por Sarah Kreps
Promete trasladar la responsabilidad a las empresas privadas y crear incentivos para defenderse de las vulnerabilidades críticas.
• • •
El 2 de marzo de 2023, la administración de Biden publicó su tan esperada Estrategia nacional de ciberseguridad. A la luz de los ciberataques contra la infraestructura, las empresas y las agencias gubernamentales estadounidenses, el documento sitúa la ciberseguridad como un componente fundamental de la prosperidad económica y la seguridad nacional de los Estados Unidos. También plantea un dilema fundamental, y es que el sector privado —con las principales partes interesadas que constan de firmas de software, pequeñas y medianas empresas, proveedores de banda ancha y empresas de servicios públicos— tiene la clave del bien público de la ciberseguridad:
Las continuas interrupciones de la infraestructura crítica y los robos de datos personales dejan claro que las fuerzas del mercado por sí solas no han bastado para impulsar la adopción generalizada de las mejores prácticas en ciberseguridad y resiliencia.
El progreso voluntario hacia una mejor ciberhigiene por parte del sector privado ya no basta. En cambio, la nueva estrategia promete respaldar nuevos marcos regulatorios que cambien la responsabilidad y creen incentivos para que las empresas privadas se defiendan de las vulnerabilidades críticas.
Por qué un documento del sector público se centra en el sector privado
El sector privado ha llamado la atención de un sector público cibercauteloso debido a una serie de ciberincidentes de alto perfil en los últimos años. En 2017, agencia de crédito al cliente Equifax sufrió un hackeo que comprometió la información personal de más de 143 millones de estadounidenses y llevó a 425 millones de $ acuerdo con la Comisión Federal de Comercio. Los actores malintencionados utilizan cada vez más el ransomware contra las empresas estadounidenses, exigiendo grandes sumas de dinero para el intercambio seguro de datos confidenciales.
El ransomware sigue siendo una táctica popular entre los hackers, precisamente porque estas campañas suelen tener éxito a la hora de generar lucrativos pagos. Según Los análisis de Comparitech de los incidentes de ransomware en los EE. UU., los ataques de ransomware a empresas estadounidenses costaron 20 900 millones de $ entre 2018 y 2023, con una demanda media de rescate de 4,15 millones de dólares para las empresas afectadas en 2022. Por ejemplo, Oleoducto Colonial, que transporta 100 millones de galones de combustible al día, o 45% de todo el combustible utilizado en la costa este, sufrió una devastadora violación de ransomware en 2021, el mayor ataque divulgado públicamente contra una infraestructura petrolera crítica de EE. UU. de la historia. El autor, DarkSide, robó 100 gigabytes de datos en dos horas y amenazó con divulgarlos a menos que la empresa pagara 75 bitcoins al grupo, con un valor aproximado de 5 millones de dólares en ese momento, que Colonial Pipeline pagó en unas horas, chantajeado para que actuara por lo perturbador del ataque.
Ninguna parte de la economía es inmune. Como en 2021 encuesta según el Centro de Estudios Estratégicos e Internacionales, el 42% de las pequeñas y medianas empresas sufrieron un ciberataque en el último año y estimaciones sugieren que el 40% de los ciberataques de 2021 se concentraron en las pequeñas y medianas empresas, y que los ataques a estas empresas aumentaron150% durante los últimos dos años. La capacidad potencial de extracción de datos e ingresos podría ser inferior en comparación con la de las grandes empresas, como Microsoft, pero las pequeñas y medianas empresas también tienen menos recursos que dedicar a una ciberseguridad sólida. En algunos casos, estas empresas simplemente no tienen ninguna dedicado recursos de ciberseguridad.
Tres cosas que las empresas deben saber sobre la estrategia nacional de ciberseguridad
Mientras que el documento de 39 páginas incluye palabras de moda burocráticas como «armonizar», «partes interesadas» y «multilateral». Hemos identificado tres cosas concretas que los líderes empresariales deben saber sobre la nueva estrategia.
En primer lugar, cada empresa debe identificar sus distintas vulnerabilidades y riesgos. La estrategia de la administración Biden deja claro que el momento de las empresas voluntariamente optar por la ciberseguridad ha pasado hace tiempo. En cambio, tienen que tomar medidas proactivas para probar y entender su panorama de amenazas. Las empresas deben realizar escaneos formales de vulnerabilidades y pruebas de penetración que identifican los posibles puntos de acceso. Siempre que sea posible, las empresas deberían contratar a «hackers éticos», también conocidos como» equipos rojos», que simulan ciberataques sofisticados y revelan si los adversarios podrían acceder a datos confidenciales o generar disrupción las redes y cómo hacerlo. Las empresas también deben investigar minuciosamente a los vendedores y proveedores de software de terceros para minimizar el riesgo de ataques a través del cadena de suministro.
En segundo lugar, las empresas deben adoptar medidas que aborden esas vulnerabilidades de la cadena de suministro. Como parte de este paso, deberían aprovechar la promesa de la estrategia de colaboración entre los sectores público y privado en forma de intercambio de información, así como la orientación práctica y el apoyo sobre cómo navegar en el entorno de las ciberamenazas. De manera más general, tienen que tomar medidas preventivas, como parchear las vulnerabilidades conocidas, proporcionar regularmente formación de seguridad para los empleados e incorporar herramientas de detección de anomalías y, al mismo tiempo, garantizar que cuentan con planes de respuesta que puedan minimizar la magnitud y el daño de los hackeos exitosos.
En tercer lugar, las empresas deben reconocer que no hay una solución única para todos en lo que respecta a la ciberseguridad. Un subtexto importante de la estrategia es que se centra en establecer normas reglamentarias más agresivas para las empresas más grandes, las infraestructuras críticas y los proveedores de software.
La estrategia afirma categóricamente que «la falta de requisitos obligatorios ha dado lugar a resultados inadecuados e inconsistentes» y que impulsará una legislación que responsabilice a estas empresas «cuando no cumplan con el deber de cuidado que deben a los consumidores, las empresas o los proveedores de infraestructuras críticas». Estas firmas pueden, a su vez, tratar de dar forma a la legislación y la responsabilidad, pero la estrategia deja claro que una mayor parte de la responsabilidad en términos de encontrar y corregir las vulnerabilidades recaerá en las empresas más grandes, donde hay más en juego y los recursos abundan más. Las pequeñas empresas no están en el punto de mira (todavía), pero tampoco están exentas. También deberían buscar oportunidades de colaboración, como la recientemente lanzada por los Institutos Nacionales de Estándares y Tecnología iniciativa para fomentar la comunicación en las pequeñas empresas.
En lo que respecta a las implicaciones concretas de la nueva estrategia nacional de ciberseguridad de la administración Biden para la industria estadounidense, el diablo estará en los detalles. El documento incluye los pilares fundamentales y los objetivos nobles que cabría esperar, dado que podría decirse que el ciberespacio es ahora la columna vertebral de la economía nacional de los EE. UU. El truco consistirá en hacerlo de manera que se tengan en cuenta los desafíos realistas de identificar y corregir todas las vulnerabilidades, y los riesgos de que una atención inadecuada afecte no solo a las personas, sino a toda la economía mundial.
_