Cybersecurity: What India needs to do


Cyberattacks on Estonian networks in 2007, on Georgian networks in 2008, and the Stuxnet attack in 2010 that destroyed the Iranian uranium enrichment centrifuges alerted the world to the reality of cyberwarfare.

Attacks are often anonymous and difficult to attribute to specific actors, state or nonstate. Advanced Precision Threats (APTs) carried out by anonymous hackers are often silent and go unnoticed for long periods.

Detecting and responding to such attacks is a daunting task. Analysts have been debating whether cyber deterrence, on the lines of nuclear deterrence, can dissuade such attackers.

Cyber deterrence can be of two kinds: by denying attacks (defensive) and by punishment (offensive). Cyber defences are raised so that the attacker is unable to pierce the adversary’s networks. In the latter case, the cyber attacker is assured of a devastating response.

Evidently, neither deterrence by denial nor by punishment works in cyberspace. Attackers are able to bypass the best of cyber defences. For offensive cyber deterrence, it is necessary to identify the attacker with pinpointed accuracy. But attribution is the Achilles heel of offensive cyber deterrence.

Indiscriminate targeting could prove to be more destabilising and counterproductive. Some analysts have argued that for cyber deterrence to hold, the response need not always be in cyberspace. It can be in political, economic or military domains.

The attackers’ assets can be targeted in a kinetic military response. Economic sanctions can be imposed. Irrespective of the problems associated with the efficacy of the concept of cyber deterrence, countries are acquiring offensive capabilities in cyberspace. They are building bits of software called ‘cyberweapons’ that can do enormous damage to the adversary’s networks.

The Indian military needs to make aproper assessment of an offensive cyber doctrine adopted by many countries and undertake action that goes beyond simply the building of defensive capabilities. Offensive cyber response is not limited to states alone.

Much like state actors, many companies are developing their own capabilities of going after suspected cyberattackers in what is called ‘hunting’. Such unchecked proliferationof offensive cyber tools and practices can destabilise the entire cyberspace in the absence of any accepted norms of behaviour.

The international community has been unable to agree on suitable norms of behaviour in cyberspace. In 2013, the UN Group of Government and Experts (UNGGE) had suggested 11norms.

However, implementing them in cyberspace is a difficult task. In a major setback to the process of norms development, the 2015 UNGGE failed to arrive at a consensus. Presently, there are no acceptable norms of behaviour in cyberspace.

In India, it is imperative that cyber networks, software and cyber-physical systems, and platforms should be cyber-secure. This requires a judicious mix of people, policies and technology, as well as robust public-private partnership.

The reliance on imported information and communication technology (ICT) products and our inability to screen them for vulnerabilities is a major cybersecurity risk.

Institutions such as the National Cybersecurity Coordinator (NCC), National Technical Research Organisation, Computer Emergency Response Team and the National Cyber Security Coordinator Centre are all doing a reasonable job. But they suffer from the lack of skilled manpower and proper coordination.

The existing National Information Board (NIB), headed by the National Security Adviser (NSA), duly empowered, can play the role of an apex body in India. NCC, set up in 2015 as a part of the National Security Council Secretariat, should be strengthened to bring about amuch-needed synergy among various institutions and to work out a coordinated approach to cyber security, including cyber deterrence.

Comments

Popular posts from this blog

School on your fingertips

Looking For Library Management System Software ?

Give A New Lease Of Life To Library Management Software With Inventive IT Services Pvt.Ltd.