Otro estudio contratado por el U.S. Department of Homeland Security, el CERT
Insider Threat Center at Carnegie Mellon University’s Software
Engineering Institute and the U.S. Secret Service, cifra en el 28% estas amenazas internas intencionales. Pero lo peor, hay consenso en que son mucho más dañinas, y se descubrió que los «insiders» dentro de la industria financiera tardan ¡32 meses!, en promedio, en ser descubiertos. Un 75% de los incidentes ni siquiera se denuncia, como se muestra en el siguiente cuadro.
Source: 2014 US State of Cybercrime Survey, CSO Magazine, U.S. Secret Service, Software Engineering Institute CERT Program at Carnegie Mellon University and Price Waterhouse Cooper, April 2014 |
Posiblemente, la mejor estrategia es introducir la ciberseguridad como uno de los valores reputacionales de la Compañía. Las organizaciones buscan generalmente el compromiso de los empleados inculcando unos valores positivos, una misión y visión común: calidad de servicio, excelencia en la producción, atención esmerada. La Ciberseguridad puede ser uno de ellos: la protección de la privacidad de nuestros clientes o proveedores, la defensa de la propiedad intelectual de nuestros creadores (en la empresa o en la Sociedad), la seguridad de nuestros ciudadanos o servicios públicos (en la Administración). Y, como se ve, no enfocado en los aspectos económicos sino en las consecuencias sobre terceros.
A partir de esto, los físicos Leo Szilard y Eugene Wigner convencieron a Albert Einstein en agosto de 1939 que enviara una carta (redactada por ellos) al Presidente Roosevelt advirtiendo de este peligro. Roosevelt puso el tema en manos de sus asesores científicos y tras largas discusiones internas y el intercambio de información con los británicos (que tenían su propio proyecto), aprobó un programa nuclear en octubre de 1941, dirigido por un Comité Secreto que tenía solo 6 personas: él mismo, más el Vicepresidente Wallace, el Secretario de Guerra Stimson, el Jefe de EM del Ejército, Marshall, el Director de I+D de Defensa, Vannegar Bush y su subordinado, James B. Connant.
Mantener el secreto de las deliveraciones de un Comité tan pequeño y selecto era relativamente sencillo. Durante casi un año, se trabajó en definir objetivos factibles, el diseño general de las tecnologías necesarias, en la planificación de su producción industrial y, muy importante, en determinar el presupuesto necesario. Para junio de 1942 había un plan de proyecto consistente, que fue aprobado por el Presidente Roosevelt.
El paso siguiente era mucho más complejo. Había que ejecutar un proyecto que, a priori, involucraría a cientos de científicos de diversas ramas de la física, miles de ingenieros, técnicos y personal militar y decenas de miles de trabajadores. En el cómputo final, hubo 129,000 personas involucradas en las tareas de construcción de la infraestructura que permitiría construir la bomba y un gasto total de 2,000 millones de U$S. Algo muy difícil de ocultar. Y el secreto era fundamental por dos razones: (1) no incentivar a los nazis a acelerar sus esfuerzos y (2) evitar que el enemigo accediera al conocimiento de tecnologías vitales para desarrollar el arma.
En septiembre de 1942, la dirección del proyecto fue asignada a un brillante Ingeniero Militar, Leslie Groves, famoso por haber liderado el proyecto de construcción del Pentágono en los años anteriores. Groves recibió un ascenso a General de Brigada y se le dieron amplios poderes para disponer de recursos financieros, firmar contratos, fichar y organizar personal esencial, diseñar procesos de trabajo y, establecer medidas de seguridad, para evitar cualquier filtración.
General Leslie Groves |
Uno de los problemas más severos para la Seguridad que Groves debió enfrentar era la diversidad del equipo del proyecto y su falta de experiencia militar. Se reclutaron los mejores físicos nucleares de Universidades e instituciones de investigacion, gente no acostumbrada al secreto (más bien lo contrario) ni al cumplimiento de rígidos reglamentos y órdenes. Además, muchos de ellos eran exiliados europeos, víctimas del nazismo o el fascismo, como el italiano Enrico Fermi, el húngaro Leo Szilard, el danés Niels Bohr y muchos otros, sin nacionalidad americana. Pero también ingenieros y técnicos civiles procedentes de la industria, secretarias, personal administrativo, de sanidad, etc. Hasta obreros de construcción.
Este era un contexto muy complejo para establecer medidas de Seguridad que, no obstante, era vital para el éxito. Sobre todo porque ya se habían detectado redes de espías nazis e intentos de infiltración y sabotaje en instalaciones industriales norteamericanas. A continuación, resumiremos algunas de las políticas y procedimientos de Seguridad establecidos por Groves y su equipo:
- Las instalaciones clave del proyecto se construyeron ad hoc en lugares aislados, lejos de las grandes ciudades (el desierto de Nuevo México, áreas rurales de Tenessee, etc). Gran parte del personal y sus familias tenía alojamientos allí.
- Cada sitio tenía múltiples barreras perimetrales con altas alambradas de espino y controles de acceso («checkpoints») en secuencia, vigilados las 24 horas por personal militar.
- Cada trabajador debía pasar por un proceso de «security clearance» por el FBI descartando cualquier persona con antecedentes penales o lazos con el Eje
- Todo el personal estaba identificado con una tarjeta de identificación con su foto, nombre y apellido y su nivel de autorización (una innovación para la época)
- La identidad de la persona establecía un nivel de acceso a la información según un sencillo «código de colores»
- Amarillo: acceso a las áreas técnicas pero no a información clasificada
- Azul: nivel básico de información clasificada pero no acceso a áreas técnicas
- Roja: nivel mayor de información clasificada a nivel de departamento
- Blanca: acceso a información clasificada de los diferentes departamentos (sólo para directores y equipo científico clave)
- La información fue «compartimentada» de tal forma que cada unidad no sabía lo que estaba haciendo otra y, muchas veces, tampoco comprendía la utilidad de su propio trabajo. El único que tenía toda la visión completa era Groves y un pequeño equipo científico (liderado por el Director Técnico del Proyecto, Robert Oppenheimer)
- Todo el correo entrante y saliente pasaba por la censura militar, que podía interrogar a cualquiera que introdujera algún elemento sospechoso (ciertas palabras estaban prohibidas, así como revelar ubicaciones)
- Nadie podía viajar de una instalación a otra sin autorización del propio Groves
- Todos los trabajadores debieron firmar un formulario con condiciones de confidencialidad, Ningún empleado podía hablar de su trabajo con otro sino sólo con su Supervisor.
- Para evitar que nadie olvidara sus obligaciones, la Administración lanzó una gran campaña de concenciación de los trabajadores basada en la necesidad del secreto, indicando que incluso ciertos datos aparentemente inocentes podían ser utilizados por el enemigo
- Groves segregó las funciones de inteligencia, contrainteligencia y vigilancia en tres departamentos diferentes, con registros y archivos separados, que solo reportaban directamente a él.(Como se puede apreciar, muchos de estos conceptos se siguen aplicando en los procesos de seguridad de las organizaciones del siglo XXI. Todos los profesionales en Seguridad de la Información son, en cierta forma, tributarios del General Groves)
Campaña de concienciación del Proyecto Manhattan
El proyecto Manhattan fue un éxito desde el punto de vista que consiguió el objetivo que se había planteado: construir la bomba antes que los nazis. Sin embargo, a pesar de todos los esfuerzos, desde el punto de vista de la seguridad fue un fracaso rotundo. Mucho antes de lanzar la bomba la información confidencial del proyecto, sin que Groves lo supiera, ya había sido filtrada a otro Estado: la Unión Soviética.
Roosevelt había aceptado compartir (parcialmente) su secreto atómico con los británicos. Pero no lo hizo con su aliado soviético, de quien desconfiaba. Sabía que la URSS y los EEUU emergerían como las Superpotencias de la posguerra y quería conservar una carta ganadora. Mientras tanto compartía mucha otra información técnica con ellos (técnicas de producción, diseño de maquinarias, secretos energéticos, etc), pero no la bomba.
¿Qué había pasado? A pesar de todas las medidas legales, de seguridad y la campaña de divulgación ciertos «insiders» habían filtraron a los soviéticos información técnica muy relevante sobre el proyecto.
El más relevante era Klaus Fuchs, un destacado científico alemán exiliado en Gran Bretaña, que se incorporó al proyecto tras el acuerdo de colaboración con estos. Fuchs fue un miembro clave (tarjeta «blanca») en la elaboración del mecanismo de implosión de la bomba y era nada menos que el titular de la patente, junto con John Von Neumann, ¡ de la patente del detonador de la bomba !. Pero Fuchs era también (lo había ocultado a los británicos) militante comunista en Alemania y estuvo pasando secretos a los soviéticos desde 1944.
Tarjeta de identificación «blanca» de Klaus Fuchs |
Pero no lo más increíble es que no fue el único. Otro físico, Theodore Hall, sumistró material secreto similar al de Fuchs. Un ingeniero militar, David Greenglass, pasó secretos a través del matrimonio Rosenberg (ambos agentes del KGB). Otros dos científicos de la planta de producción de agua pesada, el británico Alan Nunn May y el italiano Bruno Pontecorvo pasaron datos los soviéticos. May, incluso detalló lo aprendido en una entrevista con el propio Groves. Según este informe del Departamento de Energía de los EE.UU. hay al menos otros 4 espías no identificados, sólo conocidos por sus claves de FOGEL/PERSEUS, MAR, ERIC y QUANTUM.
Por si fuera poco, en los años ´90 se publicaron las memorias del General Pavel Sudoplatov de la KGB. En ellas afirma (sin pruebas documentales) que el propio Director Técnico, Robert Oppenheimer, y los destacados físicos Enrico Fermi, Niels Bohr y Leo Szilard eran espías soviéticos y que desde el primer momento estaban brindando información a los mismos.
¿Qué fue lo que falló? Una seguridad violada por tanta cantidad de «insiders» desde el «corazón» del proyecto hace pensar más en un factor moral que técnico (nadie pudo penetrar los secretos desde fuera). Posiblemente, Groves falló en algo fundamental: dotar a su campaña de comunicación y a su propio «mission statement» de un mensaje capaz de generar escrúpulos morales a los potenciales «insiders».
El mensaje de Groves estaba basado en dos cosas: el respeto a las normas, el miedo a la sanción y el patriotismo. Es normal: estaba acostumbrado a dirigirse a personal militar y americano. Pero no se percató de que su target efectivo estaba compuesto por científicos, muchos de ellos extranjeros, cuyas motivaciones no se basaban en el patriotismo ni en un «espíritu de cuerpo» militar.
Los científicos, aunque odiaban a los nazis, no consideraban un «bien moral» preservar el secreto de un aliado, los soviéticos. O, aun más, consideraban a estos, como Fuchs, superiores moralmente. Los agentes soviéticos, con mucha astucia, ayudaban a crear esta atmósfera transmitiendo a los espías que su fin era la «paz mundial». En síntesis creaban un argumento moral inverso: valía la pena «romper las normas» (el bien menor) por el «paz mundial» (como bien mayor).
No sabemos que hubiese ocurrido si Groves hubiese ajustado bien su mensaje o hubiese sido más transparente en sus fines: una democracia global, basada en la ONU, que incluyera a la Unión Soviética, como quería Roosevelt. Quizás si la URSS no hubiese tenido acceso a los secretos de la bomba, la «glasnost» se hubiera dado 40 años antes de Gorvachev (fue lo que la élite soviética hizo cuando creyó que ya no poseía capacidad nuclear disuasoria por la IDE de Reagan). Pero lo que sabemos es que la consecuencia del trabajo de los «insiders» fue la «guerra fría», que destruiría miles de vidas en guerras satélite y llevaría a una carrera armamentística, que pondría al mundo al borde de la aniquilación.