La Estrategia Cibernética Nacional recientemente publicada por la administración de Biden propone un nuevo contrato social que asigna la responsabilidad de proteger la seguridad cibernética de la nación al sector privado, no a los usuarios individuales. El modelo novedoso de resiliencia cibernética nacional, que anula décadas de práctica de ciberseguridad, es el resultado de una avalancha inminente de amenazas tecnológicas disruptivas que eclipsarán la capacidad de los ciudadanos comunes y las pequeñas empresas para proteger los datos. El país ya no puede confiar en un modelo en el que los vendedores y proveedores del sector privado imponen la seguridad a los usuarios. La Estrategia Cibernética Nacional se compromete a usar el poder del gobierno para realinear los incentivos y dar forma a los mercados, mediante el uso de zanahorias de financiamiento gubernamental y palos de regulación, para forjar un nuevo contrato social para la seguridad cibernética en un momento de transición.
A diferencia de estrategias anteriores, la nueva Estrategia Cibernética Nacional reequilibra la responsabilidad de generar un nuevo contrato social para una ciberseguridad nacional resiliente para contrarrestar las amenazas de las naciones malintencionadas y la tecnología emergente. Solo el sector privado puede incorporar el desarrollo de productos que prioricen la seguridad para proteger la arquitectura de la información del país de las amenazas convergentes de la modernización de Internet, la computación cuántica y la Internet de las cosas (IoT) hiperconectada, una red de objetos físicos o “cosas”. ”, conectado a Internet que va desde marcapasos hasta hornos domésticos. En su llamado a nuevos principios para la resiliencia cibernética, el documento anula décadas de práctica aceptada para el sector privado y las limitaciones del gobierno. Va más allá de la retórica para declarar que el gobierno debe utilizar sus autoridades para corregir los incentivos desalineados que pondrán en peligro un ecosistema digital floreciente, una propuesta sorprendente.
El director cibernético nacional ahora retirado, Chris Inglis, coordinó la redacción del documento de la administración Biden. Este es el primer documento de este tipo preparado por un director cibernético nacional, y esta versión se destaca por encima de todas las estrategias cibernéticas anteriores. Inglis y su equipo estructuraron el documento en torno a cinco pilares, dos de los cuales, “Dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia” e “Invertir en un futuro resiliente”, son los más destacados por delinear una nueva dirección para la cibernética. Los otros pilares contienen cambios notables, pero nada cercano a las rupturas de esos dos, conocidos como pilares tres y cuatro.
Pilar tres. En esta sección, titulada “Dar forma a las fuerzas del mercado para impulsar la seguridad y la resiliencia”, el documento afirma sin ambigüedades que la dinámica actual del mercado no ha logrado reducir las amenazas ni incentivar a los vendedores y proveedores a poner en primer plano los principios de seguridad desde el diseño al implementar productos. Los administradores de datos, insiste la estrategia, tienen la responsabilidad de salvaguardar la información contra actores malintencionados. El sector privado posee y opera la mayor parte de Internet de la nación; por lo tanto, la mitigación del riesgo de robo de datos, diseño deficiente y vulnerabilidades debería recaer en la industria. Pero hasta ahora, la industria ha tenido pocos incentivos para garantizar que se establezca firmemente una base de seguridad, incluso si se desaceleró el crecimiento de la Internet de las cosas o el lanzamiento de un software.
El resultado es un ecosistema digital que no está preparado para un futuro de amenazas metastásicas.
El equipo cibernético de Biden, sin embargo, no escribió una perorata anticapitalista. El tercer pilar enfatiza que “las fuerzas del mercado siguen siendo la primera y mejor ruta hacia la innovación ágil y efectiva”, pero reconoce que competir por la participación en el mercado se ha producido a expensas de la economía y la seguridad nacional de los Estados Unidos. ¿La solución? Guiar el mercado a través de incentivos y regulación para garantizar que la seguridad permanezca en el centro de la innovación, antes de que las amenazas tecnológicas se agraven y destrocen el ecosistema digital del país.
Ver más: Jaque mate al dólar
La percepción de amenazas de la administración Biden está determinada por los riesgos sistémicos que plantea una explosión de vulnerabilidades de Internet de las cosas y por software que descuida las mejores prácticas básicas de seguridad. Desde los hogares hasta la infraestructura crítica y los dispositivos de salud, poco en los Estados Unidos no se verá afectado por el Internet de las cosas en las próximas décadas. La proliferación de dispositivos de Internet de las cosas multiplica las superficies de ataque a las que los actores de amenazas pueden apuntar para la exfiltración de datos, el secuestro para botnets o para vigilar a los usuarios. Dell proyecta que 41,6 millones de dispositivos conectados a Internet estarán operativos en 2025, y las estimaciones de uso aumentan año tras año. Los proveedores de Internet de las cosas a menudo elevan la implementación por encima de la seguridad. Los consumidores cotidianos poseen poca capacidad para administrar actualizaciones o tienen pleno conocimiento de la responsabilidad limitada que a menudo está oculta en los contratos. De manera similar, se alienta a los diseñadores y proveedores de software a lanzar productos al mercado sin garantías de seguridad para los usuarios. La falta de protocolos de prueba uniformes o claridad en las entradas de terceros deja a los usuarios susceptibles al riesgo; y existe poca evidencia de que el mercado corregirá la negligencia en software o Internet de las Cosas.
El pilar tres respalda una presencia y regulación federal más fuerte para superar la supervisión laxa que permitió que florecieran las vulnerabilidades a expensas de proteger a los usuarios. Las prescripciones de la administración incluyen etiquetas transparentes para dispositivos conectados a Internet, políticas actualizadas de contratación pública y legislación de responsabilidad por software. Este último es de mayor alcance, pero también proporcionaría una opción para que las empresas adopten un puerto seguro de software que establezca las mejores prácticas de diseño y desarrollo. El uso de un puerto seguro de software protegería a las empresas de acciones legales, brindaría a los usuarios el conocimiento de los proveedores que cumplen con los estándares y orientaría la innovación. En lugar de presentar la regulación como una carga que sofoca el mercado, los autores de la estrategia insisten en que la supervisión del gobierno nutre un ecosistema de innovación saludable. En este sentido, el estado está ejerciendo su poder para reajustar el desajuste entre los intereses públicos y privados al mismo tiempo que proporciona a los usuarios la agencia para influir en la industria.
Pilar cuatro. “Invest in a Resilient Future” prevé cómo el gobierno puede aprovechar el gasto federal para prepararse para una transición a una nueva era de amenazas y oportunidades tecnológicas. Esta parte aborda la brecha entre el capital público y el privado que deja vulnerable al país, ya que anticipa los desafíos para la base de Internet, las tecnologías cuánticas y la electrificación a nivel nacional. El cuarto pilar identifica la necesidad de iniciativas federales para garantizar que los ciudadanos puedan confiar en una infraestructura segura, que va desde arquitecturas de información hasta la red eléctrica, que el sector privado no financiará, porque solo el gobierno puede llenar el vacío.
El cuarto pilar identifica tres amenazas fundamentales que requieren inversión federal: el ecosistema de red en evolución de Internet, el cifrado poscuántico y una red eléctrica resistente por diseño. Aunque el sector privado posee la mayor parte de Internet, la modernización de las redes gubernamentales puede crear un impulso para alterar la Internet de la nación. Los dominios y protocolos básicos que sustentan Internet se están actualizando actualmente a un espacio más seguro con menos superficies de ataque. El Protocolo de Internet versión 6 (IPv6) está reemplazando a su predecesor heredado versión 4. (Los protocolos de Internet rigen cómo se transmiten y reciben los datos a través de las redes). La guía de la Agencia de Seguridad Nacional para mitigar las amenazas en la transición del Protocolo de Internet versión 4 al Protocolo de Internet versión 6 destaca que el primero es inadecuado para el creciente número de dispositivos que requerirán conectividad.
Los autores de la última estrategia cibernética también adoptan una visión a mediano plazo sobre el futuro de la criptografía poscuántica. Al reconocer las vulnerabilidades en la transición a la computación cuántica, el pilar cuatro promete que el gobierno acelerará la financiación de la investigación básica y el desarrollo de soluciones de ciberseguridad. Una computadora cuántica completamente operativa que pueda comprometer el cifrado RSA estándar (algoritmo para la transición segura de datos) podría tardar 10 años. O podría llegar en seis años, según la cuenta regresiva de Cloud Security Alliance. Prepararse para ese futuro, como afirman los autores, se beneficia de la iniciativa del gobierno. La ciberseguridad poscuántica requerirá la estandarización de todo el gobierno junto con la adopción por parte de la industria de los algoritmos poscuánticos del Instituto Nacional de Estándares y Tecnología (NIST). Se debe reconocer a la administración de Biden por guiar al país hacia el logro de la agilidad criptográfica poscuántica. La transición a la ciberseguridad poscuántica, como ocurre con la energía, exige que el gobierno ofrezca remedios que aseguren que el sector privado actúa para proteger a los usuarios.
De manera similar, la electrificación generalizada requiere la estandarización de la seguridad cibernética para la próxima ola de almacenamiento, generación y transmisión de nueva energía. El equipo cibernético de Biden reconoce que poner en primer plano la resiliencia cibernética en la infraestructura energética en los albores de una transformación energética es una tarea pesada. National Labs y el Departamento de Energía encabezarán el esfuerzo para evitar que los estados y el sector privado implementen un “mosaico de controles de seguridad” sin la ciberseguridad necesaria para dispositivos y sensores. La solución técnica, sin embargo, depende de que el gobierno conserve su financiación de investigación y desarrollo para dirigir el mercado hacia la creación de oportunidades seguras para los usuarios.
El pilar cuatro se acerca para arreglar la “innovación sin seguridad” con la aplicación inteligente del poder federal, incluido el gasto. La reafirmación del gobierno de su agencia en la configuración del ecosistema de innovación ha sido una prioridad de la administración Biden. Dos leyes, la Ley de Reducción de la Inflación y la Ley CHIPS y de Ciencias, ejemplifican cómo la administración Biden ve la urgencia de que el gobierno regrese a su defensa de la innovación de la era de la Guerra Fría. La estrategia cibernética detalla las prioridades de financiación y documenta cómo un grupo de instituciones gubernamentales están preparadas para implementar un nuevo contrato social cibernético: la Fundación Nacional de Ciencias, el NIST, el Departamento de Energía y su complejo de Laboratorios Nacionales y los Centros de Investigación y Desarrollo con Financiamiento Federal. . Al armonizar formas, medios y fines, el equipo de Inglis aboga por un contrato social cibernético que promueva la innovación.
La génesis del nuevo contrato social cibernético de la estrategia se detalló en el artículo de Asuntos Exteriores de Inglis y Harry Krejsa “El contrato social cibernético: cómo reconstruir la confianza en un mundo digital”. Los autores señalaron que los incentivos desalineados en un contexto de volatilidad cibernética dejaron a la nación, al sector privado y a los ciudadanos en riesgo persistente. La seguridad nacional y la vida cotidiana de los ciudadanos estaban en peligro sin un reinicio, escribieron. Las olas inminentes de digitalización alentarían a los actores maliciosos a aprovecharse de la asombrosa cantidad de vulnerabilidades. “Con una visión compartida y afirmativa, los sectores público y privado pueden construir un nuevo contrato social”, insistieron los autores, “sin socavar la integridad y la vitalidad esenciales para una economía innovadora”.
¿En qué se diferencia el plan en el artículo de Asuntos Exteriores del documento de estrategia de seguridad cibernética de la administración? Inglis y Krejsa evitan una discusión sobre la regulación responsable, como comentó el tecnólogo de interés público Bruce Schneier. Schneier elogió el artículo, pero moderó su elogio al afirmar que “la regulación es la forma en que la sociedad alinea los incentivos del mercado con sus propios valores”. Sin destacar explícitamente el poder del estado para ejercer un martillo regulatorio, Inglis y Krejsa no pueden adoptar por completo el elemento fundamental de la autoridad estatal en la elaboración de un nuevo contrato social para la seguridad cibernética. La Estrategia Cibernética Nacional, por otro lado, sienta las bases para modernizar la forma en que los usuarios, el sector privado y el estado interactúan en el dominio.
La estrategia incluye otros cambios notables, incluida la ausencia de cualquier mención de disuasión y escalada que señale una victoria para los seguidores de Defend Forward, una estrategia que pretende “interrumpir o detener la actividad cibernética maliciosa en su origen”. Durante años, el general Paul Nakasone, director de la Agencia de Seguridad Nacional y comandante del Comando Cibernético de los EE. UU., dirigió una campaña para desalojar la teoría de la disuasión tradicional de la estrategia cibernética. “La disuasión no es una estrategia creíble para el ciberespacio” de Richard Harknett y Michael Fischerkeller de 2017 argumentó en contra de las voces que aplicaron el pensamiento de disuasión a la seguridad cibernética de la nación. Persistieron los debates sobre la disuasión. La Comisión Cyberspace Solarium formuló una estrategia de disuasión cibernética en capas que soldó Defend Forward en su marco para restaurar la disuasión. En última instancia, como se evidencia en el documento de estrategia cibernética, la disuasión es inadecuada para abordar la gravedad de las amenazas tecnológicas que aprovecharán los actores malintencionados.
El documento sirve como testimonio de la previsión de la recomendación de la Comisión de Solarium del Ciberespacio de EE. UU. de respaldar la oficina del Director Nacional Cibernético. La antigua oficina de Inglis posee la fuerza centralizadora para armonizar los intereses interinstitucionales dispares. El Director Nacional Cibernético recluta personal de todo el gobierno, el sector privado y la academia para obtener una visión de 360 grados del panorama de amenazas. Es probable que las futuras administraciones recurran al Director Nacional Cibernético para publicar estrategias cibernéticas que mantengan la perspicacia técnica y la inteligencia política en el informe de 2023. Sin embargo, el logro tiene menos que ver con las capacidades burocráticas que con la capacidad de la estrategia cibernética para imaginar una nueva dinámica operativa para la seguridad cibernética de la nación. El exdirector Inglis y su personal merecen aplausos por este sofisticado documento.
Los obstáculos están presentes, principalmente uno que involucra cómo el sector privado puede resistir la regulación que podría impedir la comercialización de nuevas tecnologías. La estructura de incentivos reinante recompensa la comercialización rápida donde la seguridad está por debajo de los productos apresurados al mercado. La realineación de las prioridades requerirá coherencia en toda la administración de Biden y las presidencias posteriores que se basen en las experiencias forjadas durante el año pasado.
Los caminos para la colaboración mejoraron como resultado de la estrecha cooperación público-privada después del inicio de la Guerra Rusia-Ucrania en 2022. Anne Neuberger, la Asesora Adjunta de Seguridad Nacional para Cibernética y Tecnología Emergente, lo describió como “una mayoría de edad para nuestro comunidad cibernética”. Forjar un nuevo contrato social para el ciberespacio después de ataques de ransomware como el incidente del Oleoducto Colonial de 2021, ataques de alto perfil y el cambio al intercambio de datos de intrusión cibernética se cruza con una nueva conciencia de amenazas después del comienzo de la invasión rusa de Ucrania.
En este entorno, la administración Biden está empleando el poder del gobierno para renegociar las reglas de ciberseguridad. La Estrategia Cibernética Nacional articula una visión audaz para renovar el contrato social cibernético, y la acción es necesaria, si no es que está atrasada. Las superficies de ataque a las que apuntarán actores maliciosos y naciones como China y Rusia están aumentando a un ritmo asombroso. Los riesgos insostenibles requieren la intervención del gobierno para alinear los incentivos y garantizar que los usuarios no sean presa de los errores del sector privado. Esta administración y las posteriores enfrentarán una volatilidad cibernética constante. La acción pronto evitará las fallas del mercado que ponen en peligro el ecosistema digital de la nación que está entretejido en el tejido de la vida diaria de los estadounidenses. Un nuevo contrato social cibernético está atrasado y prepara a la nación para las amenazas ineludibles que se avecinan.
Fuente: The Bulletin
No hay comentarios:
Publicar un comentario