WASHINGTON – Si bien la costa este sufrió los efectos de un ataque de ransomware en un gran oleoducto, el presidente Biden firmó una orden ejecutiva el miércoles que imponía nuevos estándares estrictos de seguridad cibernética para cualquier software vendido al gobierno federal.
La medida es parte de un esfuerzo más amplio para fortalecer las defensas de Estados Unidos alentando a las empresas privadas a practicar mejor la ciberseguridad o correr el riesgo de quedarse sin contratos federales. Pero el efecto mayor puede provenir de lo que, con el tiempo, podría volverse similar a una clasificación gubernamental para la seguridad de los productos de software, al igual que los automóviles obtienen una calificación de seguridad o los restaurantes en Nueva York obtienen una calificación de seguridad sanitaria.
La solicitud se produce en medio de una ola de nuevos ciberataques, más sofisticados y de mayor alcance que nunca. El año pasado, casi 2.400 ataques de ransomware afectaron a oficinas corporativas, locales y federales en planes de extorsión que bloquean los datos de las víctimas, o los publican, a menos que paguen un rescate.
El miedo más urgente es un ataque a la infraestructura crítica, un punto que quedó claro esta semana a los estadounidenses, que estaban en pánico comprando gasolina. Un ataque de ransomware en los sistemas de información de Colonial Pipeline obligó a la compañía a cerrar un oleoducto crítico que suministra el 45% del gas, diesel y combustible de aviación de la costa este durante varios días.
Si bien todos los presidentes desde George W. Bush han emitido nuevas pautas para reforzar las defensas digitales del país, la orden de Biden tiene como objetivo llegar profundamente al sector privado. Y es mucho más detallado que los esfuerzos anteriores.
Por primera vez, Estados Unidos exigirá que todo el software comprado por el gobierno federal cumpla, en seis meses, con una serie de nuevos estándares de ciberseguridad. Aunque las empresas tenían que «autocertificarse», los infractores serían eliminados de las listas de compras federales, lo que podría destruir sus posibilidades de vender sus productos en el mercado comercial.
La orden también establece una junta de revisión de incidentes, así como equipos que investigan accidentes aéreos, para aprender lecciones de los principales episodios de piratas informáticos. La Casa Blanca determina que el primer incidente bajo revisión será el hack de SolarWinds, en el que la agencia de inteligencia líder de Rusia alteró el código de computadora del software de administración de red de una empresa estadounidense. Le dio a Rusia un amplio acceso a 18.000 agencias, organizaciones y empresas, principalmente en los Estados Unidos.
La nueva orden también requiere que todas las agencias federales cifren los datos, ya sean almacenados o transmitidos, dos desafíos muy diferentes. Cuando China robó 21,5 millones de archivos de funcionarios federales y contratistas con autorización de seguridad, ninguno de los archivos estaba encriptado, lo que significa que se podían leer fácilmente. (Los hackers chinos, concluyeron los investigadores más tarde, cifraron los archivos ellos mismos, para evitar ser detectados al enviar registros confidenciales a Beijing).
Los esfuerzos anteriores para imponer estándares mínimos de software no han logrado aprobarse en el Congreso, especialmente en una confrontación importante hace nueve años. Las pequeñas empresas dijeron que los cambios no son accesibles y las más grandes se han opuesto al papel intrusivo del gobierno federal en sus sistemas.
Pero Biden decidió que era más importante actuar con rapidez que tratar de luchar por términos más amplios del Capitolio. Sus asesores dijeron que era un primer paso y los funcionarios de la industria dijeron que era más atrevido de lo que esperaban.
Amit Yoran, director ejecutivo de Tenable y exoficial de ciberseguridad del Departamento de Seguridad Nacional, dijo que la pregunta en la mente de todos era si la orden de Biden detendría los próximos ataques coloniales o SolarWinds.
«Ninguna política, iniciativa gubernamental o tecnología puede hacer eso», dijo Yoran. «Pero este es un gran comienzo».
Los funcionarios del gobierno se quejaron de que Colonial tenía malas defensas y, aunque había establecido una protección estricta alrededor de sus redes de computadoras, no tenía forma de monitorear a un oponente que ingresara. La administración de Biden espera que los estándares establecidos en la orden ejecutiva, que requieren autenticación multifactor y otras salvaguardas, se generalicen y mejoren la seguridad a nivel mundial.
El senador Mark Warner, un demócrata de Virginia y presidente del Comité de Inteligencia del Senado, elogió la orden, pero dijo que debería ser seguida por una acción del Congreso.
Warner dijo que los ataques recientes «destacaron lo que se ha vuelto cada vez más obvio en los últimos años: que Estados Unidos simplemente no está preparado para repeler a los piratas informáticos patrocinados por el estado o incluso a los delincuentes que pretenden comprometer nuestros sistemas con fines de lucro o espionaje».
El nuevo orden es la primera gran parte pública de una revisión de múltiples niveles de estrategias defensivas, ofensivas y legales para enfrentar a oponentes en todo el mundo. Esta orden ejecutiva, sin embargo, se enfoca completamente en profundizar las defensas, con la esperanza de disuadir a los atacantes porque temen que fallen o corran un mayor riesgo de ser detectados.
El Departamento de Justicia está creando un nuevo grupo de trabajo para abordar el ransomware, luego del descubrimiento en los últimos meses de que tales ataques son más que una mera extorsión, pueden derribar sectores de la economía.
Biden anunció sanciones contra Rusia por el ataque a SolarWinds, y su asesor de seguridad nacional, Jake Sullivan, dijo que también habría consecuencias «invisibles». Hasta el momento, Estados Unidos no ha tomado medidas similares contra el gobierno de China por su supuesta participación en otro ataque, explotando agujeros en un sistema de Microsoft utilizado por grandes empresas de todo el mundo.
La orden ejecutiva se redactó por primera vez en febrero en respuesta a la intrusión de SolarWinds. Este ataque fue especialmente sofisticado porque los piratas informáticos que trabajaban para el gobierno ruso pudieron alterar el código que estaba desarrollando la empresa, que distribuyó el malware sin sospechar una actualización de sus paquetes de software. Fue descubierto durante la transición de Biden y lo llevó a declarar que no podía confiar en la integridad de los sistemas informáticos federales.
La junta de revisión creada por la orden ejecutiva estará copresidida por el secretario de seguridad interna y un funcionario del sector privado, en función del episodio específico que está investigando actualmente, en un esfuerzo por ganarse a los ejecutivos de la industria que temen que las investigaciones puedan ser forraje. para procedimientos legales.
Debido a que fue creado por orden ejecutiva y no por una ley del Congreso, el nuevo consejo no tendrá los mismos poderes amplios que un consejo de seguridad. Pero los funcionarios aún esperan que sea valioso para aprender sobre las vulnerabilidades, mejorar las prácticas de seguridad y alentar a las empresas a invertir más en la mejora de sus redes.
Gran parte de la orden ejecutiva se centra en el intercambio de información y la transparencia. El objetivo es acelerar el tiempo en que las empresas que han sido víctimas de un hackeo o descubren vulnerabilidades comparten esta información con la Agencia de Infraestructura y Seguridad Cibernética.