El impulso crece detrás de la legislación para proteger la infraestructura del ransomware y los ciberataques

El reciente aumento de ataques cibernéticos ha desencadenado un juego de culpas entre la industria privada y las agencias federales sobre quién es realmente responsable de garantizar que tales incidentes no paralicen la infraestructura crítica para cosas como el suministro de combustible, electricidad y agua y causen daños masivos a la economía.

En particular, el ataque de ransomware Colonial Pipeline, que detuvo el flujo de gasolina en el sureste durante más de una semana durante mayo, puso de relieve un debate de años sobre si se debería exigir a las empresas privadas que avisen al gobierno si su computadora los sistemas han sido violados por piratas informáticos.

La industria privada ha presionado durante mucho tiempo contra tales requisitos por una variedad de razones, desde el deseo de limitar la intrusión del gobierno en los dominios de los datos patentados hasta las preocupaciones sobre el daño a la reputación que se puede producir en una empresa cuando los incidentes de piratería atraen la atención de los medios.

Pero tales preocupaciones se están relegando cada vez más a un segundo plano en medio de la creciente conciencia pública de la amenaza de piratería, así como el creciente consenso entre los expertos cibernéticos de que una cooperación más agresiva entre el sector privado y las agencias federales como el FBI y el Departamento de Seguridad Nacional puede ser un problema. necesario para prevenir un futuro ciberincidente apocalíptico.

Fuentes en Capitol Hill dicen que el impulso bipartidista está creciendo detrás de los llamamientos para el establecimiento de la llamada ley de “informes obligatorios”, así como para una legislación para ampliar las autoridades del gobierno en las investigaciones de piratería y elevar las sanciones que los tribunales federales pueden imponer a las personas condenadas por delitos cibernéticos. .

Los conocedores de la industria dicen que la era de las empresas privadas que pueden mantenerlo en silencio cuando han sido atacadas por piratas informáticos, independientemente de si los sistemas informáticos y los empleados de una empresa determinada estaban equipados para protegerse del ataque o lamentablemente no estaban preparados para lidiar con él, debe llegar. hasta el fin.

“Debería crearse un grupo de trabajo gubernamental al que se debería exigir a las empresas privadas de todos los niveles que trabajan en infraestructura crítica que llamen y notifiquen si han sido pirateadas”, dice Regine Bonneau, fundadora y directora ejecutiva de RB Advisory. una empresa con sede en Florida que ayuda a las empresas a desarrollar soluciones de gestión de riesgos cibernéticos en una variedad de industrias.

Sin tal requisito, el entorno actual que rodea a los ciberataques es de “caos”, dijo Bonneau a The Washington Times.

“Estamos en un caos en este momento, porque somos más reactivos que proactivos”, dijo, y agregó que “en este momento el gobierno no conoce el alcance de los ataques de ransomware que están ocurriendo contra empresas del sector privado, o la medida en que esos ataques están afectando a esas empresas “.

Deberías leer:   ¿Cuáles son los mercados inmobiliarios emergentes en EE. UU.?

Otros expertos dicen que el ataque Colonial Pipeline y el hackeo SolarWinds del año pasado, ambos atribuidos a ciberdelincuentes respaldados por Rusia, han desencadenado un punto de inflexión en el que el muro que alguna vez fue rígido entre las actividades cibernéticas de las empresas privadas y las agencias gubernamentales de EE. UU. Ha comenzado a romperse. abajo.

“Esta es una idea que de repente ha tomado a Washington por asalto, que si su empresa tiene un incidente grave, debe informar al gobierno”, dice Stewart Baker, ex asesor general de la Agencia de Seguridad Nacional (NSA) y Departamento de Seguridad Nacional. jefe de políticas que ahora ejerce la abogacía tecnológica en la firma privada Steptoe & Johnson.

“Pero no se ha adoptado en todos los ámbitos en este momento”, dijo Baker, quien presenta el podcast semanal Steptoe Cyberlaw, a The Times, aunque agregó que si bien “la industria es muy cautelosa a la hora de compartir cualquier cosa con el gobierno … eso se está derrumbando frente al tipo de crisis que hemos tenido recientemente, principalmente relacionadas con el ransomware “.

La senadora Susan Collins, republicana de Maine, ha estado haciendo circular legislación durante casi una década destinada a facilitar una mayor comunicación entre empresas privadas y agencias federales sobre ciberataques. Pero el esfuerzo no ha visto anteriormente el impulso bipartidista que tiene ahora.

Un importante proyecto de ley de seguridad cibernética que la Sra. Collins y el exsenador Joe Lieberman, independiente de Connecticut, presentaron en 2012 fue bloqueado por republicanos más conservadores y favorables a las empresas por temor a que la legislación hubiera abierto las compuertas para nuevas regulaciones gubernamentales y mayores costos para las empresas privadas. empresas al exigirles que cumplan con los estándares de seguridad cibernética cargados de burocracia.

La nueva urgencia en torno a los ataques de ransomware parece haber disminuido tales preocupaciones, y los legisladores centristas de ambos partidos ahora están circulando una legislación que va mucho más allá de lo que se propuso en 2012, tanto en términos de propuestas de estándares que la industria deberá cumplir como en términos de requisitos para que las empresas informen sobre incidentes de piratería y abran sus redes a los investigadores federales.

Un proyecto de ley presentado a mediados de julio por el senador Mark Warner, demócrata de Virginia, y copatrocinado por la Sra. Collins y el senador Marco Rubio, republicano de Florida, requeriría que todos los contratistas federales, así como los propietarios u operadores privados de infraestructura crítica y entidades no gubernamentales que brindan servicios de respuesta a incidentes de ciberseguridad ”para alertar al gobierno si han experimentado un ciberataque de cualquier tipo.

La legislación es amplia en el sentido de que se refiere a la Ley de Protección de Infraestructura Crítica de 2001, que definió la infraestructura crítica como “sistemas y activos, ya sean físicos o virtuales, tan vitales para los Estados Unidos que la incapacidad o destrucción de dichos sistemas y activos habría un impacto debilitante en la seguridad, la seguridad económica nacional, la salud o seguridad pública nacional, o cualquier combinación de esos asuntos “.

Deberías leer:   La Casa Blanca dice que Facebook necesita hacer más para combatir la información errónea sobre las vacunas

El proyecto de ley requeriría que las empresas informen los incidentes de piratería informática a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dentro del Departamento de Seguridad Nacional, dentro de las 24 horas posteriores a la ocurrencia del incidente. La propia agencia estaría obligada a entregar un informe al Congreso anualmente, “en forma clasificada si es necesario”, describiendo el panorama de los ataques que afectan a las empresas de infraestructura crítica durante un año determinado.

Tales cambios equivaldrían a una renovación de CISA, que algunos consideran la agencia más responsable de comunicarse con el sector privado. CISA ha estado sin un liderazgo confirmado por el Senado desde el año pasado, cuando el ex presidente Trump despidió a su director, Christopher Krebs, luego de que la agencia emitiera una declaración en la que cuestionaba las acusaciones de fraude de Trump en las elecciones presidenciales de 2020.

El presidente Biden nominó a Jen Easterly, ex directora del centro antiterrorista de la NSA, para dirigir CISA, pero su nominación aún no ha sido confirmada por el Senado.

Si bien queda por ver si los republicanos más conservadores respaldarán el requisito de que las empresas denuncien los ciberataques al gobierno, hay indicios de que muchos en el Partido Republicano están motivados para adoptar alguna forma de legislación cibernética agresiva. A mediados de junio, los senadores Lindsey Graham, republicano de Carolina del Sur, y Thom Tillis, republicano de Carolina del Norte, reintrodujeron un proyecto de ley de 2018, con el apoyo de los senadores demócratas Richard Blumenthal de Connecticut y Sheldon Whitehouse de Rhode Island, que tiene como objetivo expandir las autoridades del gobierno. en investigaciones de piratería

Los legisladores dijeron en un comunicado que su Ley de Prevención del Ciberdelito Internacional le daría a los investigadores federales más poder para apoderarse de la propiedad de los presuntos piratas informáticos, lo que facilitaría la contrarrestar e interrumpir las llamadas “redes de bots”, redes de computadoras infectadas con malware utilizado en ataques cibernéticos. . El proyecto de ley también “crearía una nueva infracción penal para las personas que deliberadamente se han dirigido a la infraestructura crítica, incluidas presas, plantas de energía, hospitales e infraestructura electoral”, dijeron los legisladores.

No está claro qué impacto puede tener dicha legislación en la capacidad del FBI para investigar grupos de piratería con base internacional, como Darkside, la organización con sede en Rusia que, según funcionarios estadounidenses, llevó a cabo el ataque Colonial Pipeline.

En entrevistas recientes con The Times, las fuerzas del orden y las fuentes de inteligencia han enfatizado la conexión entre tales organizaciones y la inteligencia rusa, afirmando que la administración Biden debería tomar medidas más agresivas, a través de sanciones o contraataques patrocinados por Estados Unidos contra grupos como Darkside. presionar a Moscú para que ponga fin a su apoyo a tales grupos.

Deberías leer:   Cvent se acerca a una oferta de SPAC de más de $ 5 mil millones

William F.Evanina, el recientemente retirado director del Centro Nacional de Contrainteligencia y Seguridad y exjefe del grupo de contraespionaje de la CIA, dijo a The Times este mes que los ataques de ransomware como el contra Colonial Pipeline encajan dentro de la estrategia del presidente ruso Vladimir Putin para socavar la democracia estadounidense y poder económico.

“El gobierno ruso podría cerrar esto en un momento si quisiera”, dijo Evanina sobre las operaciones de piratería.

Al mismo tiempo, el Sr. Evanina enfatizó la necesidad de una expansión dramática en el intercambio de inteligencia entre empresas privadas estadounidenses y agencias federales. “Tenemos que tener la máxima asociación público-privada aquí”, dijo.

La Sra. Bonneau estuvo de acuerdo y dijo que las empresas privadas deben ser más transparentes para facilitar investigaciones forenses cibernéticas más rápidas y agresivas por parte de las agencias federales.

“Las agencias gubernamentales solo saben de los ataques cibernéticos a la industria privada si una empresa presenta información acerca de haber sido pirateada o cuando alguien más expone a la empresa”, dijo. “Si una empresa ha sido pirateada, deberían informarlo para que las agencias gubernamentales puedan tener una imagen más clara de la evolución de la amenaza”.

Baker, mientras tanto, dijo que la mayor parte de la inteligencia y la defensa contra los ciberataques en este momento está en manos de empresas privadas que “no se coordinan profundamente con el gobierno”.

Los investigadores federales, dijo, tienen un “control sorprendentemente bueno” sobre cómo operan los piratas informáticos y cuáles son sus capacidades basadas en la observación y el examen en tiempo real de los piratas informáticos en las redes gubernamentales, pero “hay un punto ciego real” cuando se trata de recibir alertas. y ver el interior de las redes privadas.

“Por lo tanto, el gobierno no tiene una visión profunda de lo que está sucediendo dentro de muchos [private] redes y no está claro cómo conseguirlo sin un cambio en la relación entre el gobierno y la industria ”, dijo Baker. “Es un problema difícil, pero ahí es donde está la verdadera costura en nuestra defensa nacional contra los ciberataques”.

Regístrese para recibir boletines informativos diarios