El senador Warner se burla de un proyecto de ley bipartidista que requiere que algunas empresas informen sobre ciberataques

El senador Mark Warner, demócrata por Virginia, está preparando un proyecto de ley bipartidista que requeriría que algunas empresas reporten incidentes cibernéticos al gobierno para que la policía pueda involucrarse rápidamente.

Warner anticipó el proyecto de ley durante un evento de Axios sobre ciberseguridad, diciendo que espera que se presente en las próximas semanas y cree que el amplio apoyo puede ayudar a que se apruebe rápidamente. Los recientes ciberataques contra Colonial Pipeline, SolarWinds y el proveedor de carne JBS han agregado un sentido de urgencia al lidiar con tales amenazas, que parecen estar conectadas con personas en países adversarios como China y Rusia.

El proyecto de ley requeriría que las empresas de infraestructura crítica, los contratistas y las agencias federales reporten los incidentes cibernéticos al gobierno, dijo Warner, dando a las fuerzas del orden y los socios del sector privado la oportunidad de participar lo antes posible durante un ataque.

Warner espera que la comunidad empresarial sea receptiva a la legislación.

«Cuando tuvimos este debate hace seis o siete años, la comunidad empresarial no quería ningún informe obligatorio adicional», dijo. «Creo que ahora se dan cuenta de que ellos mismos corren peligro si no tienen informes obligatorios».

Esa amenaza fue clara en el ataque de SolarWinds, que llamó la atención del público después de que la firma de ciberseguridad FireEye revelara voluntariamente un ataque de lo que se creía que era un actor patrocinado por el estado. Poco después, Reuters informó que los piratas informáticos habían accedido a los sistemas de las agencias gubernamentales a través de las actualizaciones de software de SolarWinds, diciendo que estaba relacionado con el incidente de FireEye. SolarWinds luego reveló que 18,000 clientes se vieron afectados por el ataque. Más tarde, la asesora adjunta de seguridad nacional para tecnología cibernética y emergente, Anne Neuberger, dijo que de ese número, los funcionarios creen que 100 empresas del sector privado y nueve agencias gubernamentales se vieron comprometidas.

Warner dijo que su proyecto de ley incluiría inmunidad limitada para las empresas en relación con los informes, que se mantendrían confidenciales entre el gobierno y los socios del sector privado.

Además de la legislación, Warner dijo que Estados Unidos debe restablecer las normas internacionales mostrando que los adversarios que cometen ciberataques, incluso cuando los atacantes no sean actores del gobierno, pagarán un precio.

También dijo que debe haber una discusión sobre cómo se debe manejar el ransomware, o los esfuerzos para piratear y obstaculizar los sistemas hasta que se pague un rescate. Tal como están las cosas, las empresas y otras entidades que son víctimas de tales ataques a menudo pagan rescates para que sus sistemas vuelvan a estar en línea rápidamente, lo que Warner señaló que en ocasiones podría equivaler a pagos a países sancionados. Como mínimo, dijo, tal vez se debería obligar a las empresas a revelar cuándo pagan tales rescates.

Warner señaló que algunos de los ataques recientes podrían haber sido aún peores si los atacantes decidieran apagar los sistemas por completo.

«Lo que he instado a la gente a pensar es si cuando los rusos entraron en el ataque SolarWinds y consiguieron 18.000 empresas penetraron, si en lugar de simplemente exfiltrar información, hubieran decidido cerrar todos esos sistemas», dijo Warner. «Eso, para mí, estaría cerca de un acto de guerra y habría paralizado por completo nuestra economía. Y mi temor es que la tecnología cibernética se está moviendo de una sofisticación cada vez mayor, está pasando de simplemente exfiltrar información a acciones potencialmente extraordinariamente destructivas y necesitamos para mejorar nuestro juego «.

Suscríbase a CNBC en YouTube.

MIRAR: Cómo fue el hack masivo de SolarWinds