El presidente Joe Biden el 21 de marzo de 2022 advirtió que Es probable que los ciberataques rusos contra objetivos estadounidenses, aunque el gobierno no ha identificado una amenaza específica. Biden instó al sector privado: “Reforzar sus defensas cibernéticas de inmediato”.
Es un hecho costoso de la vida moderna que las organizaciones de tuberías y compañías de envío Los hospitales y cualquier número de empresas privadas son vulnerables a los ataques cibernéticos, y la amenaza de ataques cibernéticos de Rusia y otras naciones empeora la situación. Las personas también están en riesgo por la amenaza actual.
Los gobiernos locales, como las escuelas y los hospitales, son particularmente atractivos «objetivos blandos”: organizaciones que carecen de los recursos para defenderse de los ataques cibernéticos de rutina, y mucho menos de un conflicto cibernético prolongado. Para aquellos que atacan tales objetivos, el objetivo no es necesariamente una recompensa financiera sino perturbar la sociedad a nivel local.
Desde la emisión de licencias comerciales y permisos de construcción y la recaudación de impuestos hasta la prestación de servicios de emergencia, agua potable y eliminación de desechos, los servicios que brindan los gobiernos locales implican una relación diaria íntima y continua tanto con los ciudadanos como con las empresas. La interrupción de sus operaciones perturba el corazón de la sociedad estadounidense al debilitar la confianza en el gobierno local y poner en peligro a los ciudadanos.
en la mira
Los gobiernos locales han sufrido ciberataques exitosos en los últimos años. Estos incluyen ataques a objetivos que van desde centros de llamadas 911 para sistemas de escuelas públicas. Las consecuencias de un ciberataque exitoso contra el gobierno local pueden ser devastador.
Otros investigadores y yo de la Universidad de Maryland, condado de Baltimore, hemos estudiado la preparación para la seguridad cibernética de los Estados Unidos. más de 90.000 entidades gubernamentales locales. Como parte de nuestro análisis, trabajar con el Asociación Internacional de Gestión de Ciudades/Condados, encuestamos a los jefes de seguridad del gobierno local sobre su preparación en ciberseguridad. los resultados son esperados y alarmantes.
Entre otras cosas, la encuesta reveló que casi un tercio de los gobiernos locales de EE. sería incapaz de decir si estuvieran bajo ataque en el ciberespacio. Esto es inquietante; casi un tercio de los gobiernos locales que sabían si estaban siendo atacados informaron ser atacados cada hora, y casi la mitad al menos diariamente.
mal equipado
La falta de prácticas de TI sólidas, y mucho menos de medidas de seguridad cibernética efectivas, puede hacer que los ataques cibernéticos exitosos sean aún más debilitantes. Casi la mitad de los gobiernos locales de EE. UU. informaron que sus políticas y procedimientos de TI no estaban en línea con las mejores prácticas de la industria.
En muchos sentidos, los gobiernos locales no se diferencian de las empresas privadas en cuanto a las amenazas de ciberseguridad, las vulnerabilidades y los problemas de gestión a los que se enfrentan. Además de esos desafíos de seguridad cibernética compartidos, donde los gobiernos locales luchan particularmente es en la contratación y retención de la cantidad necesaria de personal calificado de TI y seguridad cibernética con salarios y culturas laborales que pueden compararse con las del sector privado o el gobierno federal.
Además, a diferencia de las empresas privadas, los gobiernos locales por su naturaleza están limitados por la necesidad de cumplir con las políticas estatales, las consideraciones políticas de los funcionarios electos y los peligros habituales de la burocracia gubernamental, como equilibrar la seguridad pública con las necesidades de la comunidad y los intereses corporativos. Desafíos como estos pueden obstaculizar la preparación efectiva y las respuestas a los problemas de seguridad cibernética, especialmente cuando se trata de financiamiento. Además, gran parte de la tecnología de la que dependen las comunidades locales, como la distribución de energía y agua, está sujeta a los dictados del sector privado, que tiene su propio conjunto de intereses que a veces compiten entre sí.
[Get The Conversation’s most important coronavirus headlines, weekly in a science newsletter]
Los gobiernos locales grandes están mejor posicionados para abordar las preocupaciones de seguridad cibernética que los gobiernos locales más pequeños. Desafortunadamente, al igual que otros objetivos fáciles en el ciberespacio, los gobiernos locales pequeños están mucho más restringidos. Esto los coloca en mayor riesgo de ataques cibernéticos exitosos, incluidos ataques que de lo contrario podría haberse evitado. Pero las mejoras de seguridad cibernética necesarias y de mejores prácticas que las ciudades y los pueblos más pequeños necesitan a menudo compiten con las muchas otras demandas sobre los fondos limitados y la atención del personal de una comunidad local.
Hacer lo básico bien
Ya sea que sean víctimas de una guerra al otro lado del mundo, un grupo hacktivista que promueve su mensaje o un grupo criminal que intenta extorsionar el pago, los gobiernos locales en los EE. UU. son objetivos atractivos. Herramientas de piratería de inteligencia artificial y vulnerabilidades introducidas por la propagación de dispositivos inteligentes y el creciente interés en crear “ciudades inteligentes” pone a los gobiernos locales aún más en riesgo.
No existe una solución rápida o infalible para eliminar todos los problemas de ciberseguridad, pero uno de los pasos más importantes que pueden tomar los gobiernos locales es claro: implementar la ciberseguridad básica. Emulando el Instituto Nacional de Estándares y Tecnología marco nacional de ciberseguridad u otras mejores prácticas aceptadas por la industria es un buen comienzo.
Creo que los funcionarios gubernamentales, especialmente a nivel local, deben desarrollar y aplicar los recursos necesarios y las tecnologías y prácticas innovadoras para gestionar sus riesgos de seguridad cibernética de manera efectiva. De lo contrario, deben estar preparados para enfrentar las consecuencias técnicas, financieras y políticas de no hacerlo.