¿Está llegando la regulación de seguridad del BGP?

Es posible que hayas visto la respuesta de la Internet Society (ISOC) al "Borrador de Decisión y Orden Declarativa en el Procedimiento de Internet Abierto" publicado recientemente por la Comisión Federal de Comunicaciones de los Estados Unidos (FCC), donde cierto lenguaje relacionado con la seguridad del Protocolo de Puerta de Enlace Fronterizo (BGP) está generando cierta preocupación dentro de la comunidad. La publicación de ISOC afirma que esta decisión "...implica fuertemente la intención de la FCC de regular la seguridad de enrutamiento (BGP)."

La publicación presenta esto como un área de preocupación, con ISOC y la Alianza Global de Ciberseguridad (GCA) recomendando no regular la seguridad del BGP. Esto se debe a tres razones declaradas:

• El efecto que la regulación a menudo tiene de frenar el progreso mientras la industria revisa sus obligaciones e implicaciones legales.
• La tensión competitiva que puede surgir del comportamiento regulado.
• Preocupaciones de fragmentación a medida que otras economías se apresuran a reflejar esta decisión pero implementan diferentes estrategias. Si bien estos riesgos son reales, es poco probable que impidan que la FCC actúe.

En primer lugar, las telecomunicaciones siempre han estado reguladas.

En las últimas décadas, los reguladores pueden haber tendido hacia un enfoque de "toque suave". Aún así, los operadores tienen tanto protecciones (en forma de defensas de portador común contra la conducta de mensajes sobre sus sistemas) como obligaciones (como la necesidad de proporcionar servicios de intercepción legal bajo proceso judicial).

En segundo lugar, los riesgos para la integridad de la función de Internet son reales. Estas amenazas provienen de entidades criminales maliciosas, estados adversarios e incluso desde dentro de la economía. Estos disruptores afectan funciones vitales de Internet, que son cruciales para las comunicaciones básicas, los servicios de emergencia y las operaciones estatales como la entrega de energía y agua.

Dado el papel central de Internet en la sociedad moderna, es razonable esperar que los actores responsables de configurar el BGP cumplan con estándares básicos de higiene y documentación para sus recursos, asegurando su confiabilidad.

Actualmente, en economías como Nueva Zelanda, se requiere que los ISP informen cambios significativos en el estado de enrutamiento a las autoridades o que expliquen la pérdida de servicio bajo amenazas cibernéticas (como en Australia, donde las entidades de Internet pueden ser declaradas recursos estratégicos nacionales con obligaciones de informe).

La postura de ISOC / GCA no es particularmente sorprendente porque pocas organizaciones industriales en la esfera de la gobernanza de Internet suelen abogar o apoyar la regulación aumentada: la autorregulación de la industria tiende a ser la posición predeterminada. Sin embargo, cuando se trata de seguridad del BGP y los riesgos potenciales para el estado, el enfoque de "toque ligero" puede alcanzar los límites de riesgo que un gobierno está dispuesto a aceptar sin intervención.

¡Echa un vistazo al informe de la FCC y la respuesta de ISOC / GCA, y dime qué opinas!

La FCC posteriormente publicó una hoja informativa titulada "Informe sobre el Progreso de Mitigación del Riesgo del Protocolo de Puerta de Enlace Fronterizo" con ideas específicas de acción que impondrán obligaciones a la comunidad de ISP / BGP de EE. UU.