imágenes falsas
El jueves, la administración de Biden presionó para que se impusieran nuevas regulaciones y responsabilidades obligatorias a los fabricantes de software y proveedores de servicios en un intento de alejar la carga de defender el ciberespacio de EE. UU. de las pequeñas organizaciones y los individuos.
“Los actores más capaces y mejor posicionados en el ciberespacio deben ser mejores administradores del ecosistema digital”, escribieron los funcionarios de la administración en un documento muy esperado que documenta un informe actualizado. Estrategia Nacional de Ciberseguridad. “Hoy en día, los usuarios finales soportan una carga demasiado grande para mitigar los riesgos cibernéticos. Los individuos, las pequeñas empresas, los gobiernos estatales y locales y los operadores de infraestructura tienen recursos limitados y prioridades contrapuestas, sin embargo, las elecciones de estos actores pueden tener un impacto significativo en nuestra seguridad cibernética nacional”.
Aumento de las regulaciones y responsabilidades
El documento de 39 páginas cita ataques recientes de ransomware que han interrumpido hospitales, escuelas, servicios gubernamentales, operaciones de tuberías y otras infraestructuras críticas y servicios esenciales. Uno de los ataques de este tipo más visibles ocurrió en 2021 con un ataque de ransomware en el Oleoducto Colonial, que entrega gasolina y combustible para aviones a gran parte del sureste de los EE. UU. El ataque cerró el vasto oleoducto durante varios días, lo que provocó escasez de combustible en algunos estados.
A raíz de ese ataque, la administración impuso nuevas regulaciones sobre las tuberías de energía. El documento de estrategia del jueves señaló que es probable que marcos similares lleguen a industrias adicionales.
“Nuestro entorno estratégico requiere marcos regulatorios modernos y ágiles para la ciberseguridad adaptados al perfil de riesgo de cada sector, armonizados para reducir la duplicación, complementarios a la colaboración público-privada y conscientes del costo de implementación”, afirma el documento. “Las regulaciones de seguridad cibernética nuevas y actualizadas deben calibrarse para satisfacer las necesidades de seguridad nacional y seguridad pública, además de la seguridad de las personas, las entidades reguladas y sus empleados, clientes, operaciones y datos”.
Otro enfoque clave de la estrategia es favorecer las inversiones a largo plazo al “lograr un equilibrio cuidadoso entre defendernos contra las amenazas urgentes hoy y, al mismo tiempo, planificar estratégicamente e invertir en un futuro resiliente.
Una de las iniciativas que probablemente sea una de las más controvertidas para la industria de la tecnología es la presión para responsabilizar a las empresas por las vulnerabilidades en su software o servicios. Bajo los marcos legales existentes, estas empresas a menudo enfrentan pocas o ninguna consecuencia legal cuando se explotan sus productos o servicios, incluso cuando las vulnerabilidades son el resultado de configuraciones predeterminadas inseguras o debilidades conocidas.
“Debemos comenzar a trasladar la responsabilidad a aquellas entidades que no toman las precauciones razonables para proteger su software y al mismo tiempo reconocer que incluso los programas de seguridad de software más avanzados no pueden prevenir todas las vulnerabilidades”, afirma el documento. “Las empresas que fabrican software deben tener la libertad de innovar, pero también deben ser responsables cuando no cumplen con el deber de cuidado que les deben a los consumidores, las empresas o los proveedores de infraestructura crítica”.
cinco pilares
El documento enumera cinco “pilares” para estos objetivos. Ellos son:
1. Defensa de la infraestructura crítica. Además de ampliar las regulaciones sobre sectores críticos, el plan exige permitir la colaboración público-privada en la defensa de la infraestructura crítica y la seguridad pública y la defensa y modernización de las redes federales y las respuestas a incidentes federales.
2. Interrumpir y desmantelar a los actores de amenazas
3. Dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia. Esto incluye dar responsabilidad a aquellos dentro del ecosistema digital en la mejor posición para reducir el riesgo. Este pilar enfatiza la promoción de la privacidad y la seguridad de los datos privados, cambiando la responsabilidad sobre el software y los servicios, y asegurando que los programas de subvenciones federales fomenten las inversiones en infraestructura nueva y más segura.
4. Invertir en un futuro resiliente a través de “inversiones estratégicas y acción coordinada y colaborativa”. Esto incluiría reducir las vulnerabilidades en todo el ecosistema digital, haciéndolo más resistente contra la represión transnacional, priorizando la investigación y el desarrollo de ciberseguridad y creando una fuerza laboral nacional de ciberseguridad más sólida.
5. Forjar alianzas internacionales para lograr objetivos comunes. Algunos de los medios para lograr este objetivo son implementar o aprovechar coaliciones y asociaciones internacionales para contrarrestar las amenazas, aumentar las capacidades de defensa de ciberseguridad de los socios y trabajar con aliados.
La última vez que un presidente presentó un plan de ciberseguridad nacional fue en 2018 bajo la presidencia de Donald Trump. En los cinco años transcurridos desde entonces, EE. UU. ha experimentado una serie de ataques cibernéticos dañinos. Además de Colonial Pipeline, incluyen el ataque a la cadena de suministro de Solar Winds que salió a la luz en diciembre de 2020. Al comprometer el sistema de distribución de software de SolarWinds, los actores de amenazas que trabajaban en nombre del Kremlin enviaron malware a aproximadamente 18,000 clientes que usaban el producto de administración de red. Luego, los piratas enviaron cargas útiles de seguimiento a unas 10 agencias federales de EE. UU. y unas 100 organizaciones privadas.
Los ataques de ransomware ahora son más comunes que hace cinco años. En la estrategia, los funcionarios de la administración escribieron:
Dado el impacto del ransomware en los servicios de infraestructura crítica clave, Estados Unidos empleará todos los elementos del poder nacional para contrarrestar la amenaza a lo largo de cuatro líneas de esfuerzo: (1) aprovechar la cooperación internacional para interrumpir el ecosistema de ransomware y aislar a los países que brindan refugio seguro para los delincuentes ; (2) investigar delitos de ransomware y utilizar las fuerzas del orden y otras autoridades para interrumpir la infraestructura y los actores del ransomware; (3) reforzar la resiliencia de la infraestructura crítica para resistir los ataques de ransomware; y (4) abordar el abuso de la moneda virtual para lavar los pagos de rescate.
El documento también reclasifica el ransomware como una amenaza para la seguridad nacional, mientras que anteriormente se consideraba una amenaza criminal.
El plan será coordinado por el Consejo de Seguridad Nacional, la Oficina de Administración y Presupuesto de la Casa Blanca y la Oficina del Director Nacional Cibernético. Esos organismos brindan informes anuales al presidente y al Congreso de los EE. UU. para actualizar la implementación y efectividad del plan. Estos organismos también brindarán orientación cada año a las agencias federales. La Casa Blanca proporcionó esta hoja informativa resumiendo el plan.