“La buena noticia es que en realidad sabemos cómo resolver estos problemas”, dice Glenn Gerstall, consejero general de la Agencia de Seguridad Nacional hasta 2020. “Podemos solucionar la ciberseguridad. Puede ser costoso y difícil, pero sabemos cómo hacerlo. Esto no es un problema tecnológico”.
Otro gran ataque cibernético reciente vuelve a demostrar el punto: SolarWinds, una campaña de piratería rusa contra el gobierno de los EE. UU. y las principales empresas, podría haber sido neutralizada si las víctimas hubieran seguido los estándares de seguridad cibernética bien conocidos.
“Hay una tendencia a exagerar las capacidades de los piratas informáticos responsables de los principales incidentes de seguridad cibernética, prácticamente al nivel de un desastre natural u otros supuestos actos de Dios”, dice Wyden. “Eso absuelve convenientemente a las organizaciones pirateadas, sus líderes y agencias gubernamentales de cualquier responsabilidad. Pero una vez que los hechos salen a la luz, el público ha visto repetidamente que los piratas informáticos a menudo obtienen su punto de apoyo inicial porque la organización no se mantuvo al día con los parches o no configuró correctamente sus firewalls”.
Está claro para la Casa Blanca que muchas empresas no invierten y no invertirán lo suficiente en seguridad cibernética por su cuenta. En los últimos seis meses, la administración promulgó nuevas reglas de ciberseguridad para bancos, oleoductos, sistemas ferroviarios, aerolíneas y aeropuertos. Biden firmó un acuerdo de ciberseguridad orden ejecutiva
La mayoría de las nuevas reglas se han convertido en requisitos muy básicos y un ligero toque gubernamental, pero aún así han recibido el rechazo de las empresas. Aun así, está claro que vendrán más.
“Hay tres cosas importantes que se necesitan para arreglar el lamentable estado actual de la ciberseguridad de EE. UU.”, dice Wyden. “Estándares mínimos obligatorios de ciberseguridad aplicados por los reguladores; auditorías de ciberseguridad obligatorias, realizadas por auditores independientes que no son elegidos por las empresas que están auditando, con los resultados entregados a los reguladores; y multas elevadas, incluido el tiempo en la cárcel para los altos ejecutivos, cuando la falta de práctica de la higiene cibernética básica da como resultado una infracción”.
La nueva regulación de notificación obligatoria de incidentes, que se convirtió en ley el martes, se considera un primer paso. La ley requiere que las empresas privadas compartan rápidamente información sobre amenazas compartidas que solían mantener en secreto, aunque esa información exacta a menudo puede ayudar a construir una defensa colectiva más sólida.
Los intentos previos de regulación han fracasado, pero el último impulso para una nueva ley de informes ganó impulso debido al apoyo clave de gigantes corporativos como el director ejecutivo de Mandiant, Kevin Mandia, y el presidente de Microsoft, Brad Smith. Es una señal de que los líderes del sector privado ahora ven la regulación como inevitable y, en áreas clave, beneficiosa.
Inglis enfatiza que la elaboración y aplicación de nuevas reglas requerirá una estrecha colaboración en cada paso entre el gobierno y las empresas privadas. E incluso desde dentro del sector privado, hay acuerdo en que se necesita un cambio.
“Hace mucho tiempo que lo intentamos de manera puramente voluntaria”, dice Michael Daniel, quien dirige Cyber Threat Alliance, una colección de empresas tecnológicas que comparten información sobre amenazas cibernéticas para formar una mejor defensa colectiva. “No va tan rápido ni tan bien como necesitamos”.
La vista desde el otro lado del Atlántico
Desde la Casa Blanca, Inglis argumenta que Estados Unidos se ha quedado atrás de sus aliados. Señala al Centro Nacional de Ciberseguridad (NCSC) del Reino Unido como una agencia de ciberseguridad gubernamental pionera de la que EE. UU. necesita aprender. Ciaran Martin, el CEO fundador del NCSC, ve el enfoque estadounidense de la cibernética con confuso asombro.
“Si una empresa de energía británica le hubiera hecho al gobierno británico lo que Colonial le hizo al gobierno de EE.UU., les habríamos arrancado verbalmente al más alto nivel”, dice. “Habría hecho que el primer ministro llamara al presidente para decirle: ‘¿Qué diablos crees que estás haciendo pagando un rescate y apagando este oleoducto sin decírnoslo?’”.