Table of Contents
La administración Biden lanzó su primer Estrategia Nacional de Ciberseguridad el 2 de marzo de 2023. La última versión fue emitido en 2018 durante la administración Trump.
como el Estrategia de Seguridad Nacional hace para la defensa nacional, la Estrategia Nacional de Seguridad Cibernética describe las prioridades de un presidente con respecto a los problemas de seguridad cibernética. El documento no es una directiva. Más bien, describe en términos generales lo que más preocupa a la administración, quiénes son sus principales adversarios y cómo podría lograr sus objetivos a través de la legislación o la acción ejecutiva. Estos tipos de declaraciones de estrategia son a menudo aspiracionales.
Como era de esperar, la Estrategia Nacional de Ciberseguridad de Biden de 2023 reitera las recomendaciones anteriores sobre cómo mejorar la ciberseguridad estadounidense. Pide un mejor intercambio de información entre el gobierno y el sector privado sobre amenazas, vulnerabilidades y riesgos de seguridad cibernética. Prescribe la coordinación de la respuesta a incidentes de seguridad cibernética en todo el gobierno federal y la mejora de las regulaciones. Describe la necesidad de expandir la fuerza laboral federal de seguridad cibernética. Enfatiza la importancia de proteger la infraestructura crítica del país y los sistemas informáticos federales. E identifica a China, Rusia, Irán y Corea del Norte como los principales adversarios de Estados Unidos en el ciberespacio.
Sin embargo, como ex practicante de la industria de la ciberseguridad y actual investigador de ciberseguridad, creo que el documento de 2023 incorpora algunas ideas y perspectivas nuevas que representan un enfoque más holístico de la ciberseguridad. Sin embargo, al mismo tiempo, parte de lo que se propone puede no ser tan útil como se prevé.
Algunas de las disposiciones clave de la actual Estrategia Nacional de Ciberseguridad se relacionan con el sector privado, tanto en términos de responsabilidad por productos defectuosos como de seguros de ciberseguridad. También tiene como objetivo reducir la carga de seguridad cibernética en individuos y organizaciones más pequeñas. Sin embargo, creo que no es suficiente para fomentar el intercambio de información o abordar las tácticas y técnicas específicas utilizadas por los atacantes.
Durante décadas, la industria de la tecnología ha operado bajo lo que se conoce como “licencias de envoltura retráctil. Esto se refiere a las múltiples páginas de texto legal que los clientes, tanto grandes como pequeños, se ven obligados a aceptar de forma rutinaria antes de instalar o utilizar productos, software y servicios informáticos.
Si bien se ha escrito mucho sobre estos acuerdos, tales licencias generalmente tienen una cosa en común: en última instancia, proteger a los proveedores como Microsoft o Adobe de las consecuencias legales por cualquier daño o costo que surja del uso de sus productos por parte de un cliente, incluso si el proveedor tiene la culpa de producir un producto defectuoso o inseguro que afecta al usuario final.
En un movimiento innovador, la nueva estrategia de seguridad cibernética dice que, si bien ningún producto es totalmente seguro, la administración trabajará con el Congreso y el sector privado para evitar que las empresas estén protegidas de reclamos de responsabilidad por la seguridad de sus productos. Estos productos sustentan la mayor parte de la sociedad moderna.
Es probable que eliminar ese escudo legal aliente a las empresas a hacer de la seguridad una prioridad en sus ciclos de desarrollo de productos y a tener una mayor participación en la confiabilidad de sus productos más allá del punto de venta.
En otro cambio digno de mención, la estrategia observa que los usuarios finales soportan una carga demasiado grande para mitigar los riesgos de ciberseguridad. Afirma que un enfoque colaborativo de la ciberseguridad y la resiliencia “no puede depender de la vigilancia constante de nuestras organizaciones más pequeñas y ciudadanos individuales”. Destaca la importancia de los fabricantes de sistemas informáticos críticos, así como de las empresas que los operan, a la hora de desempeñar un papel más importante en la mejora de la seguridad de sus productos. También sugiere que la regulación ampliada hacia ese objetivo puede estar próxima.
Curiosamente, la estrategia pone gran énfasis en la amenaza de ransomware como el delito cibernético más apremiante que enfrenta EE. UU. en todos los niveles de gobierno y empresas. Ahora llama al ransomware una amenaza para la seguridad nacional y no simplemente un asunto criminal.
La nueva estrategia también ordena al gobierno federal que considere asumir alguna responsabilidad por los llamados seguro de ciberseguridad.
Aquí, la administración quiere asegurarse de que las compañías de seguros estén adecuadamente financiadas para responder a las reclamaciones posteriores a un incidente de ciberseguridad significativo o catastrófico. Desde 2020, el mercado de seguros relacionados con la ciberseguridad ha creció casi un 75%y organizaciones de todos los tamaños consideran necesarias tales políticas.
Esto es comprensible dada la cantidad de empresas y agencias gubernamentales que dependen de Internet y de las redes corporativas para realizar sus operaciones diarias. Al proteger o “respaldar” a las aseguradoras de seguridad cibernética, la administración espera evitar una crisis financiera sistémica importante para las aseguradoras y las víctimas durante un incidente de seguridad cibernética.
Sin embargo, el seguro de ciberseguridad no debe tratarse como un pase libre para la autocomplacencia. Afortunadamente, las aseguradoras ahora a menudo requieren que los asegurados demostrar que están siguiendo las mejores prácticas de ciberseguridad antes de aprobar una póliza. Esto ayuda a protegerlos de la emisión de pólizas que probablemente enfrentarán reclamaciones derivadas de negligencia grave por parte de los asegurados.
Además de abordar las preocupaciones actuales, la estrategia también presenta argumentos sólidos para garantizar que EE. UU. esté preparado para el futuro. Habla de fomentar la investigación tecnológica que pueda mejorar o introducir la ciberseguridad en campos como la inteligencia artificial, las infraestructuras críticas y los sistemas de control industrial.
La estrategia advierte específicamente que EE. UU. debe estar preparado para un «futuro poscuántico» en el que las tecnologías emergentes podrían hacer que los controles de ciberseguridad existentes sean vulnerables. Esto incluye los sistemas de encriptación actuales que podría estar roto por las futuras computadoras cuánticas.
Si bien la Estrategia Nacional de Seguridad Cibernética pide continuar expandiendo el intercambio de información relacionada con la seguridad cibernética, se compromete a revisar la política de clasificación federal para ver dónde es necesario un acceso clasificado adicional a la información.
El gobierno federal ya sufre de sobreclasificación, por lo que, en todo caso, creo que se necesita menos clasificación de la información de seguridad cibernética para facilitar un mejor intercambio de información sobre este tema. Es importante reducir los obstáculos administrativos y operativos para una interacción efectiva y oportuna, especialmente donde se necesitan relaciones de colaboración entre la industria, la academia y los gobiernos federal y estatal. La clasificación excesiva es uno de esos desafíos.
Además, la estrategia no aborda el uso de tácticas, técnicas y procedimientos cibernéticos en campañas de influencia o desinformación y otras acciones que podrían tener como objetivo a los EE. UU. Esta omisión es quizás intencional porque, aunque las operaciones de ciberseguridad e influencia a menudo son entrelazadosreferencia a las operaciones de contrarrestar la influencia podría dar lugar a conflictos partidistas encima libertad de expresión y actividad política. Idealmente, la Estrategia Nacional de Ciberseguridad debería ser apolítica.
Dicho esto, la Estrategia Nacional de Ciberseguridad 2023 es un documento equilibrado. Si bien en muchos sentidos reitera las recomendaciones realizadas desde la primera Estrategia Nacional de Ciberseguridad en 2002, también proporciona algunas ideas innovadoras que podrían fortalecer la ciberseguridad de los EE. UU. de manera significativa y ayudar a modernizar la industria tecnológica de los Estados Unidos, tanto ahora como en el futuro.