WASHINGTON D.C. – Es posible que Estados Unidos pronto busque regular a las empresas privadas, exigiendo estándares más altos para la ciberseguridad luego de una serie de ataques dañinos y de secuestro de datos contra firmas claves e infraestructura crítica.
Los nominados del presidente estadounidense Joe Biden para ocupar roles clave sobre el tema en su administración advirtieron el jueves que los actores malignos están operando actualmente con impunidad y que hasta ahora, muchas organizaciones del sector privado no han tomado las precauciones necesarias.
“El interés propio ilustrado aparentemente no está funcionando”, dijo Chris Inglis, el primer director cibernético nacional del país, a los miembros del Comité de Asuntos Gubernamentales y Seguridad Nacional del Senado. “Las fuerzas del mercado, aparentemente eso no está funcionando”.
“Cuando están llevando a cabo actividades críticas de las que dependen los intereses de la nación, es muy posible que debamos intervenir y debemos regular o exigir de la misma manera que lo hemos hecho para la industria de la aviación o la industria automotriz”, agregó.
Jen Easterly, nominada para liderar la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, estuvo de acuerdo.
“Como nación, seguimos en gran riesgo de un ciberataque catastrófico”, dijo. “Me parece que las normas voluntarias probablemente no estén haciendo el trabajo y que probablemente exista algún tipo de función para hacer que algunas de estas normas sean obligatorias, para incluir la notificación”.
La cuestión de cuál es la mejor manera de enfrentar una variedad de amenazas cibernéticas, desde piratas informáticos patrocinados por el estado hasta redes cibernéticas delincuenciales, se han convertido en el centro de atención luego de una serie de ataques de alto perfil en los últimos meses.
Esa brecha, descrita por las agencias de inteligencia de Estados Unidos como una operación de espionaje rusa, expuso a 18.000 SolarWinds clientes de lo que permitió a los piratas informáticos rusos acceder a información en las principales agencias de Estados Unidos, incluido el DHS.
Más recientemente, las redes de ransomware obligaron a JBS, el mayor proveedor de carne en el mundo , a cerrar sus operaciones en Australia y América del Norte.
Y, a principios de esta semana, el director ejecutivo de Colonial Pipeline, el mayor operador de oleoductos de Estados Unidos, dijo a los legisladores en Washington que sentía que no tenía más remedio que pagar cerca de 5 millones de dólares a DarkSide Network luego de un ataque de ransomware en mayo que provocó interrupciones en el suministro de combustible a lo largo y ancho de la costa este del país.
“Realmente estamos en un momento que requiere un enfoque ‘práctico'”, dijo Easterly, quien hasta hace poco dirigió los esfuerzos de resiliencia cibernética en el gigante financiero estadounidense Morgan Stanley, luego de un período en la Agencia de Seguridad Nacional (NSA).
El llamado a una mayor regulación no es nuevo. Un grupo bipartidista de legisladores ha estado presionando para que se establezcan requisitos de informes obligatorios para las empresas afectadas por importantes actos de piratería informática, ataques de ransomware y otros tipos de infracciones.
“El Congreso debe actuar”, Mark Warner, el demócrata que preside el Comité de Inteligencia del Senado, dijo a Axios el jueves en un evento virtual, cuando se le preguntó sobre los ataques recientes.
“La administración Biden se ha movido agresivamente, pero solo pueden hacer una cierta cantidad de cosas”, dijo Warner. “Necesitamos implementar este proyecto de ley de informes obligatorios”.
El mes pasado, Biden firmó una orden ejecutiva que requiere que los proveedores de servicios de Internet compartan cierta información sobre brechas en sus redes, exige estándares más altos para el desarrollo de software y crea un manual sobre cómo las agencias gubernamentales deben responder a una brecha.
De Jeff Seldin
