Riesgos de seguridad nacional del capitalismo en etapa tardía


Riesgos de seguridad nacional del capitalismo en etapa tardía

A principios de 2020, los atacantes del ciberespacio que aparentemente trabajaban para el gobierno ruso comprometieron una pieza de software program de administración de red ampliamente utilizado y fabricado por una empresa llamada SolarWinds. El ataque les dio a los atacantes acceso a las redes informáticas de unos 18.000 clientes de SolarWinds, incluidas agencias gubernamentales estadounidenses como el Departamento de Seguridad Nacional y el Departamento de Estado, laboratorios estadounidenses de investigación nuclear, contratistas gubernamentales, empresas de TI y agencias no gubernamentales de todo el mundo.

Fue un ataque enorme, con importantes implicaciones para la seguridad nacional de Estados Unidos. El Comité de Inteligencia del Senado está programado para celebrar una audiencia en la brecha el martes. ¿Quién tiene la culpa?

El gobierno de Estados Unidos merece una culpa substantial, por supuesto, por su inadecuada ciberdefensa. Pero ver el problema solo como una deficiencia técnica es perder el panorama general. La economía de mercado moderna, que recompensa agresivamente a las corporaciones por las ganancias a corto plazo y la agresiva reducción de costos, también es parte del problema: su estructura de incentivos casi asegura que las empresas de tecnología exitosas terminarán vendiendo productos y servicios inseguros.

Como todas las corporaciones con fines de lucro, SolarWinds tiene como objetivo aumentar el valor para los accionistas minimizando los costos y maximizando las ganancias. La compañía es propiedad en gran parte de Silver Lake y Thoma Bravo, firmas de cash privado conocidas por su extrema reducción de costos.

SolarWinds ciertamente parece haber gastado menos en seguridad. La compañía subcontrató gran parte de su ingeniería de program a programadores más baratos en el extranjero, aunque eso generalmente aumenta el riesgo de vulnerabilidades de seguridad. Durante un tiempo, en 2019, la contraseña del servidor de actualización para el software de administración de crimson de SolarWinds Fue reportado para ser «solarwinds123». Los piratas informáticos rusos pudieron violar el propio sistema de correo electrónico de SolarWinds y acechar allí durante meses. Hackers chinos parece haber explotado una vulnerabilidad separada en los productos de la compañía para ingresar a computadoras del gobierno de EE. UU. Un asesor de ciberseguridad de la empresa dijo que renunció después de que se ignoraran sus recomendaciones para fortalecer la seguridad.

No hay ninguna buena razón para gastar menos en seguridad que no sea para ahorrar dinero, especialmente cuando sus clientes incluyen agencias gubernamentales de todo el mundo y cuando los expertos en tecnología a los que paga para asesorarle le dicen que haga más.

Como dice el escritor de economía Matt Stoller ha sugerido, la ciberseguridad es un área normal para que una empresa de tecnología reduzca costos porque sus clientes no se darán cuenta a menos que sean pirateados, y si lo están, ya habrán pagado por el producto. En otras palabras, el riesgo de un ciberataque puede transferirse a los clientes. ¿No pone esta estrategia en peligro la posibilidad de clientes habituales a largo plazo? Claro, existe un peligro allí, pero los inversores están tan concentrados en las ganancias a corto plazo que con demasiada frecuencia están dispuestos a correr ese riesgo.

Al mercado le encanta recompensar a las corporaciones por asumir riesgos cuando esos riesgos son asumidos en gran medida por otras partes, como los contribuyentes. Esto se conoce como «privatizar las ganancias y socializar las pérdidas». Los ejemplos estándar incluyen empresas que se consideran «demasiado grandes para quebrar», lo que significa que la sociedad en su conjunto paga por su mala suerte o malas decisiones comerciales. Cuando la seguridad nacional se ve comprometida por empresas de tecnología de alto vuelo que transfieren los riesgos de ciberseguridad a sus clientes, algo identical está en juego.

Incentivos similares desalineados también afectan su ciberseguridad diaria. Su teléfono inteligente es susceptible a algo llamado fraude de intercambio de SIM porque las compañías telefónicas quieren facilitarle la obtención de un teléfono nuevo con frecuencia, y saben que el costo del fraude es en gran parte asumido por los clientes. Los corredores de datos y las agencias de crédito que recopilan, usan y venden sus datos personales no gastan mucho dinero en protegerlos porque es su problema si alguien los piratea y los roba. Las empresas de redes sociales permiten que el discurso del odio y la información errónea florezcan en sus plataformas porque es costoso y complicado eliminarlos, y no sufren los costos inmediatos de hecho, tienden a beneficiarse de la participación de los usuarios independientemente de su naturaleza.

Hay dos problemas que resolver. La primera es la asimetría de la información: los compradores no pueden juzgar adecuadamente la seguridad de los productos de computer software o las prácticas de la empresa. El segundo es una estructura de incentivos perversa: el mercado alienta a las empresas a tomar decisiones en su interés privado, incluso si eso pone en peligro los intereses más amplios de la sociedad. Juntos, estos dos problemas dan como resultado empresas que ahorran dinero asumiendo un mayor riesgo y luego lo transmiten al resto de nosotros, como individuos y como nación.

La única forma de obligar a las empresas a proporcionar funciones de protección y seguridad para los clientes y usuarios es con la intervención del gobierno. Las empresas deben pagar los verdaderos costos de sus inseguridades mediante una combinación de leyes, regulaciones y responsabilidad lawful. Los gobiernos legislan de forma rutinaria la seguridad: normas de contaminación, cinturones de seguridad de los automóviles, gasolina sin plomo, regulaciones para el servicio de alimentos. Necesitamos hacer lo mismo con la ciberseguridad: el gobierno federal debe establecer estándares mínimos de seguridad para el computer software y el desarrollo de software program.

En los mercados poco regulados de hoy en día, es demasiado fácil para las empresas de software program como SolarWinds ahorrar dinero escatimando en seguridad y esperar lo mejor. Esa es una decisión racional en el mundo de libre mercado actual, y la única forma de cambiar eso es cambiar los incentivos económicos.

Este ensayo aparecido previamente en el New York Situations.

Publicado el 1 de marzo de 2021 a las 6:12 AM •
2 comentarios



Enlace a la noticia first