Conclusiones:
· No existen soluciones fáciles para reforzar las ciberdefensas nacionales de EE. UU.
· Las cadenas de suministro de software y las empresas de infraestructura del sector privado son vulnerables a los piratas informáticos.
· Muchas empresas estadounidenses subcontratan el desarrollo de software debido a la escasez de talento, y parte de esa subcontratación se destina a empresas de Europa del Este que son vulnerables a los operativos rusos.
· La ciberdefensa nacional de EE. UU. Está dividida entre el Departamento de Defensa y el Departamento de Seguridad Nacional, lo que deja vacíos en la autoridad.
La ataque de ransomware en Colonial Pipeline el 7 de mayo de 2021, ejemplifica los enormes desafíos que enfrenta Estados Unidos para reforzar sus defensas cibernéticas. La empresa privada, que controla un componente importante de la infraestructura energética de EE. UU. Y suministra casi la mitad de los combustibles líquidos de la costa este, era vulnerable a un tipo de ciberataque demasiado común. El FBI ha atribuido el ataque a un Banda rusa de delitos informáticos. Sería difícil para el gobierno imponer una mayor seguridad a las empresas privadas, y el gobierno no puede brindar esa seguridad al sector privado.
Del mismo modo, el Hack de SolarWinds, uno de los ataques cibernéticos más devastadores de la historia, que salió a la luz en diciembre de 2020, expuso vulnerabilidades en las cadenas de suministro de software globales que afectan los sistemas informáticos del gobierno y del sector privado. Fue una violación importante de la seguridad nacional que reveló lagunas en las ciberdefensas estadounidenses.
Estas brechas incluyen seguridad inadecuada por parte de un importante productor de software, autoridad fragmentada para el apoyo del gobierno al sector privado, líneas borrosas entre el crimen organizado y el espionaje internacional, y una escasez nacional en software y habilidades de ciberseguridad. Ninguna de estas brechas se salva fácilmente, pero el alcance y el impacto del ataque SolarWinds muestran cuán crítico es controlar estas brechas para la seguridad nacional de EE. UU.
Jim Watson / AFP a través de Getty Images
La Violación de SolarWinds, probablemente llevado a cabo por un grupo afiliado al servicio de seguridad FSB de Rusia, comprometió la cadena de suministro de desarrollo de software utilizada por SolarWinds para actualizar a 18.000 usuarios de su producto de gestión de red Orion. SolarWinds vende software que las organizaciones utilizan para administrar sus redes de computadoras. El hack, que supuestamente comenzó a principios de 2020, se descubrió solo en diciembre cuando la empresa de ciberseguridad FireEye revelado que había sido atacado por el malware. Más preocupante, esto puede haber sido parte de un ataque más amplio sobre objetivos gubernamentales y comerciales en los EE. UU.
La administración Biden es preparar una orden ejecutiva que se espera que aborde estas vulnerabilidades de la cadena de suministro de software. Sin embargo, estos cambios, por importantes que sean, probablemente no habrían evitado el ataque SolarWinds. Y la prevención de ataques de ransomware como el ataque Colonial Pipeline requeriría que la inteligencia y las fuerzas del orden de EE. UU. Se infiltraran en todos los grupos delictivos cibernéticos organizados en Europa del Este.
Cadenas de suministro, seguridad descuidada y escasez de talento
La vulnerabilidad de la cadena de suministro de software (las colecciones de componentes de software y los servicios de desarrollo de software que utilizan las empresas para crear productos de software) es un problema bien conocido en el campo de la seguridad. En respuesta a un 2017 orden ejecutiva, a informe de un grupo de trabajo interinstitucional dirigido por el Departamento de Defensa identificó “un nivel sorprendente de dependencia extranjera”, desafíos en la fuerza laboral y capacidades críticas como la fabricación de placas de circuito impreso que las empresas están trasladando al extranjero en busca de precios competitivos. Todos estos factores entraron en juego en el ataque SolarWinds.
SolarWinds, impulsado por su estrategia de crecimiento y planes para escindir su negocio de proveedores de servicios gestionados en 2021, tiene gran parte de la responsabilidad por el daño, según expertos en ciberseguridad. Creo que la empresa se puso en riesgo al subcontratar su desarrollo de software a Europa del Este, incluyendo un empresa en Bielorrusia. Se sabe que los operativos rusos utilizan compañías en los países satélites de la antigua Unión Soviética para insertar malware en las cadenas de suministro de software. Rusia utilizó esta técnica en el 2017 Ataque NotPetya que cuestan a las empresas globales más de 10 mil millones de dólares.
SolarWinds también no practicó la higiene básica de ciberseguridad, según un investigador de ciberseguridad.
Vinoth Kumar informó que el contraseña porque el servidor de desarrollo de la empresa de software supuestamente era “solarwinds123”, una violación atroz de los estándares fundamentales de ciberseguridad. La descuidada gestión de contraseñas de SolarWinds es irónica a la luz de la solución de gestión de contraseñas del año premio que recibió la empresa en 2019 para su producto Passportal.
en un entrada en el blog, la compañía admitió que «los atacantes pudieron eludir las técnicas de detección de amenazas empleadas por SolarWinds, otras empresas privadas y el gobierno federal».
La pregunta más importante es por qué SolarWinds, una empresa estadounidense, tuvo que recurrir a proveedores extranjeros para el desarrollo de software. Un Departamento de Defensa informe sobre cadenas de suministro caracteriza la falta de ingenieros de software como una crisis, en parte porque la línea de educación no está proporcionando suficientes ingenieros de software para satisfacer la demanda en los sectores comercial y de defensa.
También hay escasez de talento en ciberseguridad en los EE. UU. Ingenieros, desarrolladores de software e ingenieros de redes se encuentran entre los habilidades más necesarias en los EE. UU., y la falta de ingenieros de software que se centren en la seguridad del software en particular es aguda.
Autoridad fragmentada
Aunque diría que SolarWinds tiene mucho de qué responder, no debería haber tenido que defenderse de un ataque cibernético orquestado por el estado por sí solo. La Estrategia Cibernética Nacional 2018 describe cómo debería funcionar la seguridad de la cadena de suministro. El gobierno determina la seguridad de los contratistas federales como SolarWinds revisando sus estrategias de gestión de riesgos, asegurándose de que estén informados de las amenazas y vulnerabilidades y respondiendo a los incidentes en sus sistemas.
Sin embargo, esta estrategia oficial dividió estas responsabilidades entre el Pentágono para los sistemas de defensa e inteligencia y el Departamento de Seguridad Nacional para las agencias civiles, continuando con un enfoque fragmentado de la seguridad de la información que comenzó en la era Reagan. La ejecución de la estrategia se basa en el DOD Comando cibernético de EE. UU. y DHS Agencia de Seguridad Cibernética e Infraestructura. Departamento de Defensa estrategia es «defender hacia adelante»: es decir, interrumpir la actividad cibernética maliciosa en su origen, que demostró ser eficaz en el antes de las elecciones de mitad de período de 2018. La Agencia de Seguridad Cibernética e Infraestructura, establecida en 2018, es responsable de proporcionar información sobre amenazas a sectores de infraestructura crítica.
Ninguna agencia parece haber emitido una advertencia o haber intentado mitigar el ataque a SolarWinds. La respuesta del gobierno se produjo solo después del ataque. La Agencia de Seguridad Cibernética e Infraestructura emitió alertas y orientacióny un Grupo de Coordinación Cyber Unified se formó para facilitar la coordinación entre agencias federales.
Estas acciones tácticas, aunque útiles, fueron solo una solución parcial al problema estratégico más grande. La fragmentación de las autoridades para la ciberdefensa nacional evidente en el hack de SolarWinds es una debilidad estratégica que complica la ciberseguridad para el gobierno y el sector privado e invita a más ataques a la cadena de suministro de software.
Un problema perverso
La ciberdefensa nacional es un ejemplo de «problema perverso, ”Un problema de política que no tiene una solución clara o una medida de éxito. La Cyberspace Solarium Commission identificó muchas deficiencias de las ciberdefensas nacionales de EE. UU. En su informe de 2020, la comisión señaló que «todavía no existe una unidad clara de esfuerzo o teoría de la victoria que impulse el enfoque del gobierno federal para proteger y asegurar el ciberespacio».
Muchos de los factores que hacen que el desarrollo de una ciberdefensa nacional centralizada sea un desafío están fuera del control directo del gobierno. Por ejemplo, las fuerzas económicas empujan a las empresas de tecnología a llevar sus productos al mercado rápidamente, lo que puede llevarlas a tomar atajos que socavan la seguridad. Legislación en la línea de la Ley Gramm-Leach-Bliley aprobada en 1999 podría ayudar a hacer frente a la necesidad de velocidad en el desarrollo de software. La ley imponía requisitos de seguridad a las instituciones financieras. Pero es probable que las empresas de desarrollo de software se opongan a la regulación y supervisión adicionales.
La administración Biden parece estar tomando el desafío en serio. El presidente ha designado a un director nacional de ciberseguridad para coordinar los esfuerzos gubernamentales relacionados. Queda por ver si la administración abordará el problema de las autoridades fragmentadas y cómo protegerá el gobierno a las empresas que suministran infraestructura digital crítica, y cómo lo hará. No es razonable esperar que cualquier empresa estadounidense pueda valerse por sí misma contra el ciberataque de una nación extranjera.
Pasos adelante
Mientras tanto, los desarrolladores de software pueden aplicar enfoque de desarrollo de software seguro defendido por el Instituto Nacional de Estándares y Tecnología. El gobierno y la industria pueden priorizar el desarrollo de inteligencia artificial que pueda identificar malware en los sistemas existentes. Sin embargo, todo esto lleva tiempo y los piratas informáticos se mueven rápidamente.
Por último, las empresas deben evaluar agresivamente sus vulnerabilidades, en particular participando en más «equipo rojo”Actividades: es decir, que los empleados, contratistas o ambos desempeñen el papel de piratas informáticos y ataquen a la empresa.
Reconocer que los piratas informáticos al servicio de adversarios extranjeros son dedicados, minuciosos y limitados por cualquier regla es importante para anticipar sus próximos movimientos y reforzar y mejorar las defensas cibernéticas nacionales de EE. UU. De lo contrario, es poco probable que Colonial Pipeline sea la última víctima de un ataque importante a la infraestructura de EE. UU. Y es poco probable que SolarWinds sea la última víctima de un ataque importante a la cadena de suministro de software de EE. UU.
Esta es una versión actualizada de un artículo publicado originalmente el 9 de febrero de 2021.
[Deep knowledge, daily. Sign up for The Conversation’s newsletter.]
