absolutamente necesaria para la persecución de acciones hostiles. Sin trazabilidad, jamás podrá haber atribución, problema con el que hoy nos encontramos con demasiada frecuencia: sin pruebas, no hay posibilidad de actuar contra el atacante.
Y ello da lugar a que no exista disuasión por represalia, favoreciendo el que el ciberespacio sea una especie de territorio sin ley, e el que la mayoría de las acciones quedan impunes.
Por desgracia, la propia naturaleza del ciberespacio favorece el anonimato, la utilización de activos de terceros y las acciones de falsa bandera (suplantación de la identidad del atacante). Y eso parece que no va a cambiar en mucho tiempo.
Muchas gracias por su pregunta.
Un cordial saludo.
Como tomar o dar una respuesta a una nacion en particular, conciderando que no es fácil definir quien realizó el ataque directamente?
Ese es precisamente el principal problema a la hora de ejercer acciones de respuesta contra una agresión en o a través del ciberespacio.
En la mayoría de los casos, la imposibilidad de trazabilidad y, por tanto, de la atribución de una acción hostil a un actor concreto, dan lugar a que estas acciones queden impunes.
Y ello da lugar a que no exista disuasión por represalia, favoreciendo el que el ciberespacio sea una especie de territorio sin ley, e el que la mayoría de las acciones quedan impunes.
Por desgracia, la propia naturaleza del ciberespacio favorece el anonimato, la utilización de activos de terceros y las acciones de falsa bandera (suplantación de la identidad del atacante). Y eso parece que no va a cambiar en mucho tiempo.
Muchas gracias por su pregunta.
Un cordial saludo.
To: Jerónimo Domínguez Bascoy
Se ha hablado -limitadamente- del IUS AD BELLUM. Pero ¿que hay del IUS IN BELLO?
También muy limitadamente, me referiré a algunas de las cuestiones fundamentales que se plantean en relación con la aplicación de las reglas sobre conducción de las hostilidades en y a través del ciberespacio:

1ª. ¿Son aplicables en el ciberespacio las vigentes normas, convencionales y consuetudinarias, del Derecho Internacional Humanitario?. La UE, en su Estrategia de Ciberseguridad (2013), mantiene que, en efecto, las normas internacionales vigentes se aplican en el ciberespacio. Más explícitamente, la OTAN, en la declaración subsiguiente a la cumbre de Gales (2014), ha manifestado que es política de la organización reconocer que el DIH se aplica en el ciberespacio. Por su parte, el Grupo de Expertos Gubernamentales de las NU sobre "avances en la informatización y las telecomunicaciones en el contexto de la seguridad internacional" dijo en su informe de 2015, de forma un tanto críptica, que "el derecho internacional se aplica al uso de las TIC por los Estados, existiendo principios jurídicos internacionales establecidos, incluidos, si procede, los principios de humanidad, necesidad, proporcionalidad y distinción". Aunque es evidente que tales principios constituyen la esencia del DIH, lo cierto es que cuando, en el informe que el GEG tenía el encargo de presentar en 2017, debía profundizarse en este punto, la cosa devino imposible. Ello fue debido al rechazo que mostraron las delegaciones rusa, china y cubana, en cuya opinión aceptar la aplicación del DIH al ciberespacio supondría tanto como legitimar un escenario de guerra y acciones militares en el contexto de las TIC. Para el CICR [informe ante la XXXII Conferencia de la Cruz Roja (2015)], sin embargo, “la afirmación de que el DIH se aplica a la guerra cibernética no constituye una invitación a militarizar el espacio cibernético y no debe entenderse en modo alguno como una legitimación de la guerra cibernética. De hecho, todo recurso a la fuerza por los Estados, sea de naturaleza cibernética o cinética, siempre es regido por la Carta de las Naciones Unidas y el ius ad bellum […]. Por el contrario, al aseverar que el DIH se aplica, se reafirma que, pese a que la guerra cibernética no está expresamente prohibida ni es regulada por los tratados existentes, en el derecho internacional existen límites con respecto a si los Estados y/o los grupos armados no estatales pueden recurrir a las operaciones cibernéticas durante un conflicto armado, y cuándo pueden hacerlo”.

2ª. ¿Cómo se aplica el concepto de “ataque” propio del DIH a las ciberoperaciones?. Dice el artículo 49.1 del Protocolo Adicional I a los Convenios de Ginebra que “se entiende por ataques los actos de violencia contra el adversario, sean ofensivos o defensivos”. Esta es la definición que sirve de base para las reglas que en el Protocolo se establecen en relación con los “ataques”, como, por ejemplo, la prohibición de los ataques indiscriminados o los dirigidos como represalias contra la población civil o las personas civiles. No hay duda de que cuando como resultado de una ciberoperación se producen, directa o indirectamente, efectos lesivos, letales o destructivos sobre personas o bienes, tal ciberoperación constituye un ataque conforme al DIH. Pero, ¿qué sucede cuando, sin producirse esos efectos, se da lugar a la inutilización de una infraestructura?. La mayoría de los expertos que participaron en la elaboración del Manual de Tallin mantiene que la interferencia con la funcionalidad de un objeto por medio de una ciberoperación da lugar a que ésta pueda calificarse como ataque –en este caso, “ciberataque”–, siéndole, por tanto, aplicables las reglas sobre los ataques. Hay, no obstante, diferentes puntos de vista en cuanto a cuál ha de ser el grado de interferencia en la funcionalidad preciso para que así sea. Unos dicen que la interferencia debería llegar al punto en que, para recuperar la funcionalidad de la infraestructura afectada, fuera necesario reemplazar componentes físicos. Otros dicen que bastaría con que la recuperación de la funcionalidad obligara a reinstalar el sistema operativo o datos esenciales para el funcionamiento de la infraestructura afectada. Por su parte, el CICR (informe antes citado), afirma que: “una operación diseñada para inhabilitar un objeto, por ejemplo un ordenador o una red de ordenadores, constituye un ataque conforme a las normas sobre la conducción de hostilidades, sea o no que el objeto quede desactivado por medios cinéticos o cibernéticos. En efecto, la referencia a la "neutralización" en la definición de objetivo militar (artículo 52 del Protocolo Adicional I) sería superflua si una operación destinada a perjudicar la funcionalidad de un objeto (esto es, su neutralización) no constituyera un ataque. Asimismo, un entendimiento excesivamente restrictivo de la noción de ataque sería difícil de reconciliar con el objeto y la finalidad de las normas sobre la conducción de hostilidades, que consisten en garantizar la protección de la población civil y de los bienes de carácter civil contra los efectos de las hostilidades”.

3ª. ¿Son los datos civiles, en sí mismos considerados, objetos protegidos por el DIH?. Aceptándose de manera general que, cuando de la destrucción o alteración de datos se derivan efectos lesivos, letales o destructivos, la ciberoperación en cuestión queda sujeta a las reglas del DIH sobre los ataques, la cuestión que se plantea es la de si los datos civiles gozan “per se” de la protección que el DIH dispensa a los objetos civiles. Como ha explicado Michael N. Schmitt, tratar a los datos como objetos civiles podría dar lugar a prohibir ciberoperaciones normalmente aceptadas en la práctica de los Estados, como es el caso de las PSYOPS dirigidas a influir sobre la población civil enemiga. Sin embargo, señala el citado autor, no tratar a los datos como objetos civiles podría abrir la puerta a ciberoperaciones que afectaran dramáticamente a la población civil, como sería el caso de ciberataques contra los archivos electrónicos de un Estado o su sistema de pensiones. El CICR, en el informe citado, afirma que: “La protección de los datos civiles esenciales es un tema que causa crecientes preocupaciones. Con respecto a los datos pertenecientes a determinadas categorías de objetos que gozan de protección específica conforme al DIH, las normas de protección son amplias. Por ejemplo, se debe entender que la obligación de respetar y proteger las instalaciones de salud se extiende a los datos médicos que pertenecen a esos establecimientos. Sin embargo, sería importante aclarar la medida en que los datos civiles que no se benefician de esa protección específica, como los datos de la seguridad social, los registros fiscales, las cuentas bancarias, los archivos de clientes de las empresas o las listas o registros electorales, ya se encuentran protegidos por las normas generales vigentes sobre la conducción de hostilidades. La eliminación o alteración de esos datos podría paralizar rápidamente los servicios y los negocios privados y causar más daños a los civiles que la destrucción de objetos físicos. La conclusión de que este tipo de operación no estaría prohibido por el DIH en el mundo de hoy, cada vez más dependiente de la esfera cibernética –sea porque eliminar o alterar esos datos no constituiría un ataque en el sentido del DIH o porque esos datos no se considerarían objetos respecto de los cuales se aplicaría la prohibición de ataques contra bienes de carácter civil- parece difícil de conciliar con el objetivo y el propósito de este ordenamiento jurídico”.
To: Enrique Cubeiro Cabello
Me ha dado la impresión de que se contempla como respuesta a un Ciberataque solamente una respuesta legítima en el dominio del Ciberespacio. ¿No es ese un enfoque que constriñe la libertad de elección del Estado agredido para elegir el medio/método?
No es así, en absoluto.
Este fue el tema de una de las preguntas formuladas, concretamente a la Profesora Robles, en la parte final del panel, con referencia a la posibilidad respuesta en dominios cruzados.
Le sugiero visualizar el video, para escuchar la respuesta de la Sra. Robles.
https://jornadasciberdefensa.es/2018/video/es
Muchas gracias por su pregunta.
Un cordial saludo.
To: Enrique Cubeiro Cabello
¿No cree que en lo referente a las operaciones, la generación de un marco jurídico puede resultar contraproducente para la libertad de accion de las operaciones cibernéticas, debido a su variabilidad y posibles formas de actuación?
Ese fue, precisamente, el tema de una de las preguntas formuladas, concretamente al Coronel Gómez de Ágreda, en la parte final del panel.
De forma muy rápida, la respuesta a su pregunta sería SÍ.
Le sugiero visualizar el video, para escuchar la respuesta del Coronel.
https://jornadasciberdefensa.es/2018/video/es
Muchas gracias por su pregunta.
Un cordial saludo.
To: Jerónimo Domínguez Bascoy
¿Es realmente posible articular una respuesta proporcionada cuando es casi imposible demostrar si un ataque lo lleva a cabo un actor no estatal real o si está apoyado por un estado? ¿Tiene sentido una hipotética respuesta tras meses de investigación?
Si hablamos de responder en legítima defensa, el requisito de la “proporcionalidad” alude, como bien señala el Manual de Tallin 2.0 (comentario a la regla 72), a cuánta fuerza es permisible una vez que se ha determinado que, en efecto, es necesario responder mediante el uso de la fuerza frente a un ataque armado. Es decir, que lo que el criterio de la proporcionalidad limita es la escala, el alcance, la duración y la intensidad de la respuesta defensiva, de modo que no vayan más allá de lo que es preciso para poner fin a la situación que ha dado lugar a ejercitar el derecho a la legítima defensa.

Aclarado lo anterior, es evidente que lo que en la pregunta se plantea guarda relación no tanto con la respuesta “proporcionada”, cuanto con ese otro requisito de la legítima defensa que es el de la “inmediatez” de la respuesta. En virtud de este requisito, una vez que un ataque armado ha concluido, la posibilidad de responder en legítima defensa desaparece. Ahora bien, el requisito de la inmediatez no puede interpretarse de una forma tan rígida que haga imposible actuar en legítima defensa. No puede, en este sentido, perderse de vista la singularidad del ciberespacio, donde una ciberataque puede durar décimas de segundo. Así, si el Estado víctima del ciberataque concluyera de forma razonada que el atacante tiene la intención de conducir nuevos ciberataques armados, sería admisible tratar esos ciberataques en su conjunto como una campaña a la que se podría hacer frente adoptando acciones defensivas (ofensivas) en cualquier punto.

El Manual de Tallin 2.0 se refiere en el comentario a la regla 73 al test de “razonabilidad” para determinar cuando el uso de la fuerza para responder a un previo ataque armado deja de ser legítima defensa para convertirse en pura venganza. Se trata de un análisis que ha de atender a las circunstancias del momento, habida cuenta de que, por ejemplo, el hecho de que se ha producido o se está produciendo un ciberataque puede no ser detectado hasta que haya pasado cierto tiempo, bien porque la causa del daño no haya sido identificada o bien porque el iniciador del ataque no puede ser determinado hasta bien después. El ejemplo clásico es el empleo de un gusano como el Stuxnet.

En cualquier caso, hay que tener en cuenta que un Estado víctima de un ciberataque armado ya concluido, sin que sea probable que vaya a repetirse como parte de una campaña en curso, no queda huérfano de remedios. Ese ataque armado no dejará nunca de constituir un acto internacionalmente ilícito del Estado que lo lanzó o que, incumpliendo su deber de observar la debida diligencia, no puso los medios adecuados para evitar que un actor no estatal lo lanzara desde infraestructuras situadas bajo su jurisdicción. En consecuencia, el Estado víctima podrá exigirle las correspondientes reparaciones (sea en forma de restitución, compensación o satisfacción) y adoptar las contramedidas adecuadas para asegurar que el Estado responsable cumple con su obligación de reparar (es este punto, han de tenerse en cuenta las normas de derecho internacional consuetudinario recogidas en el proyecto de artículos sobre responsabilidad de los Estados por actos internacionalmente ilícitos, elaborado por la Comisión de Derecho Internacional, accesible en inglés, en su versión comentada, en el siguiente enlace: http://legal.un.org/ilc/texts/instruments/english/commentaries/9_6_2001.pdf)
Más que pregunta observación: un criterio para valorar las “ciberacciones” o las acciones ciber puede ser por el “efecto que produce en el mundo físico” porque en mi opinión hay una relación biyectiva evidente
Esa es exactamente la aproximación al concepto de ciberataque (como término equivalente a ataque armado en el ciberespacio) que aparece en el manual de Tallin y que es uno de los puntos de mayor controversia y al que se dedicaron las dos primeras preguntas del panel.
Le sugiero visualizar el video de la mesa, que puede encontrar en:
https://jornadasciberdefensa.es/2018/video/es
Muchas gracias por su pregunta. Un cordial saludo.
To: Ángel Gómez de Ágreda
Si el agresor puede quedarse en el lado de la línea roja en el que previene una respuesta, lo mismo puede hacer el defensor. ¿No sería más práctico poner líneas rojas rígidas y establecer un mecanismo ágil para cambiarlas (sin afectar seguridad jur.)
Las líneas rojas rígidas implican soluciones de blanco o negro. A un ataque identificado que haya sobrepasado dicha línea no queda más remedio que contestar con una acción proporcionada. Sin embargo, eso nos coloca ante una posible situación política indeseable. Una cosa son las situaciones de guerra y otras las de las relaciones de cooperación/competición en las que estamos permanentemente. Si ignoramos todo aquello que esté por debajo de la línea roja, damos por buenos los ataques de esa magnitud. En muchos casos, puede ocurrir que no hayamos sabido calibrar la gravedad de los efectos por la falta de experiencia jurídica y práctica en ese terreno.
En una relación fluida como es la del mundo actual, las respuestas tienen que poder ser igualmente flexibles para evitar que una figura jurídica condicione las ventajas políticas, comerciales, económicas o de cualquier otro tipo que pudieran derivarse de actuar o no con independencia del efecto real del ataque.
A efectos prácticos, es lo que se lleva a cabo, justificando la decisión en cada caso.
To: Margarita Robles Carrillo
No me ha quedado claro sí un actor privado puede responder ante un ciberataque. ¿Qué puede hacer la persona que detecta que está siendo atacado? (España, Madrid)
En el marco del Derecho Internacional y conforme a la Carta de Naciones Unidas, solo los Estados y las Organizaciones internacionales competentes pueden responder de conformidad con el art. 51 en legítima defensa. Las personas físicas podrían hacerlo siguiendo las normas de su derecho interno que son diferentes y más restrictivas. El problema está en que difícilmente se puede identificar el origen del ataque y, si es exterior, solo las FAS estarían legitimadas para actuar.
Strategic Sponsor
Isdefe
Platinum Sponsor
PANDA INDRA
Gold Sponsors
Checkpoint Autek ForeScout Symantec Grupo ICA TAISA SYVALUE Hewlett Packard Enterprise Fortinet s2Grupo Alient Vault Telefónica
Silver Sponsors
Innotec Aiuken Solutions FireEye BBVA
Bronze Sponsors
Ediciones Coda SIA GMV PALOALTO CYBERARK S21 SEC
Military Operations In Cyberspace    |    #JornadasCD18    |    #MandoCiberdefensa