La Casa Blanca ha publicado su Estrategia Nacional de Ciberseguridad, que prevé un papel mucho más importante para los proveedores de software y tecnología de EE. UU. en la lucha contra el creciente número de amenazas cibernéticas.
Publicada el 3 de marzo de 2023, la estrategia establece el plan de la administración Biden para realizar dos cambios fundamentales en la forma en que EE. UU. aborda la seguridad cibernética.
El primer cambio implica una colaboración mucho más estrecha entre el gobierno y la industria, y la estrategia señala que las organizaciones con la experiencia y los recursos necesarios deberían ser las que asuman la carga de lidiar con las ciberamenazas.
“Nuestra resiliencia cibernética colectiva no puede depender de la vigilancia constante de nuestras organizaciones más pequeñas y ciudadanos individuales”, dijo. “En cambio, tanto en el sector público como en el privado, debemos pedir más a los actores más capaces y mejor posicionados para hacer que nuestro ecosistema digital sea seguro y resistente”.
Agregó que esto incluiría varios organismos o iniciativas de seguridad cibernética nacionales y federales, así como una amplia gama de actores privados: “El gobierno federal [will] también profundizar la colaboración operativa y estratégica con proveedores de software, hardware y servicios administrados con la capacidad de remodelar el panorama cibernético a favor de una mayor seguridad y resiliencia”.
Biden firmó previamente una Orden Ejecutiva en mayo de 2021 para fortalecer las defensas cibernéticas de Estados Unidos, con un gran énfasis en las asociaciones público-privadas y el intercambio de información, que la administración describió en ese momento como “el primero de muchos pasos ambiciosos” para modernizar los EE. UU. ‘ Ciberdefensas.
Más tarde firmó un nuevo mandato de informe de incidentes de seguridad cibernética en ley en marzo de 2022, por lo que es un requisito legal para los operadores de infraestructura nacional crítica revelar los ataques cibernéticos al gobierno de los EE. UU.
Además de reequilibrar la responsabilidad de defender el ciberespacio, la estrategia también tiene como objetivo realinear los incentivos para favorecer la inversión a largo plazo, de modo que EE. UU. pueda hacer que su ciberespacio sea “más inherentemente defendible y resistente” en el futuro.
“Debemos asegurarnos de que las fuerzas del mercado y los programas públicos recompensen la seguridad y la resiliencia, construyan una fuerza de trabajo cibernética robusta y diversa, adopten la seguridad y la resiliencia por diseño, coordinen estratégicamente las inversiones en investigación y desarrollo en seguridad cibernética y promuevan la administración colaborativa de nuestro ecosistema digital. ,” decía.
Para lograr estos dos “cambios fundamentales” en el enfoque de seguridad cibernética de EE. UU., la estrategia describe cinco pilares: defender la infraestructura crítica; interrumpir y desmantelar a los actores de amenazas; dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia; invertir en un futuro resiliente; y forjar alianzas internacionales para perseguir objetivos compartidos.
En términos del papel del sector privado, la Casa Blanca dijo en una hoja informativa que estos pilares implicarían permitir que la colaboración público-privada funcione a la velocidad y escala necesarias; involucrar al sector privado I amenazas actividades de disrupción del actor; y desviar la responsabilidad por fallas de seguridad a las empresas de software
Agregó que, de manera más general, la Casa Blanca trabajará para expandir el uso de requisitos mínimos de seguridad cibernética; modernizar las redes federales y las políticas de respuesta a incidentes; promover la privacidad y seguridad de los datos personales; y emplear estratégicamente “todas las herramientas del poder nacional” para interrumpir a los adversarios.
La estrategia sería implementada por el Consejo de Seguridad Nacional (NSC) en coordinación con la Oficina de Administración y Presupuesto (OMB) y la Oficina del Director Nacional Cibernético (ONCD), que tendrá la tarea de presentar informes anuales al presidente y al congreso sobre la eficacia de la estrategia.
Brian Fox, cofundador y director de tecnología de la empresa de administración de la cadena de suministro de software Sonatype, quien contribuyó al desarrollo de la estrategia, elogió el movimiento de la estrategia para garantizar que los proveedores tengan una mayor responsabilidad por los riesgos de seguridad cibernética.
“Log4shell fue el ímpetu de los llamados a la acción para una mejor seguridad de la cadena de suministro de software por parte de los gobiernos de todo el mundo”, dijo, y agregó que la estrategia es un “momento histórico para la industria” que indica una comprensión matizada del panorama de amenazas actual.
“Las fuerzas del mercado están conduciendo a una carrera a la baja en ciertas industrias, mientras que la ley de contratos permite a los proveedores de software de todo tipo protegerse de la responsabilidad… la estrategia comienza acertadamente eliminando la capacidad de los proveedores de renunciar a toda responsabilidad, mientras que reconociendo que incluso un proceso de seguridad perfecto no puede garantizar resultados perfectos”.
Agregó que la estrategia también se mueve para retener a las empresas que recopilan cantidades masivas de información y luego dejar esa información abierta a los atacantes con pocos recursos para rendir cuentas.
“Sin cambios en la regulación, las ramificaciones de este tipo de infracciones pueden ser enormes para los consumidores, mientras que las demandas resultantes equivalen a un error de redondeo y un costo de hacer negocios para estas empresas”, dijo. “Cambiar la dinámica de la rendición de cuentas es la única forma de impulsar los resultados adecuados. Pero es solo el comienzo de una conversación mucho más grande”.
Michael McPherson, vicepresidente senior de operaciones de seguridad de ReliaQuest, también acogió con satisfacción la estrategia y dijo que “afirma el enfoque de todo el gobierno para asociarse estrechamente con el sector privado para imponer el máximo impacto al adversario”.
“En última instancia, el gobierno de EE. UU. quiere degradar el ecosistema del adversario e imponer consecuencias por sus actividades ilícitas”, agregó. “Agencias como el FBI continuarán desempeñando un papel de liderazgo en la coordinación de esfuerzos y la conducción de estas operaciones de interrupción. Si bien habrá enormes desafíos para colaborar con el sector privado, esta estrategia describe que es imperativo para la seguridad nacional”.