Política vs Tecnología – Schneier sobre Seguridad


Política vs tecnología

En algún momento alrededor de 1993 o 1994, durante las primeras Crypto Wars, fui parte de un grupo de expertos en criptografía que fueron a Washington para abogar por un cifrado seguro. Matt Blaze y Ron Rivest estaban conmigo No recuerdo quien más. Nos reunimos con el entonces Representante de Massachusetts, Ed Markey. (No se convirtió en senador hasta 2013). En aquel entonces, él y el senador de Vermont, Patrick Leahy, eran los más conocedores de este tema y nuestros mayores partidarios contra las puertas traseras del gobierno. Aún lo son.

Markey estaba en contra de obligar a los proveedores de teléfonos encriptados a implementar el Clipper Chip de la NSA en sus dispositivos, pero quería que hiciéramos un compromiso con el FBI independientemente. Esto nos sorprendió por completo a los técnicos, que pensaron que tener la respuesta correcta era suficiente. Fue en ese momento que aprendí una diferencia importante entre tecnólogos y formuladores de políticas. Los tecnólogos quieren soluciones Los responsables políticos quieren consenso.

Desde entonces, me he sumergido más en las discusiones de políticas. He pasado más tiempo con legisladores, he asesorado a organizaciones de defensa como EFF y EPIC, y he trabajado con grupos de expertos con mentalidad política en los Estados Unidos y en todo el mundo. Enseño política y tecnología de ciberseguridad en la Harvard Kennedy School of Authorities. Mis dos libros más recientes, Datos y Goliat – sobre vigilancia – y Haga clic aquí para matar a todos – sobre la seguridad de IoT – se trata realmente de las implicaciones políticas de la tecnología.

Durante ese tiempo, he observado muchas otras diferencias entre tecnólogos y formuladores de políticas, diferencias que nosotros en ciberseguridad debemos comprender si queremos traducir nuestras soluciones tecnológicas en resultados de políticas viables.

Los tecnólogos no intentan considerar todos los casos de uso de una tecnología determinada. Tendemos a construir algo para los usos que imaginamos, y esperamos que otros puedan descubrir formas nuevas e innovadoras de extender lo que creamos. Nos encanta cuando hay un nuevo uso de una tecnología que nunca consideramos y que cambia el mundo. Y si bien podríamos ser buenos en la seguridad con respecto a los casos de uso que imaginamos, a menudo nos sorprenden cuando se trata de nuevos usos o casos extremos. (Los riesgos de autenticación que rodean a la pareja íntima de alguien son un buen ejemplo).

La política no funciona de esa manera Está específicamente enfocado en el uso. Se enfoca en las personas y lo que hacen. Los responsables políticos no pueden crear políticas en torno a una pieza de tecnología sin entender cómo se united states, cómo se united states of america todo.

La política a menudo está impulsada por eventos excepcionales, como el deseo del FBI de romper el cifrado en el Apple iphone del tirador de San Bernardino. (La Ley PATRIOTA es el ejemplo más atroz que se me ocurre). Los tecnólogos tienden a considerar casos de uso más generales, como el valor typical del cifrado fuerte para la seguridad social. La política tiende a centrarse en el pasado, haciendo que los sistemas existentes funcionen o corrigiendo los errores que han sucedido. Es difícil imaginar a los creadores de políticas creando leyes en torno a los sistemas de realidad digital, porque todavía no existen de manera significativa. La tecnología está inherentemente enfocada en el futuro. Los tecnólogos intentan imaginar mejores sistemas, o fallas futuras en los sistemas actuales, y trabajan para mejorar las cosas.

Como tecnólogos, iteramos. Es cómo escribimos el software package. Es cómo colocamos productos. Sabemos que no podemos hacerlo bien la primera vez, por lo que hemos desarrollado todo tipo de sistemas ágiles para lidiar con ese hecho. La formulación de políticas es a menudo lo contrario. Las leyes federales de los EE. UU. Tardan meses o años en negociarse y aprobarse, y después de eso, el problema no se aborda nuevamente durante una década o más. Es mucho más crítico hacerlo bien la primera vez, porque los efectos de hacerlo mal son duraderos. (Ver, por ejemplo, partes del RGPD). A veces, las agencias reguladoras pueden ser más ágiles. Los tribunales también pueden repetir la política, pero es más lenta.

En líneas similares, los dos grupos trabajan en marcos de tiempo muy diferentes. Los ingenieros, condicionados por la ley de Moore, han pensado durante 18 meses como el tiempo máximo para implementar un nuevo producto, y ahora piensan en términos de implementación continua de nuevas características. Como dije anteriormente, los formuladores de políticas tienden a pensar en términos de varios años para implementar una ley o regulación, y luego más años a medida que la jurisprudencia se acumula a su alrededor para que todos sepan lo que realmente significa. Es como las tortugas y los colibríes.

La tecnología es inherentemente world. A menudo se desarrolla con sensibilidades locales de acuerdo con las leyes locales, pero necesariamente tiene un alcance world wide. La política es siempre jurisdiccional. Esta diferencia está causando todo tipo de problemas para los servicios globales en la nube que usamos todos los días. Los proveedores no pueden operar sus sistemas globales de conformidad con más de 200 requisitos nacionales diferentes, y a veces conflictivos. Los encargados de formular políticas a menudo no se impresionan con los reclamos de incapacidad las leyes son leyes, dicen, y si Fb puede traducir su sitio net al francés para los franceses, también puede implementar sus leyes nacionales.

La tecnología y la política utilizan conceptos de confianza, pero de manera diferente. Los tecnólogos tienden a pensar en la confianza en términos de controles sobre el comportamiento. Estamos mejorando, el trabajo reciente de NIST sobre confianza es un buen ejemplo, pero tenemos un largo camino por recorrer. Por ejemplo, el Departamento de Confianza y Seguridad de Google realiza una gran cantidad de trabajo de IA y ética centrado principalmente en los controles tecnológicos. Los formuladores de políticas piensan en la confianza en términos sociales más holísticos: confianza en las instituciones, confianza como la capacidad de no preocuparse por los resultados adversos, confianza del consumidor. Esta dicotomía explica cómo los técnicos pueden afirmar que Bitcoin es confiable debido a la fuerte criptografía, pero los responsables de las políticas no pueden imaginar llamar a un sistema confiable cuando pierde todo su dinero si olvida su clave de cifrado.

La política es cómo la sociedad media cómo los individuos interactúan con la sociedad. La tecnología tiene el potencial de cambiar la forma en que los individuos interactúan con la sociedad. El conflicto entre estos dos causa una fricción considerable, ya que los tecnólogos quieren que los responsables políticos se salgan del camino y no repriman la innovación, y los responsables políticos quieren que los tecnólogos dejen de moverse rápido y rompan tantas cosas.

Finalmente, los expertos en tecnología saben que el código es ley, que las restricciones y limitaciones de una tecnología son más fundamentales que cualquier cosa authorized creada por humanos. Los formuladores de políticas saben que la ley es ley y que la tecnología es solo tecnología. Podemos ver esto en la tensión entre la aplicación de la ley existente a las nuevas tecnologías y la creación de una nueva ley específicamente para esas nuevas tecnologías.

Sí, estas son todas generalizaciones y hay excepciones. Tampoco es todo o / o. Los grandes tecnólogos y formuladores de políticas pueden ver las otras perspectivas. Los mejores formuladores de políticas saben que, a pesar de todo su trabajo hacia el consenso, no progresarán redefiniendo pi como tres. Los tecnólogos reflexivos miran más allá de las demandas inmediatas de los usuarios a las formas en que los atacantes pueden abusar de sus sistemas, y también diseñan contra esos adversarios. Estas no son dos especies exóticas que participan en el primer contacto, sino cohortes que pueden aprender y tomar prestadas herramientas de la otra. Sin embargo, con demasiada frecuencia, ninguna de las partes lo intenta.

En octubre, asistí al primer Simposio de ACM sobre Informática y Derecho. El asesor de Google, Brian Carver, habló sobre su experiencia con los pocos estudiantes graduados en ciencias de la computación que asistirían a sus clases de Propiedad Intelectual y Ciberleguridad todos los años en UC Berkeley. Una de las primeras cosas que haría sería darles a los estudiantes dos casos diferentes para leer. Los casos tenían hechos casi idénticos, y los jueces que se habían pronunciado sobre ellos llegaron a conclusiones exactamente opuestas. Los estudiantes de derecho tomaron esto con calma es la forma en que funciona el sistema legal cuando está luchando con un nuevo concepto o notion. Pero sacudió a los estudiantes de informática. Estaban horrorizados de que no hubiera una sola respuesta correcta.

Pero no es así como funciona la ley, y no es así como funcionan las políticas. A medida que las tecnologías que creamos se vuelven más centrales para la sociedad, y a medida que avanzamos en la tecnología y pasamos a la esfera pública y formamos parte de los debates de políticas cada vez más importantes, es esencial que aprendamos estas lecciones. Atrás quedaron los días en que estábamos creando sistemas puramente técnicos y nuestro trabajo terminó en el teclado y la pantalla. Ahora estamos construyendo sistemas socio-técnicos complejos que literalmente están creando un mundo nuevo. Y si bien es fácil descartar a los responsables políticos por haberlo hecho mal, es importante entender que no lo son. La formulación de políticas ha existido mucho más tiempo que World-wide-web o las computadoras o cualquier tecnología. Y los desafíos esenciales de este siglo requerirán que ambos grupos trabajen juntos.

Este ensayo apareció previamente en IEEE Seguridad y privacidad.

Publicado el 21 de febrero de 2020 a las 5:54 a.m.

20 comentarios



Enlace a la noticia initial