Biden firma una orden ejecutiva para reforzar la ciberseguridad del gobierno federal

WASHINGTON – Mientras la costa este sufría los efectos de un ataque de ransomware en un importante oleoducto, el presidente Biden firmó una orden ejecutiva el miércoles que estableció nuevos estándares estrictos sobre la ciberseguridad de cualquier software vendido al gobierno federal.

La medida es parte de un amplio esfuerzo para fortalecer las defensas de Estados Unidos al alentar a las empresas privadas a practicar una mejor ciberseguridad o arriesgarse a quedar excluidas de los contratos federales. Pero el efecto mayor puede surgir de lo que podría, con el tiempo, volverse similar a una calificación gubernamental de la seguridad de los productos de software, de la misma manera en que los automóviles obtienen una calificación de seguridad o los restaurantes en Nueva York obtienen una calificación de seguridad sanitaria.

La orden llega en medio de una ola de nuevos ciberataques, más sofisticados y de mayor alcance que nunca. Durante el año pasado, aproximadamente 2.400 ataques de ransomware han afectado a oficinas corporativas, locales y federales en planes de extorsión que encierran los datos de las víctimas, o los publican, a menos que paguen un rescate.

El temor más urgente es un ataque a la infraestructura crítica, un punto que quedó claro esta semana a los estadounidenses, que estaban comprando gasolina por el pánico. Un ataque de ransomware a los sistemas de información de Colonial Pipeline obligó a la empresa a cerrar un oleoducto crítico que suministra el 45 por ciento de la gasolina, el diésel y el combustible para aviones de la costa este durante varios días.

Si bien todos los presidentes desde George W. Bush han emitido nuevas pautas para reforzar las defensas digitales del país, la orden de Biden tiene la intención de llegar profundamente al sector privado. Y es mucho más detallado que los esfuerzos anteriores.

Por primera vez, Estados Unidos exigirá que todo el software comprado por el gobierno federal cumpla, en un plazo de seis meses, con una serie de nuevos estándares de ciberseguridad. Aunque las empresas tendrían que “autocertificarse”, los infractores serían eliminados de las listas de adquisiciones federales, lo que podría acabar con sus posibilidades de vender sus productos en el mercado comercial.

La orden también establece una junta de revisión de incidentes, al igual que los equipos que investigan los accidentes de las aerolíneas, para aprender lecciones de los principales episodios de piratería. La Casa Blanca exige que el primer incidente bajo revisión sea el hack de SolarWinds, en el que la principal agencia de inteligencia de Rusia alteró el código informático del software de gestión de red de una empresa estadounidense. Le dio a Rusia un amplio acceso a 18.000 agencias, organizaciones y empresas, principalmente en los Estados Unidos.

La nueva orden también requiere que todas las agencias federales cifren los datos, ya sea que estén almacenados o mientras se transmiten, dos desafíos muy diferentes. Cuando China robó 21,5 millones de archivos sobre empleados y contratistas federales que tenían permisos de seguridad, ninguno de los archivos estaba encriptado, lo que significa que se podían leer fácilmente. (Los hackers chinos, concluyeron más tarde los investigadores, cifraron los archivos ellos mismos, para evitar ser detectados mientras enviaban los registros confidenciales a Beijing).

Los esfuerzos anteriores para exigir estándares mínimos en software no han logrado aprobarse en el Congreso, especialmente en un gran enfrentamiento hace nueve años. Las pequeñas empresas han dicho que los cambios no son asequibles y las más grandes se han opuesto a un papel intrusivo del gobierno federal dentro de sus sistemas.

Pero Biden decidió que era más importante actuar con rapidez que tratar de luchar por mandatos más amplios en Capitol Hill. Sus ayudantes dijeron que era un primer paso y los funcionarios de la industria dijeron que era más audaz de lo que esperaban.

Deberías leer:   Los reproductores de Blu-ray de Samsung se atascan de repente en reinicios sin fin

Amit Yoran, director ejecutivo de Tenable y exfuncionario de ciberseguridad en el Departamento de Seguridad Nacional, dijo que la pregunta en la mente de todos era si la orden de Biden detendría los próximos ataques de Colonial o SolarWinds.

“Ninguna política, iniciativa gubernamental o tecnología puede hacer eso”, dijo Yoran. “Pero este es un gran comienzo”.

Los funcionarios del gobierno se han quejado de que Colonial tenía malas defensas y, si bien estableció un caparazón duro alrededor de sus redes de computadoras, no tenía forma de monitorear a un adversario que ingresaba. La administración de Biden espera que los estándares establecidos en la orden ejecutiva, que requieren autenticación multifactor y otras salvaguardas, se generalicen y mejoren la seguridad a nivel mundial.

El senador Mark Warner, demócrata de Virginia y presidente del Comité de Inteligencia del Senado, elogió la orden pero dijo que debería ir seguida de una acción del Congreso.

Warner dijo que los ataques recientes “han puesto de relieve lo que se ha vuelto cada vez más obvio en los últimos años: que Estados Unidos simplemente no está preparado para defenderse de los piratas informáticos patrocinados por el estado o incluso criminales que intentan comprometer nuestros sistemas con fines de lucro o espionaje”.

El nuevo orden es la primera parte pública importante de una revisión de múltiples niveles de estrategias defensivas, ofensivas y legales para enfrentar a adversarios en todo el mundo. Esta orden ejecutiva, sin embargo, se enfoca completamente en profundizar las defensas, con la esperanza de disuadir a los atacantes porque temen que fracasen o corran un mayor riesgo de ser detectados.

El Departamento de Justicia está aumentando un nuevo grupo de trabajo para combatir el ransomware, después del descubrimiento en los últimos meses de que tales ataques son más que una simple extorsión, pueden derribar sectores de la economía.

Biden anunció sanciones contra Rusia por el ataque a SolarWinds, y su asesor de seguridad nacional, Jake Sullivan, ha dicho que también habrá consecuencias “invisibles”. Hasta ahora, Estados Unidos no ha tomado medidas similares contra el gobierno de China por su presunta participación en otro ataque, explotando los agujeros en un sistema de Microsoft utilizado por grandes empresas de todo el mundo.

La orden ejecutiva se redactó por primera vez en febrero en respuesta a la intrusión de SolarWinds. Ese ataque fue especialmente sofisticado porque los piratas informáticos que trabajaban para el gobierno ruso lograron cambiar el código que estaba desarrollando la empresa, que, sin sospecharlo, distribuyó el malware en una actualización de sus paquetes de software. Fue descubierto durante la transición de Biden y lo llevó a declarar que no podía confiar en la integridad de los sistemas informáticos federales.

La junta de revisión creada bajo la orden ejecutiva será codirigida por el secretario de seguridad nacional y un funcionario del sector privado, según el episodio específico que está investigando en ese momento, en un esfuerzo por ganarse a los ejecutivos de la industria que temen las investigaciones. podría ser pasto de juicios.

Debido a que fue creado por una orden ejecutiva, no una ley del Congreso, la nueva junta no tendrá los mismos poderes amplios que una junta de seguridad. Pero los funcionarios aún tienen la esperanza de que sea valioso para conocer las vulnerabilidades, mejorar las prácticas de seguridad e instar a las empresas a invertir más en la mejora de sus redes.

Gran parte de la orden ejecutiva se centra en el intercambio de información y la transparencia. Su objetivo es acelerar el tiempo en que las empresas que han sido víctimas de un hackeo o descubren vulnerabilidades comparten esa información con la Agencia de Seguridad de Infraestructura y Ciberseguridad.