La estrategia de ciberseguridad de Biden asigna responsabilidad a las empresas tecnológicas

WASHINGTON — La administración Biden emitió el jueves una nueva estrategia de seguridad cibernética que insta a los fabricantes de software y a la industria estadounidense a asumir una responsabilidad mucho mayor para garantizar que sus sistemas no puedan ser pirateados, al tiempo que acelera los esfuerzos de la Oficina Federal de Investigaciones y el Departamento de Defensa para interrumpir el actividades de piratas informáticos y grupos de ransomware en todo el mundo.

Durante años, el gobierno ha presionado a las empresas para que informen voluntariamente las intrusiones en sus sistemas y parcheen regularmente sus programas para corregir las vulnerabilidades recién descubiertas, como lo hace un iPhone con actualizaciones automáticas cada pocas semanas.

Pero la nueva Estrategia Nacional de Ciberseguridad concluye que tales esfuerzos de buena fe son útiles pero insuficientes en un mundo de intentos constantes por parte de piratas informáticos sofisticados, a menudo respaldados por Rusia, China, Irán o Corea del Norte, para acceder a redes gubernamentales y privadas críticas. En cambio, se debe exigir a las empresas que cumplan con los estándares mínimos de ciberseguridad, sostiene la nueva estrategia.

La estrategia es un documento de política, no una orden ejecutiva, aunque representa un cambio significativo en la actitud hacia las “asociaciones público-privadas” de las que el gobierno ha hablado durante años. Si bien algunos aspectos de la nueva estrategia ya están implementados, otros requerirían cambios legislativos, lo que podría ser un gran desafío en un Congreso dominado por los republicanos. Y el gobierno federal no tiene la capacidad de imponer requisitos de seguridad cibernética en instalaciones estatales como hospitales, que han sido blanco de piratas informáticos.

“El reconocimiento fundamental en la estrategia es que un enfoque voluntario para asegurar” la infraestructura y las redes críticas “es inadecuado”, dijo Anne Neuberger, asesora adjunta de seguridad nacional para tecnologías cibernéticas y emergentes, en un evento en el Centro de Estudios Estratégicos e Internacionales. , un grupo de expertos de Washington.

Cada administración desde la de George W. Bush, hace 20 años, ha emitido una estrategia de seguridad cibernética de algún tipo, generalmente una vez en una presidencia. Pero la del presidente Biden difiere de las versiones anteriores en varios aspectos, principalmente al instar a mandatos mucho mayores a la industria privada, que controla la gran mayoría de la infraestructura digital de la nación, y al ampliar el papel del gobierno para tomar medidas ofensivas para prevenir ataques cibernéticos. especialmente del extranjero.

La estrategia de la administración Biden prevé lo que llama “cambios fundamentales en la dinámica subyacente del ecosistema digital”. Si se promulga en nuevas regulaciones y leyes, obligaría a las empresas a implementar medidas mínimas de seguridad cibernética para la infraestructura crítica y, tal vez, impondría responsabilidad a las empresas que no aseguran su código, al igual que los fabricantes de automóviles y sus proveedores son responsables de las bolsas de aire defectuosas o defectuosas. frenos.

“Simplemente vuelve a imaginar el contrato cibersocial estadounidense”, dijo Kemba Walden, directora cibernética nacional interina, un puesto de la Casa Blanca creado por el Congreso hace dos años. “Esperamos más de esos propietarios y operadores en nuestra infraestructura crítica”, agregó la Sra. Walden, quien asumió el cargo el mes pasado después de que renunció el primer director cibernético del país, Chris Inglis, ex subdirector de la Agencia de Seguridad Nacional.

El gobierno también tiene una mayor responsabilidad, agregó, de reforzar las defensas e interrumpir a los principales grupos de piratas informáticos que han bloqueado los registros hospitalarios o congelado las operaciones de las empacadoras de carne en todo el país, junto con las operaciones gubernamentales en Baltimore, Atlanta y pequeños pueblos de Texas. .

“Tenemos el deber de hacer eso”, dijo la Sra. Walden, “porque Internet ahora es un bien común global, esencialmente. Por lo tanto, esperamos más de nuestros socios en el sector privado, las organizaciones sin fines de lucro y la industria, pero también esperamos más de nosotros mismos”.

Leído junto con las estrategias de seguridad cibernética emitidas por los tres presidentes anteriores, el nuevo documento refleja cómo la ofensiva y la defensa en la esfera se han vuelto cada vez más centrales para la política de seguridad nacional.

El gobierno de Bush nunca reconoció públicamente las capacidades estadounidenses de ciberataque, incluso cuando montó el ciberataque más sofisticado que un estado jamás haya dirigido a otro: un esfuerzo encubierto para usar código para sabotear las instalaciones de combustible nuclear de Irán. La administración de Obama se mostró reacia a nombrar a Rusia y China como las potencias detrás de los principales ataques del gobierno de EE. UU.

La administración Trump reforzó las iniciativas ofensivas estadounidenses contra los piratas informáticos y los actores respaldados por el estado en el extranjero. También dio la alarma de que Huawei, el gigante chino de las telecomunicaciones al que acusó de ser un brazo del gobierno chino, instaló redes 5G de alta velocidad en los Estados Unidos y entre aliados, por temor a que el control de dichas redes por parte de la empresa ayudaría a vigilancia china o permitir que Beijing apague los sistemas en un momento de conflicto.

Cómo los reporteros del Times cubren la política. Confiamos en que nuestros periodistas sean observadores independientes. Entonces, si bien los miembros del personal del Times pueden votar, no se les permite respaldar o hacer campaña por candidatos o causas políticas. Esto incluye participar en marchas o mítines en apoyo de un movimiento o dar dinero o recaudar dinero para cualquier candidato político o causa electoral.

Pero la administración Trump fue menos activa en exigir a las empresas estadounidenses que establecieran protecciones mínimas en la infraestructura crítica, o en tratar de responsabilizar a esas empresas por daños si se explotaban las vulnerabilidades que habían dejado sin abordar.

Imponer nuevas formas de responsabilidad requeriría cambios legislativos importantes, y algunos funcionarios de la Casa Blanca reconocieron que Biden podría enfrentar una oposición insuperable de los republicanos en el Congreso si buscaba aprobar nuevas regulaciones corporativas tan amplias.

La decisión de la administración Biden de establecer la responsabilidad corporativa por no satisfacer las necesidades básicas de seguridad “tendrá ramificaciones de décadas”, dijo Glenn S. Gerstell, exconsejero general de la Agencia de Seguridad Nacional.

“En el mundo cibernético, finalmente estamos diciendo que Ford es responsable de los Pintos que se incendiaron, porque no gastaron dinero en seguridad”, agregó, refiriéndose al famoso auto combustible que fue retirado del mercado en 1978.

Muchos elementos de la nueva estrategia ya están en marcha. De alguna manera, se está poniendo al día con los pasos que tomó la administración de Biden después de luchar durante su primer año, que comenzó con importantes ataques a los sistemas utilizados tanto por la industria privada como por el ejército.

Después de que un grupo de ransomware ruso cerró las operaciones de Colonial Pipeline, que maneja gran parte de la gasolina y el combustible para aviones a lo largo de la costa este, la administración Biden utilizó autoridades legales poco conocidas en poder de la Administración de Seguridad del Transporte para regular la vasta red de energía del país. tuberías Los propietarios y operadores de tuberías ahora deben someterse a estándares de gran alcance establecidos en gran parte por el gobierno federal y, más adelante esta semana, se espera que la Agencia de Protección Ambiental haga lo mismo con las tuberías de agua.

No existen autoridades federales paralelas para exigir estándares mínimos de ciberseguridad en los hospitales, que en gran medida están regulados por los estados. Los centros de salud han sido otro objetivo de los ataques, desde Vermont hasta Florida.

“Deberíamos haber estado haciendo muchas de estas cosas hace años después de que los ataques cibernéticos se usaron por primera vez para interrumpir el suministro eléctrico a miles de personas en Ucrania”, dijo Neuberger en una entrevista el miércoles. Se refería a una serie de ataques a la red eléctrica ucraniana que comenzaron hace siete años.

Ahora, dijo, “estamos improvisando literalmente un enfoque sector por sector que cubre la infraestructura crítica”.

La Sra. Neuberger citó a Ucrania como un ejemplo de una estrategia proactiva de ciberdefensa: en las semanas posteriores a la invasión rusa, Ucrania cambió sus leyes para permitir que los ministerios trasladaran sus bases de datos y muchas operaciones gubernamentales a la nube, respaldando servidores informáticos y centros de datos en Kiev. y otras ciudades que luego fueron objetivos de la artillería rusa. En cuestión de semanas, muchas de esas granjas de servidores fueron destruidas, pero el gobierno siguió funcionando, comunicándose con servidores en el extranjero utilizando sistemas satelitales como Starlink, también instalados después de que estalló la guerra.

La estrategia estadounidense se está poniendo al día con su programa ofensivo, que se ha vuelto cada vez más agresivo. Hace dos años, el FBI comenzó a utilizar órdenes de registro para encontrar y desmantelar fragmentos de código malicioso encontrados en redes corporativas. Más recientemente, pirateó las redes de un grupo de ransomware, eliminó las “claves de descifrado” que desbloquearían los documentos y sistemas pertenecientes a las víctimas del grupo y frustró los esfuerzos para cobrar grandes rescates.

El FBI puede operar en redes domésticas; Depende del Comando Cibernético de EE. UU. perseguir a los grupos de piratería rusos como Killnet, un grupo pro-Moscú responsable de una serie de ataques de denegación de servicio que comenzaron en los primeros días de la guerra en Ucrania. Cyber ​​​​Command también ralentizó las operaciones de las agencias de inteligencia rusas alrededor de las elecciones estadounidenses de 2018 y 2020.

Pero ninguna de esas son soluciones permanentes; algunos grupos a los que Estados Unidos ha apuntado se han formulado de nuevo, a menudo con nombres diferentes.

La única reunión cara a cara de Biden como presidente con el líder de Rusia, Vladimir V. Putin, en 2021 en Ginebra, fue impulsada en gran medida por el temor de que los crecientes ataques de ransomware afectaran la vida de los consumidores, pacientes de hospitales y trabajadores de fábricas. El Sr. Biden advirtió al líder ruso que su gobierno sería responsable de los ataques que emanaran del territorio ruso.

Hubo una pausa durante varios meses, y las autoridades rusas allanaron un destacado grupo de piratas informáticos en Moscú. Pero esa cooperación terminó con la apertura de la guerra en Ucrania.

En un discurso esta semana en la Universidad Carnegie Mellon, Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, describió los esfuerzos de la administración como “transferir la responsabilidad a aquellas entidades que no cumplen con el deber de cuidado que deben a sus clientes .”

“Tanto los consumidores como las empresas esperan que los productos comprados a un proveedor de confianza funcionen de la manera en que se supone que deben hacerlo y no presenten un riesgo excesivo”, dijo la Sra. Easterly. Agregó que la administración necesitaba “avanzar en la legislación para evitar que los fabricantes de tecnología renuncien a la responsabilidad por contrato”, una práctica común que pocos notan en la letra pequeña de las compras de software.