La orden ejecutiva de Biden enfrenta desafíos al tratar de reforzar la ciberseguridad de EE. UU.


La EO está diseñada para proteger las redes federales, fomentar el intercambio de información entre el gobierno y el sector privado y responder mejor a los incidentes cibernéticos. Pero, ¿funcionará?

00-capital.jpg

Imagen: iStock / tupungato

Alarmada por los recientes ataques cibernéticos que involucran a SolarWinds, Microsoft Exchange y ahora Colonial Pipeline, la Casa Blanca está tomando medidas para intentar apuntalar las ciberdefensas de Estados Unidos. El miércoles,
El presidente Biden firmó una orden ejecutiva

que tiene como objetivo fortalecer la capacidad de la nación para prevenir y responder a ataques cibernéticos que amenazan activos y sistemas vitales.

VER: Política de respuesta a incidentes de seguridad (TechRepublic High quality)

Tras señalar que las insuficientes defensas de ciberseguridad del país dejan a los sectores público y privado más vulnerables a los incidentes cibernéticos, el Orden ejecutiva sobre la mejora de la ciberseguridad de la nación aborda varias áreas clave de mejora. A hoja de hechos que intenta romper la extensa orden ejecutiva (EO) detalla siete acciones distintas que entrarán en vigencia.

La orden ejecutiva se make a raíz del reciente ataque de ransomware contra Colonial Pipeline, que entrega fuel, flamable para calefacción y otras formas de petróleo a hogares y organizaciones en toda la costa este. El ataque obligó a la empresa a desconectar ciertos sistemas, suspendiendo todas las operaciones del oleoducto. Aunque Colonial ha vuelto a poner sus operaciones en línea, el incidente muestra claramente las vulnerabilidades que existen en la infraestructura y los sistemas críticos.

¿La nueva orden ejecutiva marcará una diferencia significativa en la batalla contra los ciberataques? Aunque eso está por verse, es un paso en la dirección correcta.

«Tenemos una administración que comprende y prioriza la cibernética», dijo a TechRepublic el director de seguridad de Cybereason, Sam Curry. «Esto puede, y hará, marcar la diferencia y establecer un sólido ejemplo de liderazgo. Cyber ​​está ahora en la misma conversación que la energía y las carreteras a nivel federal, y esta es una parte importante de la orden ejecutiva».

Más allá de la propia OE, se elogian aspectos específicos de ella. La adopción del modelo de confianza cero, que se mencionó con frecuencia en la orden, tratará a todos los usuarios como no confiables a menos que se demuestre lo contrario. Eso debería establecer un listón alto para que las empresas protejan mejor sus sistemas de command industrial, según Grant Geyer, director de productos del proveedor de ciberseguridad Claroty.

El tipo de etiqueta «Strength Star» para productos de software package creará incentivos económicos para que los desarrolladores se aseguren de que su código sea seguro. Y la configuración de una junta de revisión de seguridad cibernética tiene como objetivo generar confianza pública en el software package, tal como se estableció la NTSB para fomentar la confianza en los viajes en avión, agregó Geyer.

Sin embargo, al igual que muchas iniciativas gubernamentales, la orden ejecutiva enfrenta desafíos clave si quiere hacer mella en la batalla contra los ciberataques.

Lo primero en la lista es si las agencias gubernamentales, que son notoriamente lentas para actuar, se subirán al tren de manera rápida y eficiente.

«Esta orden ejecutiva es muy amplia en términos tanto del alcance de la orden como de los plazos agresivos establecidos por la administración», dijo Bryan Orme, director y socio de GuidePoint Security. «Dada la suposición de que las agencias siguen adelante con su adopción, que es una suposición grande, debería tener un impacto positivo significativo en la fuerza de las defensas cibernéticas de Estados Unidos».

En segundo lugar, el intercambio de información entre el gobierno y el sector privado es un objetivo valioso. Pero debe ser una calle de doble sentido, dijo Padraic O&#39Reilly, cofundador y director de productos de CyberSaint Stability.

«El intercambio de información dentro de la comunidad de ciberseguridad ha sido criticado durante mucho tiempo como algo de lo que debe haber más», dijo O&#39Reilly. «A medida que el gobierno busca aumentar la comunicación entre los sectores público y privado, debe trabajar para garantizar que sea una calle de doble sentido. La OE reconoce esta necesidad, sin embargo, históricamente los CISO del sector privado han sentido que el intercambio de información termina como una relación unilateral «.

Compartir información sobre amenazas es un área que necesita un mayor enfoque, según Joseph Cortese, director de I + D de A-LIGN. La adopción de este tipo de estándar podría generar cuellos de botella dentro de las empresas privadas que realizan inteligencia de amenazas. Es posible que el volumen de datos requerido no se comprenda completamente y podría complicar la capacidad de seguir el orden, agregó Cortese.

En tercer lugar, la orden ejecutiva se aplica principalmente a las agencias gubernamentales y parece tener poco o ningún impacto directo en el sector privado.

«Esta Orden Ejecutiva es un buen primer paso, pero es probable que no cambie materialmente el panorama de amenazas», dijo a TechRepublic Eric Cornelius, director de producto de la empresa de seguridad en la nube iboss. «Si bien la orden prepara el escenario, se centra principalmente en las redes federales. Pero el hecho es que casi toda la infraestructura crítica de Estados Unidos es de propiedad y operación privada. Si los intereses de seguridad nacional de Estados Unidos están realmente protegidos, necesitaremos requisitos regulatorios en todo el país. todos los sectores de infraestructura crítica «.

Sin embargo, la orden fomenta una mayor cooperación entre el gobierno y las empresas. Además, las pautas y requisitos establecidos por el gobierno pueden filtrarse al sector privado.

«Los recientes ataques de ransomware se han dirigido a la infraestructura crítica de EE. UU., Que es propiedad y está operada principalmente por empresas privadas en colaboración con agencias del sector público». Dijo Banda. «La EO deja en claro que la adquisición de software package seguro por parte del gobierno será una prioridad el poder adquisitivo del gobierno puede enviar una señal inequívoca al sector privado de que la seguridad del software program es una necesidad absoluta».

Por último, ¿la orden está adoptando el enfoque correcto o simplemente complicará las cosas hasta el punto de que las acciones especificadas se pierdan?

«Es imposible saber si los problemas que hemos estado experimentando son el resultado de sistemas fundamentalmente rotos o una falla en la adopción de tecnologías y marcos que de otro modo habrían brindado la seguridad adecuada», dijo Cortese. «Visto a través de esa lente, si acumulamos más requisitos de tecnología que no se adoptan en la cadena de suministro, no estaremos mejor».

Ver también



Enlace a la noticia original