Biden emite una orden ejecutiva para fortalecer las redes de ciberseguridad de la nación


La administración, los líderes del sector público y privado aplauden los pasos iniciales descritos, pero dijeron que se deben tomar más medidas.

20210511-pipeline-karen.jpg

Imagen: Mackenzie Burke, Getty Visuals

Presidente Joe Biden firmó una orden ejecutiva Miércoles diseñado para proteger mejor las redes del gobierno federal de los ciberataques, luego del ataque de esta semana al Oleoducto Colonial. Al mismo tiempo, la Casa Blanca reconoció que se necesitaría hacer más para detener un ataque como ese, y calificó el pirateo del Colonial Pipeline como un «recordatorio aleccionador de que las entidades del sector público y privado de EE. UU. Enfrentan cada vez más una sofisticada actividad cibernética maliciosa de ambos países. actores estatales y ciberdelincuentes «.

VER: Política de respuesta a incidentes de seguridad (TechRepublic Premium)

El objetivo de la EO es modernizar las defensas de seguridad cibernética protegiendo las redes federales y mejorando el intercambio de información entre el gobierno y las entidades privadas sobre asuntos cibernéticos.

La orden específicamente requiere:

  • Eliminar las barreras al intercambio de información entre el gobierno y el sector privado relacionadas con las infracciones.

  • Modernizar e implementar estándares de ciberseguridad más sólidos en el gobierno federal. Esto ayudará al gobierno a asegurar los servicios en la nube y una arquitectura de confianza cero y exige el despliegue de la autenticación y el cifrado multifactoriales con un período de tiempo específico.

  • Mejorar la seguridad de la cadena de suministro de computer software mediante el establecimiento de estándares de seguridad básicos para el desarrollo de computer software vendido al gobierno. Esto requerirá que los desarrolladores mantengan una mayor visibilidad de su software program y pongan los datos de seguridad a disposición del público.

  • Establecer una junta de revisión de seguridad cibernética compuesta por líderes gubernamentales y del sector privado.

  • Crear un manual de estrategias estándar para responder a incidentes cibernéticos con un conjunto de definiciones para la respuesta a incidentes cibernéticos por parte de departamentos y agencias federales.

  • Mejorar la detección de incidentes de ciberseguridad en las redes del gobierno federal. La EO tiene como objetivo mejorar la capacidad de detectar actividad cibernética maliciosa en las redes federales al permitir un sistema de respuesta y detección de puntos finales en todo el gobierno y un mejor intercambio de información.

  • Mejorar las capacidades de investigación y reparación mediante la creación de un requisito de registro de eventos de ciberseguridad para los departamentos y agencias federales.

Gobierno, líderes del sector privado reaccionan

El senador Mark Warner (D-VA), presidente del Comité Selecto de Inteligencia del Senado, llamó a la EO «un buen primer paso. «Warner dijo:» El Congreso tendrá que intensificar y hacer más para abordar nuestras vulnerabilidades cibernéticas «, y trabajará» con la administración y los colegas de ambos lados del pasillo para cerrar esas brechas «.

Los líderes de las empresas de ciberseguridad reaccionaron a la orden con un optimismo cauteloso y algunos también recordaron el reciente ataque de SolarWinds.

Jyoti Bansal, director ejecutivo de Traceable and Harness, dijo que le alentaba ver que la administración tomaba medidas concretas para mejorar los estándares de ciberseguridad.

«La gravedad y la naturaleza generalizada del ataque SolarWinds demuestra claramente que el impacto de los ataques cibernéticos de los estados nacionales ha alcanzado un nuevo nivel de riesgo», dijo Bansal. «Hay mucho desarrollo de program detrás de cómo las agencias gubernamentales operan e interactúan con los ciudadanos en estos días».

Estos ataques han demostrado que el código de computer software y todos los proveedores externos en la cadena de suministro de software «son el próximo vector clave de ataque y continuarán siéndolo», dijo.

Pero Bansal también advirtió que la regulación prescriptiva por sí sola es insuficiente. «Necesitamos que los líderes de la industria adopten prácticas de desarrollo seguras y hagan de la seguridad una prioridad inequívoca en todos los niveles. La responsabilidad es otra parte de la respuesta: el costo de las violaciones de seguridad debe ser suficiente para motivar a los proveedores y a los profesionales de TI a realizar cambios para detectar y prevenir de manera proactiva más vulnerabilidades «.

Rick Tracy, CSO de Telos Company, dijo que elogia a la Casa Blanca por emitir «una orden ejecutiva extensa que reconoce la gravedad y el alcance de los desafíos de seguridad cibernética que enfrentan los sectores público y privado, el pueblo estadounidense y nuestra economía».

Tracy dijo que estaba animado por el impulso normal de la orden. Dijo que aplaude especialmente el hecho de que se les pida a los departamentos y agencias federales que sigan los pasos de muchos en el sector privado para «avanzar más rápidamente para adoptar servicios seguros en la nube, el requisito de que adopten la autenticación multifactorial y el impulso para una mayor uso en el gobierno de prácticas como la arquitectura de confianza cero «.

Tracy también calificó el requisito de la orden de que los proveedores de TI ahora deben compartir la información de la infracción «muy atrasado, ya que esta información es demasiado critical para proteger los sistemas federales para que dicho intercambio sea voluntario».

Dijo que espera que se tomen más acciones gubernamentales para crear incentivos para alentar a las empresas privadas a adoptar la Marco de ciberseguridad del NIST y emprender otras acciones contundentes para proteger mejor sus redes y sistemas.

Charles Herring, CTO y cofundador de WitFoo, calificó a la EO como «amplia y lleva un cronograma agresivo para hacer de las salvaguardas vencidas una prioridad urgente».

Herring agregó que «el mandato para la implementación inmediata de autenticación multifactor, EDR y tecnologías de retención de registros en todas las agencias federales son mejoras críticas necesarias para modernizar y fortalecer la infraestructura gubernamental. Estas tecnologías también brindan visibilidad esencial en un área de superficie muy amplia en todo el ejecutivo rama que permitirá a los investigadores rastrear y responder eficazmente a los ataques emergentes «.

Herring también señaló que la segunda sección de la orden señala problemas con la forma en que los proveedores de servicios cobran al gobierno por compartir información sobre amenazas e incidentes. Pide a la OMB que cree un nuevo lenguaje contractual dentro de los 60 días para exigir a los proveedores que recopilen y conserven los datos de amenazas e incidentes y que los pongan a disposición del gobierno federal al tiempo que eliminan los «términos o restricciones contractuales» restrictivos que «pueden limitar el intercambio» de esta informacion.

«El lenguaje indica que el gobierno espera que los proveedores compartan inteligencia patentada que muchos proveedores venden actualmente con una prima», dijo.

La brecha de SolarWinds destacó la necesidad de aumentar las auditorías de la cadena de suministro de software program, dijo. En distinct, Herring dijo que la sección 4 de la EO contiene «lenguaje progresivo» que requiere que los proveedores de computer software realicen análisis del código fuente en los ciclos de lanzamiento y que proporcionen pruebas de código seguro antes de entregar nuevas versiones al gobierno federal.

Si los proveedores no cumplen con estos requisitos, perderán contratos, dijo Herring. «Durante años, la integridad del código fuente no ha sido auditada en gran medida, lo que dejará a muchos proveedores de application luchando por actualizar los procedimientos de operaciones de desarrollo seguro, adquirir herramientas para probar el código, volver a capacitar a los desarrolladores para que utilicen enfoques de codificación segura y volver a escribir miles de líneas de código para cumplir «, dijo Herring. «Es un golpe potencialmente devastador para los proveedores que han descuidado estos pasos de higiene».

Al menos un proveedor de seguridad criticó al gobierno por no adoptar una postura más firme. La EO «está notoriamente ausente de cualquier mención del papel del gobierno federal a la hora de disuadir a los actores maliciosos», dijo Mark Carrigan, vicepresidente senior de excelencia en ventas globales de Hexagon. «Una estrategia ofensiva de ciberseguridad no puede ser asumida por la industria. Las empresas no están en el negocio de tomar contramedidas para desincentivar o castigar a los atacantes. Es responsabilidad del gobierno establecer leyes y enjuiciar estrictamente a los ciberatacantes de infraestructura crítica».

Ver también



Enlace a la noticia primary