Estamos en un viaje para destacar los riesgos de seguridad específicos del sector, los consejos y las mejores prácticas para un entorno de seguridad más sólido. Desde la sanidad, la fabricación y la educación hasta los servicios financieros, el sector energético y las pequeñas y medianas empresas, en esta serie analizaremos los riesgos y cómo mitigarlos. Hoy veremos qué pueden hacer los organismos públicos para protegerse (y proteger a sus ciudadanos).
La ciberseguridad del Gobierno
El gobierno de los Estados Unidos ha tenido seis meses difíciles, por decir lo menos. En diciembre de 2020, surgió la sorprendente revelación de un ataque a varias agencias debido al hackeo de SolarWinds. Cinco meses después, los operadores del oleoducto Colonial fueron atacados. Las agencias gubernamentales son vulnerables porque, como muchos han concluido, simplemente no han sido lo suficientemente proactivas en la preparación para los desastres cibernéticos.
Según Insurance Journal, desde 2010 la Oficina de Responsabilidad Gubernamental, no partidista, ha emitido unas 3.300 recomendaciones para que las agencias aborden las vulnerabilidades. Pero a finales de 2020, cientos de las recomendaciones no se habían aplicado en ese momento. (Aunque debemos dar a las agencias algo de crédito, ya que más de 2.000 de las recomendaciones sobre vulnerabilidad se han aplicado).
¿Qué ha llevado a la debilidad de las agencias del gobierno federal? Veamos los cinco principales riesgos.
1. No está lo suficientemente preparado
Tanto el senador estadounidense Angus King (ME), como el representante Mike Gallagher (WI) son copresidentes de Cyberspace Solarium Commission, que puede compararse con la comisión del 11-S. Tras la filtración del Colonial Pipeline, publicaron una declaración en la que decían que la Comisión se había concebido como "la comisión del 11-S que evita un 11-S cibernético". Y añadían: "Uno de los aprendizajes más graves del ataque terrorista de hace 20 años fue que fue un fracaso de la imaginación... Estados Unidos puede y debe ser mejor: debemos ser imaginativos, y proactivos, a la hora de navegar por las amenazas de la era de la ciberagresión".
Si nos remontamos a 2015, una encuesta realizada por Frost and Sullivan mostró que casi la mitad de los 1800 encuestados del sector del gobierno federal consideraban que la seguridad no había mejorado en los últimos dos años. Alrededor del 17% afirmó que la postura de seguridad de su organismo había empeorado debido a su incapacidad para seguir el ritmo del cambiante entorno de amenazas y a la falta de fondos, y más de la mitad afirmó que sus tiempos de respuesta a las amenazas no habían cambiado.
Seis años después -y como demuestran los hacks de SolarWinds y Colonial Pipeline y otros incidentes-, muchos en la industria de la seguridad coinciden en que aún queda mucho por hacer.
Por ejemplo, en este reciente panel de ciberseguridad organizado por Channel Partners, Jerry Bessette, de Booz Allen, dijo que cree que el gobierno federal no está en lo absoluto preparado para los ciberataques de estados nacionales. Lo atribuyó al hecho de que "las redes siguen siendo muy complicadas", y añadió que "y todavía hay muchas organizaciones, incluidas las agencias gubernamentales, que no están haciendo lo básico".
Robert Zukis, de la Red de Directores Digitales, añadió su opinión: "Los piratas informáticos han descubierto claramente que el sistema es en sí mismo el punto débil y lo están explotando", dijo. "Y por desgracia, en este momento estamos en la zona cero".
2. No es suficientemente prioritario
En marzo de este año, la GAO advirtió que había que hacer más. "Aunque el gobierno federal ha realizado mejoras seleccionadas, necesita moverse con un mayor sentido de urgencia acorde con la rápida evolución y las graves amenazas que se ciernen sobre el país".
Pero mucho antes, en mayo de 2018 ya estaba claro que el gobierno no consideraba la ciberseguridad como algo crítico. El 15 de mayo, el entonces asesor de seguridad nacional John Bolton eliminó el puesto de coordinador de ciberseguridad del Consejo de Seguridad Nacional.
Ese día, el representante Bennie G. Thompson (MS), miembro principal del Comité de Seguridad Nacional, comentó que "con las amenazas cibernéticas en constante cambio y cada vez más sofisticadas, no hay ninguna razón lógica para eliminar este puesto de alto nivel y reducir el ya degradado nivel de experiencia cibernética en la Casa Blanca."
3. Escasez de personal
Hace años que se conoce la falta de suficientes profesionales experimentados en ciberseguridad en Estados Unidos en el sector privado, pero esa carencia se convierte en una cuestión de seguridad nacional cuando la entidad de la que se habla es el gobierno federal.
Retrocede el reloj hasta 2019, cuando Jeanette Manfra, la directora adjunta de ciberseguridad de CISA, se dirigió a una multitud en TechCrunch Disrupt SF. Insistió en que la agencia estaba haciendo de la formación de los nuevos profesionales de la ciberseguridad una prioridad, hasta el punto de que estaban mirando a los niños en edad de escuela primaria para una futura fuerza de ciberseguridad. Porque así de importante se ha convertido la ciberseguridad.
"Es un riesgo para la seguridad nacional que no tengamos el talento necesario, ya sea en el gobierno o en el sector privado", dijo Manfra. "Tenemos una escasez masiva que se espera que aumente".
4. Ciberamenazas del Estado-nación
Según Radware, los piratas informáticos nacionales tienen como objetivo las agencias gubernamentales, las infraestructuras críticas y una amplia gama de industrias, gobiernos y organizaciones. Por lo general, atacan mediante técnicas sofisticadas que interrumpen las operaciones comerciales, filtran información confidencial y generan pérdidas masivas de datos e ingresos. Los malos actores que ejecutan estos ataques están implementando cada vez más ataques en nombre de gobiernos de todo el mundo. El pirateo de la cadena de suministro de SolarWinds se considera en general un ataque de Estado-nación, ya que todo el mundo parece estar de acuerdo en que Rusia está detrás de él. Independientemente de quién sea el objetivo, los ataques de estados-nación son enormemente perjudiciales, dañinos y costosos. El ataque a SolarWinds afectó directamente a nueve agencias federales de Estados Unidos, por lo que el daño fue real.
5. No hay suficientes leyes y directrices federales
En julio de 2020, la Oficina General de Contabilidad informó de que Estados Unidos carecía de una ley integral de privacidad en Internet que regulara la recolección, el uso y la venta de información personal por parte de las empresas del sector privado. Además, actualmente no existe ninguna ley federal que regule expresamente el uso comercial de la tecnología de reconocimiento facial, incluida la identificación y el seguimiento de personas.
Durante una sesión de la Conferencia RSA de 2021, Paul Rosenzweig, responsable de ciberseguridad en el R Street Institute, dijo que "me sorprende que 15 años después de esta crisis de ciberseguridad, todavía no tengamos una imagen operativa de la frecuencia y el tipo de infracciones que se producen en Estados Unidos... "sin una ley integral de notificación de infracciones, nunca tendremos una idea de lo que está ocurriendo realmente sobre el terreno".
Solucionar la ciberseguridad de las agencias federales, lo más rápido posible
Todos los ataques del año pasado han puesto la ciberseguridad en la cima de la agenda de todos. Como resultado, se están considerando muchas leyes nuevas para ayudar a frenar severamente el ransomware, especialmente los ataques dirigidos al gobierno. La más importante viene directamente de las altas esferas de la Casa Blanca.
Tras el ciberataque de 2020 a numerosas agencias gubernamentales de Estados Unidos, el 12 de mayo el presidente Biden emitió una orden ejecutiva para mejorar la ciberseguridad de la nación. La orden pretende reforzar las defensas de ciberseguridad del sector público y privado y las capacidades de respuesta a incidentes.
Las reformas del gobierno federal se centran en tres temas clave: modernización, responsabilidad y resiliencia.
- En primer lugar, la modernización de los organismos federales para modernizar sus sistemas informáticos y priorizar el uso de servicios en la nube, utilizando la autenticación multifactor y adoptando tecnologías de cifrado de los datos en reposo y en tránsito. Además, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) actualizará las normas que rigen el uso de los servicios en la nube por parte de las agencias. La migración hacia una "arquitectura de confianza cero" también es un objetivo.
- En segundo lugar, se aumentará la responsabilidad de las agencias civiles federales dando a la CISA acceso a los datos de las redes de las agencias para realizar pruebas de vulnerabilidad y creando una "Junta de Revisión de Ciberseguridad". Esta Junta se encargará de estudiar las actividades de mitigación y las respuestas de las agencias ante cualquier incidente cibernético significativo que afecte al gobierno o a las entidades del sector privado.
- En tercer lugar, la orden de la Casa Blanca también pide al gobierno federal que cree una guía que le permita identificar, mitigar y remediar rápidamente las amenazas.
Los Estados también se implican
La ciberseguridad sigue siendo un foco de atención en las legislaturas estatales, ya que muchas proponen medidas para hacer frente a las ciberamenazas dirigidas a gobiernos y empresas privadas. En 2020, al menos 38 estados, Washington, D.C., y Puerto Rico introdujeron o consideraron casi 300 proyectos de ley o resoluciones que trataban de forma significativa la ciberseguridad. Las nuevas normativas se centraron en áreas que van desde el aumento de las penas por delitos informáticos, la exigencia a los organismos gubernamentales de implementar formación o tipos específicos de políticas de seguridad, la regulación de la industria aseguradora, hasta la creación de grupos de trabajo, consejos o comisiones para estudiar/asesorar en materia de ciberseguridad, pasando por el apoyo a programas o incentivos para la formación y educación en ciberseguridad.
Mucho trabajo por hacer
Está claro que hay mucho trabajo por hacer para mejorar enormemente la postura de ciberseguridad del gobierno. Se necesitará tiempo y miles de millones, si no billones de dólares. Pero a estas alturas, el gobierno no tiene realmente otra opción.
Esperemos que en los próximos años empecemos a ver una disminución de los ataques a medida que se pongan en marcha todos los cambios y leyes necesarios.