Los analistas cuestionan la viabilidad de la orden ejecutiva de última hora de Trump sobre los usuarios extranjeros de las empresas IaaS


En respuesta al ataque de Solar Winds, la orden obliga a las empresas de la nube a conservar los nombres, direcciones, correos electrónicos, números de tarjetas de crédito y más, siempre que se utilicen servicios en la nube.

shutterstock272183825.jpg

Shutterstock / Andrew Cline

En uno de los últimos actos en el cargo del expresidente Donald Trump, firmó una orden ejecutiva que obliga a las empresas estadounidenses en la nube para realizar un seguimiento de los clientes extranjeros.

La orden ejecutiva también permite que el Departamento de Comercio impida que ciertas empresas de IaaS brinden servicios a piratas informáticos conocidos, personas que se sabe que han vendido cuentas a piratas informáticos o personas de países que han sido la fuente de muchos ciberataques habilitados en la nube.

En un comunicado, el asesor de seguridad nacional Robert O&#39Brien dijo que la orden ejecutiva «cierra una laguna de seguridad crítica y de larga knowledge para los productos de infraestructura como servicio de Estados Unidos, una de la que abusan quienes buscan dañar nuestro país».

Añadió que «lessen el acceso y la capacidad de los actores malignos para utilizar la tecnología de la información y los productos de servicios de comunicación de Estados Unidos para propósitos nefastos» y mencionó el devastador ataque de Solar Winds que todavía está asolando al gobierno de Estados Unidos.

La orden obliga a las empresas de la nube a conservar los nombres, direcciones, correos electrónicos, números de identificación nacional, números de tarjetas de crédito, números de teléfono, direcciones IP y más información cada vez que se utilizan los servicios en la nube.

Múltiples analistas cuestionaron el momento de la orden ejecutiva y la criticaron por ser en gran medida ineficaz a la luz de las luchas que enfrenta el gobierno para comprender el alcance del ataque de Photo voltaic Winds.

«No creo que esto logre nada, pero no está destinado a hacerlo, está destinado a quedar bien en el papel, aunque solo sea para aquellos que no entienden la ciberseguridad», dijo Chloé Messdaghi, estratega jefe de la empresa de ciberseguridad Level3 Stability.

VER: Los 5 principales lenguajes de programación que deben aprender los administradores de sistemas (PDF gratuito) (TechRepublic)

“Aquellos en la comunidad de ciberseguridad ven esto como un acto desdentado e irresponsable que indica &#39Estoy haciendo algo en mi camino hacia la puerta&#39. Es desdentado porque los atacantes no respetan las leyes o reglamentos, ¿verdad? Es un gesto vacío y sin sentido «, agregó Messdaghi.

Dirk Schrader, vicepresidente global de New Net Systems cuestionó lo que pensarían las empresas al considerar una orden ejecutiva como esta, considerando que todas dependen de los clientes en el extranjero para partes importantes de su negocio.

«Microsoft, Amazon, Google y muchos proveedores de IaaS más pequeños con sede en Estados Unidos leerán esto y dirán &#39¿qué?&#39 Sus modelos comerciales globales dependen de revendedores e integradores en países extranjeros, todos tienen entidades comerciales en todo el mundo «, señaló.

Además, los reguladores de privacidad de datos en la UE seguramente estarán ansiosos por ver las regulaciones estadounidenses propuestas, especialmente a la luz de la reciente decisión Schrems-II que invalida el &#39Escudo de privacidad&#39, el sucesor del &#39Puerto seguro&#39 El requisito de conservar los datos personales de los usuarios europeos, como se menciona en esa orden ejecutiva, despertará su interés «.

Saryu Nayyar, director ejecutivo de la firma de ciberseguridad Gurucul, dijo que la utilidad de la orden dependerá de qué reglas, si las hay, se deriven de ella.

Nayyar explicó que simplemente declara «hacer algo sobre el problema» sin dar ninguna orientación sobre lo que se debe hacer específicamente.

«Lo que en última instancia resulte de esto dependerá de que la nueva administración haga que el Departamento de Comercio siga la orden y las reglas que finalmente instituya. Idealmente, las reglas estarían diseñadas para detener a los actores maliciosos independientemente de su origen, ya sea nacional o extranjero», dijo Nayyar. .

El oficial de protección de datos world wide de OneLogin, Niamh Muldoon, cuestionó la orden ejecutiva porque IaaS y otras ofertas de productos basados ​​en la nube han ayudado a permitir que la economía y la sociedad world-wide sigan avanzando durante esta pandemia.

Equilibrar el costo y el riesgo asociados con la entrega de servicios es lo que diferencia a estas plataformas y proveedores de aplicaciones, que se construyen sobre una base de gestión segura de identidades y accesos, agregó Muldoon.

Pero algunos analistas dijeron que la responsabilidad recaerá sobre el presidente Joe Biden para descubrir cómo implementar una orden como esta.

«Está claro que varios malos actores continuarán apuntándose de manera agresiva y creativa a la infraestructura crítica de EE. UU., Incluida la infraestructura de nube pública», dijo Douglas Murray, director ejecutivo de la empresa de software package Valtix. «Es importante que la administración de Biden haga de la ciberseguridad una prioridad máxima para nuestra defensa nacional y económica en el futuro».

Ver también



Enlace a la noticia authentic