La Casa Blanca lanza su nueva contraofensiva contra China y Rusia, su nuevo Plan de Ciberseguridad, también llamada estrategia de ciberseguridad. El borrador que se ha presentado es bastante agresivo, por un lado, pero permisivo por otro, y como es de esperar, va a forzar a las empresas americanas a invertir mucho más en seguridad cibernética, donde la IA deberá jugar un papel fundamental en el futuro.
¿Quién tiene la responsabilidad cuando se sufre un hackeo a través de los servicios de una empresa privada y este llega al gobierno a través de un trabajador? ¿Quién tiene la culpa de que ataquen al ministerio de defensa con software de una empresa privada y los hackers encuentren un hueco por donde colarse? EE.UU. está en una encrucijada que China y Rusia están resolviendo a golpe de talonario y de inversión, por lo tanto, los americanos reaccionan de una forma muy particular.
Plan de Ciberseguridad de EE.UU.: así van a defender los americanos el ciberespacio
Pues sí, es de lo que va todo esto, de cómo defenderse ante ataques externos, que son miles diarios. El texto relata que “China actualmente es la amenaza más amplia, más activa y más persistente para las redes gubernamentales y del sector privado”, así que se han puesto manos a la obra para terminar con la brecha.
Como buen borrador de ley, que irá evolucionando hasta la propuesta final y luego será presentado para ser votado, lo que se busca es fijar objetivos, no imponer nada o limitar con reglas básicas. Como decían en Matrix “es el objetivo lo que nos define“, así que lo primero que ha hecho la administración Biden es reconsiderar la infraestructura crítica para fijar dicho objetivo por parte de los atacantes.
Los principales agraviados han sido los servicios en la nube y su infraestructura al completo, además de las empresas de software. Por ello, se insta a que se cumplan unos estándares mínimos de seguridad, y si no es así, se tendrán que enfrentar responsabilidades legales. Como no se han definido esos estándares, pues no hay nada que ofrecer aquí, pero ya han dejado claro que la cosa va muy en serio.
Inversión en seguridad y cumplimiento de estándares será igual a exenciones fiscales e incentivos
Lógicamente, el gobierno sabe que va a apretar las tuercas a empresas que ya compiten a nivel mundial contra otros gigantes, lo que supondrá un gasto en tiempo, recursos y personal. Por ello, las que lo hagan (que serán todas les guste o no) tendrán exenciones fiscales e incentivos económicos o legislativos que se fijarán más adelante.
Por ello, la administración trabajará para que estas empresas, sobre todo las de software, cumplan con la responsabilidad de sus productos en cuanto a razones de seguridad se refiere. En otras palabras, van a vigilar a las empresas de software para que los productos que lancen sean seguros, tal y como dice el documento:
“Las empresas que fabrican software deben tener la libertad de innovar, pero también deben ser responsables cuando no cumplen con el deber del cuidado que les deben a los consumidores, empresas o proveedores de infraestructura crítica.
El lapso momentáneo de “juicio” de una sola persona, el uso de una contraseña obsoleta o el clic erróneo en un enlace sospechoso no deberían tener consecuencias para la seguridad nacional. Proteger los datos y garantizar la confiabilidad de los sistemas críticos debe ser responsabilidad de los propietarios y operadores de los sistemas que contienen nuestros datos y hacen que nuestra sociedad funcione, así como de los proveedores de tecnología que construyen y dan servicio a estos sistemas.”
En definitiva, exime al usuario de cualquier responsabilidad y conocimiento y hace culpable a la empresa de software o de la infraestructura que lo soporte, de manera que son estas las que van a tener que cargar con la carga de hacer sus sistemas totalmente seguros contra “dummies”, es decir, con cualquiera que no tenga ni el criterio ni la más mínima idea de a donde se mete o hace clic.
El ransomware en la mirilla telescópica de EE.UU.
Esto está enfocado, según se argumenta en el texto, por los ransomware, los cuales están creando verdaderos quebraderos de cabeza por correos electrónicos, conversaciones, mensajes y otras formas de suplantación de identidad, donde funcionarios del estado son engañados y tras ello, el sistema o el conglomerado de sistemas terminan siendo infectados, en muchas ocasiones sin solución rápida de desinfección.
Además, aquí entran las agencias de inteligencia de por medio, puesto que en estos casos actuarán para buscar los “intercambios de criptomonedas ilícitos”, no permitiendo así cobrar por la coacción y deteniendo a los atacantes.
Como vemos, EE.UU. no va a cambiar su infraestructura de hardware como harán China y Rusia, sino que se va a blindar con la que actualmente tiene mediante un software mucho más seguro y de paso, amenaza directamente a todo aquel que quiera atacarles cibernéticamente. Un enfoque válido, pero tremendamente complejo, puesto que el software es cada vez más potente, grande y con más vulnerabilidades si cabe.
Fuente: https://elchapuzasinformatico.com/2023/03/plan-ciberseguridad-ee-uu/