La Casa Blanca detalla su estrategia de ciberseguridad

Después de varios meses de discusiones "entre más de 20 agencias gubernamentales" y consultas con "empresas del sector privado", la Casa Blanca dio a conocer ayer su estrategia nacional de ciberseguridad. Deben tenerse en cuenta varios puntos, en particular, un reequilibrio de la responsabilidad de riesgo de los editores, pero también requisitos mínimos obligatorios en términos de seguridad para sectores críticos. En total, la estrategia se basa en 5 pilares.

Reforzar la seguridad de las actividades críticas

Sobre los jugadores de infraestructura crítica, la administración de EE. UU. quiere intensificar la regulación. “La ausencia de requisitos obligatorios resultó en resultados inadecuados e inconsistentes”, señala el documento. Agrega que “el mercado actual no recompensa suficientemente, y a menudo pone en desventaja, a los propietarios y operadores de infraestructura crítica que invierten en medidas proactivas para prevenir o mitigar los efectos de los incidentes cibernéticos”.

Por lo tanto, el gobierno federal establecerá restricciones mínimas de seguridad cibernética (incluso legislando si es necesario) para estos jugadores, basándose en particular en el marco NIST. Este enfoque recuerda al adoptado en Francia hace unos años por la LPM (ley de planificación militar) sobre la seguridad de los OIV (operadores de vital importancia) o más recientemente la evolución de la directiva europea NIS y OSE (operadores de servicios esenciales) .

Responsabilidad de los editores al mando

A principios de esta semana, la líder de CISA, Jen Easterly, preparó el escenario en una conferencia en la Universidad Carnegie Mellon al decir que "los proveedores de tecnología deben priorizar la seguridad de sus productos sobre otros incentivos como el costo, las funciones y la velocidad de comercialización". Y para sugerir que " el gobierno responsabiliza a las empresas por vender productos vulnerables que los delincuentes y los estados nacionales luego explotan en ataques cibernéticos”. Y es esta posición la que ratifica la estrategia nacional.

“Demasiados proveedores ignoran las mejores prácticas de desarrollo seguro, envían productos con configuraciones predeterminadas inseguras o vulnerabilidades conocidas e integran software de terceros de procedencia desconocida o no verificada”, se lee en el documento. Por lo tanto, la administración propone transferir la responsabilidad de los particulares y las empresas a los editores. Para lograr este objetivo, la administración trabajará con el Congreso y el sector privado para crear un marco de puerto seguro para proteger de responsabilidad a las empresas que desarrollan y mantienen sus productos de manera segura. Este Puerto Seguro se basará en el Marco de Desarrollo de Software Seguro de NIST y otros trabajos. Además, el gobierno de EE. UU. alentará la divulgación coordinada de vulnerabilidades, el inventario de software avanzado (SBOM, Software Bill of Materials) dentro de las empresas y desarrollará un proceso para identificar y mitigar los riesgos en el software. No soportado.

Invertir en resiliencia y habilidades

los 4^el El pilar enfatiza las inversiones del gobierno federal en varias iniciativas nacionales, pero también en trabajar con otros países para optimizar las tecnologías de ciberseguridad. Esta parte de la estrategia también destaca las habilidades y las cuestiones de diversidad entre los profesionales de la seguridad. Las autoridades quieren establecer un programa específico de formación y contratación en este ámbito.

También dentro de este pilar, la administración de Biden se está involucrando en un esfuerzo de "limpieza" de los problemas que afectan las tecnologías centrales de Internet. Este es particularmente el caso de BGP, las solicitudes de DNS sin cifrar y la adopción demasiado lenta de IPv6. Otros esfuerzos se dirigen en particular hacia soluciones sólidas de identidad digital.

Fortalecer la colaboración público-privada

El pilar final de la estrategia nacional tiene como objetivo reunir a los sectores público y privado para obtener una mayor visibilidad de la actividad del adversario. Se alienta a los socios del sector privado a trabajar con el gobierno federal a través de una o más organizaciones sin fines de lucro, como la Alianza Nacional de Ciberforense y Capacitación, y otras para la colaboración operativa.

Al mismo tiempo, la administración quiere trabajar con los proveedores de la nube y otras empresas para identificar más rápidamente los usos maliciosos de la infraestructura basada en los EE. UU. Finalmente, el gobierno quiere intensificar la lucha contra el ransomware a nivel internacional.