Los principales funcionarios cibernéticos de EE. UU. Instaron el jueves al Congreso a agregar más fuerza a cualquier legislación que obligue a las empresas que operan infraestructura crítica a revelar hacks, pidiendo una ventana de informes estrecha después de una infracción y multas contra las empresas que no cumplan.
Dichos mandatos podrían ayudar a las agencias federales y los sectores económicos críticos a responder a los incidentes, dicen los expertos en seguridad. Pero muchas empresas y algunos legisladores desconfían de la regulación más estricta y las posibles sanciones por las que aboga la administración Biden.
Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, dijo el jueves que las divulgaciones más rápidas por parte de las víctimas de piratería permitirían a los funcionarios estadounidenses analizar los datos e identificar otros objetivos potenciales.
«Con ese fin, los informes de incidentes cibernéticos deben ser oportunos, idealmente dentro de las 24 horas posteriores a la detección», dijo la Sra. Easterly en un testimonio escrito en una audiencia del Comité de Asuntos Gubernamentales y Seguridad Nacional del Senado para discutir las amenazas a la seguridad.
En la misma audiencia, la Sra. Easterly, el Director Federal de Seguridad de la Información, Chris DeRusha, y el Director Nacional Cibernético, Chris Inglis, pidieron sanciones económicas contra las empresas que infrinjan dichas reglas.
Chris Inglis, director cibernético nacional
Foto:
Kevin Dietsch / Getty Images
“Por supuesto que no queremos imponer una carga injusta a las víctimas”, dijo Inglis. «Pero esta información es esencial para el bienestar de todos».
Las declaraciones sugieren que la administración de Biden considera que la aplicación agresiva es clave para un posible régimen de notificación de incidentes, que el Congreso no ha logrado crear durante la última década en medio del rechazo del sector privado. Los estados exigen que las empresas revelen las infracciones que exponen información personal. Las industrias reguladas, como los servicios financieros, tienen reglas específicas del sector que requieren que las empresas informen de los ataques, pero no existe un estándar federal de informes para los ataques a empresas que se consideran críticas para la economía de EE. UU.
Una serie de ataques cibernéticos a agencias federales y operadores de infraestructura crítica en los últimos meses ha dado vida a la idea, convenciendo a ciertas empresas y legisladores favorables a los negocios de que se necesitan algunas reglas. Los grupos de presión están presionando a los legisladores para que establezcan requisitos menos estrictos, incluida una ventana de informes de 72 horas, y dicen que un período más corto complicaría la capacidad de las empresas para responder a los incidentes e inundaría al gobierno con datos.
Las propuestas del Congreso en los últimos meses, sin embargo, han divergido en cuanto a la amplitud de los requisitos de notificación de incidentes y cómo hacerlos cumplir.
Un proyecto de ley del Senado presentado en julio proponía una ventana de informes de 24 horas para las empresas designadas y permitiría a CISA multar a las empresas hasta el 0,5% de sus ingresos del año anterior por cada día que infrinjan las reglas. Un proyecto de ley en la Cámara le daría a CISA poder para citar, pero no multar, a compañías que retengan información después de al menos 72 horas. Los legisladores de la Cámara de Representantes consideraron proponer multas, dijo un asistente, pero creen que crearían tensión con las empresas sin mejorar el acceso de CISA a información oportuna.
Si bien la Sra. Easterly dijo el jueves que las divulgaciones dentro de las 24 horas posteriores a una infracción podrían ayudar a CISA a rastrear las amenazas, advirtió que una ventana de presentación de informes demasiado corta podría generar mala información.
“El ruido erróneo no es lo que necesitamos”, dijo. «Necesitamos señal».
La audiencia del jueves se produjo un día después de que el gobierno emitiera una nueva guía sobre cómo las empresas en sectores de infraestructura crítica como la energía y el transporte deberían apuntalar sus defensas cibernéticas. Las recomendaciones de alto nivel incluyen producir evaluaciones de riesgo cibernético, realizar un monitoreo constante de amenazas y catalogar todo el software y hardware dentro de las redes informáticas.
Los funcionarios estadounidenses han señalado que más ataques cibernéticos a la infraestructura crítica podrían requerir regulaciones obligatorias, como las reglas de la Administración de Seguridad del Transporte que se dieron a conocer después de que los piratas informáticos interrumpieron el gasoducto más grande de la costa este durante seis días en mayo. Esos requisitos obligan a los operadores de oleoductos a denunciar los ataques en un plazo de 12 horas o enfrentar posibles multas de 7.000 dólares al día, dijeron las autoridades.
Las empresas desconfían de tales multas sobre la infraestructura crítica a gran escala.
John Miller, vicepresidente senior de políticas y asesor general del Consejo de la Industria de Tecnología de la Información, una asociación comercial de empresas de tecnología con sede en Washington, dijo que la imposición de sanciones podría impulsar a las empresas a estructurar programas de cumplimiento para evitar multas en lugar de instituir las mejores prácticas para la ciberseguridad.
“Las medidas punitivas serían contraproducentes para mantener la asociación existente que existe actualmente entre el sector privado y el gobierno”, dijo Miller.
Escribir a David Uberti en david.uberti@wsj.com
Copyright © 2021 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8
Fuente: WSJ