RESUMEN EJECUTIVO:
El jueves, la Casa Blanca publicó un ambicioso y amplio plan de seguridad cibernética que exige protecciones de seguridad más sólidas en nombre de los sectores críticos y que exige que las empresas de software sean legalmente responsables de la seguridad de los productos.
Según el documento de estrategia, se utilizarán "todos los instrumentos del poder nacional" para adelantarse ataques cibernéticos.
Los ataques cibernéticos patrocinados por el Estado aumentaron entre 2019 y 2022, aumentando en casi un 100 por ciento. Además, la naturaleza de los ataques evolucionó, pareciendo más motivada políticamente, destructiva y dañina que nunca.
Los funcionarios también declararon que están trabajando para "imponer límites sólidos y claros" a la recopilación de datos del sector privado, incluida la geolocalización y la información de salud privada.
"Todavía tenemos un largo camino por recorrer antes de que todos los estadounidenses se sientan seguros de que el ciberespacio es seguro para ellos", declaró el director cibernético nacional interino, Kemba Walden.
"Esperamos que los distritos escolares se enfrenten cara a cara con las organizaciones criminales transnacionales", en gran parte por su cuenta. "Esto no es solo injusto . Es ineficaz.”
La estrategia codifica principalmente iniciativas que surgieron en los últimos años y que comenzaron después de una serie de ataques de ransomware de alto perfil en infraestructura crítica. En 2021, un ataque a Colonial Pipeline provocó pánico en la bomba y molestó a las pequeñas empresas. Posteriormente, un ataque a un Proveedor de servicios de TI resultó en ransomware e interrupciones del sistema en todo el mundo.
En las últimas semanas, una serie de situaciones inquietantes han reforzado la necesidad de avanzar en la ciberseguridad a nivel nacional. El Servicio de Alguaciles de los Estados Unidos experimentó una violación de datos, al igual que un importante proveedor de televisión estadounidense.
El documento de 35 páginas correspondiente proporciona una base para desarrollar medios más efectivos para contrarrestar las amenazas a las agencias gubernamentales, la industria privada, las escuelas, los hospitales y otros grupos de infraestructura crítica que ahora son atacados regularmente.
"La defensa apenas está ganando. Cada pocas semanas alguien es hackeado terriblemente", dijo Edward Amoroso, CEO de ETIQUETA Cyber.
Amoroso dice que las iniciativas de la Casa Blanca son en gran medida aspiracionales. Las reglas más estrictas pueden encontrar resistencia de los miembros del Congreso.
Otros revisores del documento señalan que, si bien hay mucho que aplaudir, el documento carece de detalles.
El presidente de los Estados Unidos, Joe Biden, dice que su administración se centra en el " desafío sistémico de que gran parte de la responsabilidad de la seguridad cibernética ha recaído en usuarios individuales y pequeñas organizaciones.”
A su vez, el país tendrá que trasladar la responsabilidad legal a los proveedores de software, responsabilizando a las empresas, en lugar de a los usuarios finales vulnerables.
La administración dice que los proveedores habitualmente ignoran las mejores prácticas para el desarrollo seguro de hardware y software, envían productos con configuraciones predeterminadas inseguras e integran software no verificado en los productos. La Casa Blanca insiste en que esto debe cambiar.
La directora de la Agencia de Seguridad Cibernética e Infraestructura, Jen Easterly, señaló recientemente que, en un momento dado, la industria automotriz se vio obligada a incluir cinturones de seguridad y bolsas de aire en los vehículos. La carga de la seguridad nunca debe recaer solo en el cliente, dijo. Más bien, la industria debe tomar posesión de los resultados de seguridad.
Para más información sobre esta historia, haga clic aquí. Por último, para recibir más noticias, mejores prácticas y análisis de ciberseguridad de vanguardia, regístrese en el CyberTalk.org boletín de noticias.
Post La estrategia de ciberseguridad de la Casa Blanca traslada la carga a los proveedores apareció primero en Charla cibernética.