«La buena noticia es que en realidad sabemos cómo resolver estos problemas», dice Glenn Gerstell. “Podemos arreglar la ciberseguridad. Puede ser costoso y difícil, pero sabemos cómo hacerlo. Esto no es un problema tecnológico”.

Otro gran ataque cibernético reciente lo demuestra nuevamente: SolarWinds, una campaña de piratería rusa dirigida al gobierno de los EE. UU. y las grandes corporaciones, podría haber sido neutralizada si las víctimas hubieran seguido los estándares de ciberseguridad conocidos.

«Hay una tendencia a llevar las habilidades de los piratas informáticos responsables de los principales incidentes de seguridad cibernética prácticamente a las de un desastre natural u otra fuerza mayor», dice Wyden. “Esto absuelve convenientemente a las organizaciones pirateadas, sus líderes y agencias gubernamentales de cualquier responsabilidad. Pero una vez que se conocen los hechos, el público ha visto repetidamente que los piratas informáticos a menudo se afianzaron porque la organización no se mantuvo al día con los parches o configuró incorrectamente sus firewalls”.

La Casa Blanca es consciente de que muchas empresas no están y no invertirán lo suficiente en seguridad cibernética por su cuenta. En los últimos seis meses, el gobierno emitió nuevas reglas de ciberseguridad para bancos, oleoductos, sistemas ferroviarios, aerolíneas y aeropuertos. Biden firmó una Orden Ejecutiva de Ciberseguridad el año pasado para fortalecer la ciberseguridad federal e imponer estándares de seguridad a todas las empresas que venden al gobierno. Transformar el sector privado siempre ha sido la tarea más desafiante y posiblemente la más importante. La gran mayoría de la infraestructura crítica y los sistemas tecnológicos son propiedad del sector privado.

La mayoría de las nuevas reglas se limitaron a requisitos muy básicos y un ligero toque estatal y, sin embargo, fueron rechazadas por las empresas. Sin embargo, está claro que más está por venir.

«Hay tres cosas importantes que se requieren para abordar el lamentable estado actual de la ciberseguridad de los EE. UU.», dice Wyden. “Estándares mínimos obligatorios de ciberseguridad aplicados por los reguladores; auditorías de ciberseguridad obligatorias realizadas por auditores independientes que no son seleccionados por las empresas que auditan, con los resultados informados a los reguladores; y grandes multas, incluido el encarcelamiento de altos ejecutivos, si la falta de práctica de higiene cibernética básica resulta en una violación”.

El primer paso es la nueva obligación de informar, que entró en vigor el martes. La ley requiere que las empresas privadas compartan rápidamente información sobre amenazas comunes que previamente mantuvieron en secreto, aunque esa misma información a menudo puede ayudar a construir defensas colectivas más sólidas.

Los intentos previos de regulación han fracasado, pero el último impulso para una nueva ley de informes ganó impulso con el apoyo clave de gigantes corporativos como el director ejecutivo de Mandiant, Kevin Mandia, y el presidente de Microsoft, Brad Smith. Esta es una señal de que los líderes del sector privado han llegado a ver la regulación como inevitable y beneficiosa en áreas clave.

Inglis enfatiza que la redacción y aplicación de nuevas reglas requerirá una estrecha cooperación entre el gobierno y las empresas privadas en cada paso. E incluso en el sector privado, existe el consenso de que el cambio es necesario.

“Hemos probado la acción puramente voluntaria durante mucho tiempo”, dice Michael Daniel, quien encabeza Cyber ​​Threat Alliance, una coalición de empresas de tecnología que comparten información sobre ciberamenazas para formar mejores defensas colectivas. «No va tan rápido o tan bien como necesitamos».

La vista sobre el Atlántico

Desde la Casa Blanca, Inglis argumenta que Estados Unidos se ha quedado atrás de sus aliados. Señala al Centro Nacional de Ciberseguridad (NCSC) del Reino Unido como una agencia de ciberseguridad gubernamental pionera de la que EE. UU. necesita aprender. Ciaran Martin, CEO fundador de NCSC, ve el enfoque cibernético de Estados Unidos con asombro confuso.

«Si una empresa de energía del Reino Unido le hubiera hecho al gobierno del Reino Unido lo que Colonial le había hecho al gobierno de los EE. UU., los habríamos estafado verbalmente al más alto nivel», dice. «Hubiera hecho que el primer ministro llamara al presidente para decirle: ‘¿Qué diablos cree que va a pagar un rescate y cerrar este oleoducto sin decírnoslo?'».

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí