El miércoles, el presidente Biden firmó un Memorando de seguridad nacional que tiene como objetivo mejorar la ciberseguridad nacional.
Dirige a la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional (CISA) y al Instituto Nacional de Estándares y Tecnología (NIST) del Departamento de Comercio para que colaboren con otras agencias para desarrollar estándares de desempeño de seguridad cibernética para empresas en los EE. UU. Que brindan servicios esenciales como energía. , agua y transporte. Cuando los sistemas que controlan estas infraestructuras vitales funcionan mal o se interrumpen debido a un incidente, como un ataque de ransomware, puede poner en peligro la seguridad nacional, la seguridad económica, así como la salud y la seguridad públicas.
El memorando también establece formalmente la Iniciativa de Ciberseguridad del Sistema de Control Industrial (ICS) del Presidente, que es un esfuerzo voluntario y colaborativo entre el gobierno federal y la comunidad de infraestructura crítica para establecer sistemas que puedan detectar ciberamenazas y enviar alertas oportunas. Arrancó la Iniciativa ICS a mediados de abril con un piloto del Subsector de Electricidad, en el que el Departamento de Energía trabajó con más de 150 empresas eléctricas para planificar e implementar tecnología de ciberseguridad para sus sistemas de control. Los funcionarios también reunieron a varios directores ejecutivos de empresas de servicios públicos y proyectos para informarles sobre las amenazas a la seguridad cibernética.
La Administración de Seguridad en el Transporte (TSA) del Departamento de Seguridad Nacional lanzó una directiva a principios de este año que requiere que los propietarios y operadores de oleoductos críticos informen sobre incidentes de ciberseguridad, así como que sus prácticas actuales sean revisadas por un Coordinador de Ciberseguridad designado después de que un importante oleoducto fuera atacado por ransomware. En Mayo.
[Related: How a ransomware attack shut down a major US fuel pipeline]
Y la semana pasada, la TSA emitió una segunda directiva que requiere que los propietarios y operadores de gasoductos que transportan líquidos peligrosos y gas natural instalen medidas que puedan proteger contra ransomware y otros ciberataques. También requieren el desarrollo de un plan de recuperación. Los propietarios deberán revisar su diseño de ciberseguridad todos los años.
“Los recientes ataques de alto perfil a la infraestructura crítica en todo el mundo, incluidos los ataques de ransomware en Colonial Pipeline y JBS Foods en los Estados Unidos, demuestran que existen importantes vulnerabilidades cibernéticas en la infraestructura crítica de EE. UU., Que es en gran parte propiedad y está operada por el sector privado “, Dijo un alto funcionario de la administración en una llamada de prensa el martes por la noche, según una transcripción de la discusión.
El Memorando de Seguridad Nacional, la Iniciativa de Ciberseguridad del Sistema de Control Industrial y las Directivas de Seguridad de la Administración de Seguridad del Transporte se incorporan al esfuerzo continuo de la administración para modernizar la defensa de la ciberseguridad nacional. La administración también ha estado en conversaciones con otros países sobre la construcción de una defensa colectiva.
[Related: What Biden’s big executive order means for the internet, air travel, and more]
Sin embargo, a día de hoy, no existe un requisito estratégico y coordinado para la ciberseguridad de la infraestructura crítica en los EE. UU. El alto funcionario de la administración señaló en la llamada que los requisitos obligatorios de ciberseguridad son específicos del sector (en el caso de las finanzas y los productos químicos), regulados por la ley estatal o local (como para la electricidad), o son limitados y parciales (como para el agua). y electricidad a granel).
“Asegurar nuestra infraestructura crítica requiere un esfuerzo de toda la nación, y la industria tiene que hacer su parte. Estos pueden ser voluntarios, pero esperamos y esperamos que todos los propietarios y operadores de infraestructura crítica responsables los apliquen ”, dijo el alto funcionario. “No podemos enfatizar lo suficiente que les deben a los estadounidenses que prestan servicios para que estos servicios críticos tengan más capacidad de recuperación … Comenzamos con el voluntariado, tanto como podamos, porque queremos hacer esto en plena asociación. Pero también estamos buscando todas las opciones que tenemos para lograr el rápido progreso que necesitamos “.