La Estrategia Cibernética Nacional recientemente publicada por la
administración de Biden propone un nuevo contrato social que asigna la
responsabilidad de proteger la seguridad cibernética de la nación al
sector privado, no a los usuarios individuales. El modelo novedoso de
resiliencia cibernética nacional, que anula décadas de práctica de
ciberseguridad, es el resultado de una avalancha inminente de amenazas
tecnológicas disruptivas que eclipsarán la capacidad de los ciudadanos
comunes y las pequeñas empresas para proteger los datos. El país ya no
puede confiar en un modelo en el que los vendedores y proveedores del
sector privado imponen la seguridad a los usuarios. La Estrategia
Cibernética Nacional se compromete a usar el poder del gobierno para
realinear los incentivos y dar forma a los mercados, mediante el uso de
zanahorias de financiamiento gubernamental y palos de regulación, para
forjar un nuevo contrato social para la seguridad cibernética en un
momento de transición.
A diferencia de estrategias anteriores, la
nueva Estrategia Cibernética Nacional reequilibra la responsabilidad de
generar un nuevo contrato social para una ciberseguridad nacional
resiliente para contrarrestar las amenazas de las naciones
malintencionadas y la tecnología emergente. Solo el sector privado puede
incorporar el desarrollo de productos que prioricen la seguridad para
proteger la arquitectura de la información del país de las amenazas
convergentes de la modernización de Internet, la computación cuántica y
la Internet de las cosas (IoT) hiperconectada, una red de objetos
físicos o “cosas”. ”, conectado a Internet que va desde marcapasos hasta
hornos domésticos. En su llamado a nuevos principios para la
resiliencia cibernética, el documento anula décadas de práctica aceptada
para el sector privado y las limitaciones del gobierno. Va más allá de
la retórica para declarar que el gobierno debe utilizar sus autoridades
para corregir los incentivos desalineados que pondrán en peligro un
ecosistema digital floreciente, una propuesta sorprendente.
El
director cibernético nacional ahora retirado, Chris Inglis, coordinó la
redacción del documento de la administración Biden. Este es el primer
documento de este tipo preparado por un director cibernético nacional, y
esta versión se destaca por encima de todas las estrategias
cibernéticas anteriores. Inglis y su equipo estructuraron el documento
en torno a cinco pilares, dos de los cuales, “Dar forma a las fuerzas
del mercado para impulsar la seguridad y la resiliencia” e “Invertir en
un futuro resiliente”, son los más destacados por delinear una nueva
dirección para la cibernética. Los otros pilares contienen cambios
notables, pero nada cercano a las rupturas de esos dos, conocidos como
pilares tres y cuatro.
Pilar tres. En esta
sección, titulada “Dar forma a las fuerzas del mercado para impulsar la
seguridad y la resiliencia”, el documento afirma sin ambigüedades que la
dinámica actual del mercado no ha logrado reducir las amenazas ni
incentivar a los vendedores y proveedores a poner en primer plano los
principios de seguridad desde el diseño al implementar productos. Los
administradores de datos, insiste la estrategia, tienen la
responsabilidad de salvaguardar la información contra actores
malintencionados. El sector privado posee y opera la mayor parte de
Internet de la nación; por lo tanto, la mitigación del riesgo de robo de
datos, diseño deficiente y vulnerabilidades debería recaer en la
industria. Pero hasta ahora, la industria ha tenido pocos incentivos
para garantizar que se establezca firmemente una base de seguridad,
incluso si se desaceleró el crecimiento de la Internet de las cosas o el
lanzamiento de un software.
El resultado es un ecosistema digital que no está preparado para un futuro de amenazas metastásicas.
El
equipo cibernético de Biden, sin embargo, no escribió una perorata
anticapitalista. El tercer pilar enfatiza que “las fuerzas del mercado
siguen siendo la primera y mejor ruta hacia la innovación ágil y
efectiva”, pero reconoce que competir por la participación en el mercado
se ha producido a expensas de la economía y la seguridad nacional de
los Estados Unidos. ¿La solución? Guiar el mercado a través de
incentivos y regulación para garantizar que la seguridad permanezca en
el centro de la innovación, antes de que las amenazas tecnológicas se
agraven y destrocen el ecosistema digital del país.
Ver más: Jaque mate al dólar
La
percepción de amenazas de la administración Biden está determinada por
los riesgos sistémicos que plantea una explosión de vulnerabilidades de
Internet de las cosas y por software que descuida las mejores prácticas
básicas de seguridad. Desde los hogares hasta la infraestructura crítica
y los dispositivos de salud, poco en los Estados Unidos no se verá
afectado por el Internet de las cosas en las próximas décadas. La
proliferación de dispositivos de Internet de las cosas multiplica las
superficies de ataque a las que los actores de amenazas pueden apuntar
para la exfiltración de datos, el secuestro para botnets o para vigilar a
los usuarios. Dell proyecta que 41,6 millones de dispositivos
conectados a Internet estarán operativos en 2025, y las estimaciones de
uso aumentan año tras año. Los proveedores de Internet de las cosas a
menudo elevan la implementación por encima de la seguridad. Los
consumidores cotidianos poseen poca capacidad para administrar
actualizaciones o tienen pleno conocimiento de la responsabilidad
limitada que a menudo está oculta en los contratos. De manera similar,
se alienta a los diseñadores y proveedores de software a lanzar
productos al mercado sin garantías de seguridad para los usuarios. La
falta de protocolos de prueba uniformes o claridad en las entradas de
terceros deja a los usuarios susceptibles al riesgo; y existe poca
evidencia de que el mercado corregirá la negligencia en software o
Internet de las Cosas.
El pilar tres respalda una presencia y
regulación federal más fuerte para superar la supervisión laxa que
permitió que florecieran las vulnerabilidades a expensas de proteger a
los usuarios. Las prescripciones de la administración incluyen etiquetas
transparentes para dispositivos conectados a Internet, políticas
actualizadas de contratación pública y legislación de responsabilidad
por software. Este último es de mayor alcance, pero también
proporcionaría una opción para que las empresas adopten un puerto seguro
de software que establezca las mejores prácticas de diseño y
desarrollo. El uso de un puerto seguro de software protegería a las
empresas de acciones legales, brindaría a los usuarios el conocimiento
de los proveedores que cumplen con los estándares y orientaría la
innovación. En lugar de presentar la regulación como una carga que
sofoca el mercado, los autores de la estrategia insisten en que la
supervisión del gobierno nutre un ecosistema de innovación saludable. En
este sentido, el estado está ejerciendo su poder para reajustar el
desajuste entre los intereses públicos y privados al mismo tiempo que
proporciona a los usuarios la agencia para influir en la industria.
Pilar cuatro.
“Invest in a Resilient Future” prevé cómo el gobierno puede aprovechar
el gasto federal para prepararse para una transición a una nueva era de
amenazas y oportunidades tecnológicas. Esta parte aborda la brecha entre
el capital público y el privado que deja vulnerable al país, ya que
anticipa los desafíos para la base de Internet, las tecnologías
cuánticas y la electrificación a nivel nacional. El cuarto pilar
identifica la necesidad de iniciativas federales para garantizar que los
ciudadanos puedan confiar en una infraestructura segura, que va desde
arquitecturas de información hasta la red eléctrica, que el sector
privado no financiará, porque solo el gobierno puede llenar el vacío.
El
cuarto pilar identifica tres amenazas fundamentales que requieren
inversión federal: el ecosistema de red en evolución de Internet, el
cifrado poscuántico y una red eléctrica resistente por diseño. Aunque el
sector privado posee la mayor parte de Internet, la modernización de
las redes gubernamentales puede crear un impulso para alterar la
Internet de la nación. Los dominios y protocolos básicos que sustentan
Internet se están actualizando actualmente a un espacio más seguro con
menos superficies de ataque. El Protocolo de Internet versión 6 (IPv6)
está reemplazando a su predecesor heredado versión 4. (Los protocolos de
Internet rigen cómo se transmiten y reciben los datos a través de las
redes). La guía de la Agencia de Seguridad Nacional para mitigar las
amenazas en la transición del Protocolo de Internet versión 4 al
Protocolo de Internet versión 6 destaca que el primero es inadecuado
para el creciente número de dispositivos que requerirán conectividad.
Los
autores de la última estrategia cibernética también adoptan una visión a
mediano plazo sobre el futuro de la criptografía poscuántica. Al
reconocer las vulnerabilidades en la transición a la computación
cuántica, el pilar cuatro promete que el gobierno acelerará la
financiación de la investigación básica y el desarrollo de soluciones de
ciberseguridad. Una computadora cuántica completamente operativa que
pueda comprometer el cifrado RSA estándar (algoritmo para la transición
segura de datos) podría tardar 10 años. O podría llegar en seis años,
según la cuenta regresiva de Cloud Security Alliance. Prepararse para
ese futuro, como afirman los autores, se beneficia de la iniciativa del
gobierno. La ciberseguridad poscuántica requerirá la estandarización de
todo el gobierno junto con la adopción por parte de la industria de los
algoritmos poscuánticos del Instituto Nacional de Estándares y
Tecnología (NIST). Se debe reconocer a la administración de Biden por
guiar al país hacia el logro de la agilidad criptográfica poscuántica.
La transición a la ciberseguridad poscuántica, como ocurre con la
energía, exige que el gobierno ofrezca remedios que aseguren que el
sector privado actúa para proteger a los usuarios.
De manera
similar, la electrificación generalizada requiere la estandarización de
la seguridad cibernética para la próxima ola de almacenamiento,
generación y transmisión de nueva energía. El equipo cibernético de
Biden reconoce que poner en primer plano la resiliencia cibernética en
la infraestructura energética en los albores de una transformación
energética es una tarea pesada. National Labs y el Departamento de
Energía encabezarán el esfuerzo para evitar que los estados y el sector
privado implementen un “mosaico de controles de seguridad” sin la
ciberseguridad necesaria para dispositivos y sensores. La solución
técnica, sin embargo, depende de que el gobierno conserve su
financiación de investigación y desarrollo para dirigir el mercado hacia
la creación de oportunidades seguras para los usuarios.
El pilar
cuatro se acerca para arreglar la “innovación sin seguridad” con la
aplicación inteligente del poder federal, incluido el gasto. La
reafirmación del gobierno de su agencia en la configuración del
ecosistema de innovación ha sido una prioridad de la administración
Biden. Dos leyes, la Ley de Reducción de la Inflación y la Ley CHIPS y
de Ciencias, ejemplifican cómo la administración Biden ve la urgencia de
que el gobierno regrese a su defensa de la innovación de la era de la
Guerra Fría. La estrategia cibernética detalla las prioridades de
financiación y documenta cómo un grupo de instituciones gubernamentales
están preparadas para implementar un nuevo contrato social cibernético:
la Fundación Nacional de Ciencias, el NIST, el Departamento de Energía y
su complejo de Laboratorios Nacionales y los Centros de Investigación y
Desarrollo con Financiamiento Federal. . Al armonizar formas, medios y
fines, el equipo de Inglis aboga por un contrato social cibernético que
promueva la innovación.
La génesis del nuevo contrato social
cibernético de la estrategia se detalló en el artículo de Asuntos
Exteriores de Inglis y Harry Krejsa “El contrato social cibernético:
cómo reconstruir la confianza en un mundo digital”. Los autores
señalaron que los incentivos desalineados en un contexto de volatilidad
cibernética dejaron a la nación, al sector privado y a los ciudadanos en
riesgo persistente. La seguridad nacional y la vida cotidiana de los
ciudadanos estaban en peligro sin un reinicio, escribieron. Las olas
inminentes de digitalización alentarían a los actores maliciosos a
aprovecharse de la asombrosa cantidad de vulnerabilidades. “Con una
visión compartida y afirmativa, los sectores público y privado pueden
construir un nuevo contrato social”, insistieron los autores, “sin
socavar la integridad y la vitalidad esenciales para una economía
innovadora”.
¿En qué se diferencia el plan en el artículo de
Asuntos Exteriores del documento de estrategia de seguridad cibernética
de la administración? Inglis y Krejsa evitan una discusión sobre la
regulación responsable, como comentó el tecnólogo de interés público
Bruce Schneier. Schneier elogió el artículo, pero moderó su elogio al
afirmar que “la regulación es la forma en que la sociedad alinea los
incentivos del mercado con sus propios valores”. Sin destacar
explícitamente el poder del estado para ejercer un martillo regulatorio,
Inglis y Krejsa no pueden adoptar por completo el elemento fundamental
de la autoridad estatal en la elaboración de un nuevo contrato social
para la seguridad cibernética. La Estrategia Cibernética Nacional, por
otro lado, sienta las bases para modernizar la forma en que los
usuarios, el sector privado y el estado interactúan en el dominio.
La
estrategia incluye otros cambios notables, incluida la ausencia de
cualquier mención de disuasión y escalada que señale una victoria para
los seguidores de Defend Forward, una estrategia que pretende
“interrumpir o detener la actividad cibernética maliciosa en su origen”.
Durante años, el general Paul Nakasone, director de la Agencia de
Seguridad Nacional y comandante del Comando Cibernético de los EE. UU.,
dirigió una campaña para desalojar la teoría de la disuasión tradicional
de la estrategia cibernética. “La disuasión no es una estrategia
creíble para el ciberespacio” de Richard Harknett y Michael
Fischerkeller de 2017 argumentó en contra de las voces que aplicaron el
pensamiento de disuasión a la seguridad cibernética de la nación.
Persistieron los debates sobre la disuasión. La Comisión Cyberspace
Solarium formuló una estrategia de disuasión cibernética en capas que
soldó Defend Forward en su marco para restaurar la disuasión. En última
instancia, como se evidencia en el documento de estrategia cibernética,
la disuasión es inadecuada para abordar la gravedad de las amenazas
tecnológicas que aprovecharán los actores malintencionados.
El
documento sirve como testimonio de la previsión de la recomendación de
la Comisión de Solarium del Ciberespacio de EE. UU. de respaldar la
oficina del Director Nacional Cibernético. La antigua oficina de Inglis
posee la fuerza centralizadora para armonizar los intereses
interinstitucionales dispares. El Director Nacional Cibernético recluta
personal de todo el gobierno, el sector privado y la academia para
obtener una visión de 360 grados del panorama de amenazas. Es probable
que las futuras administraciones recurran al Director Nacional
Cibernético para publicar estrategias cibernéticas que mantengan la
perspicacia técnica y la inteligencia política en el informe de 2023.
Sin embargo, el logro tiene menos que ver con las capacidades
burocráticas que con la capacidad de la estrategia cibernética para
imaginar una nueva dinámica operativa para la seguridad cibernética de
la nación. El exdirector Inglis y su personal merecen aplausos por este
sofisticado documento.
Los obstáculos están presentes,
principalmente uno que involucra cómo el sector privado puede resistir
la regulación que podría impedir la comercialización de nuevas
tecnologías. La estructura de incentivos reinante recompensa la
comercialización rápida donde la seguridad está por debajo de los
productos apresurados al mercado. La realineación de las prioridades
requerirá coherencia en toda la administración de Biden y las
presidencias posteriores que se basen en las experiencias forjadas
durante el año pasado.
Los caminos para la colaboración mejoraron
como resultado de la estrecha cooperación público-privada después del
inicio de la Guerra Rusia-Ucrania en 2022. Anne Neuberger, la Asesora
Adjunta de Seguridad Nacional para Cibernética y Tecnología Emergente,
lo describió como “una mayoría de edad para nuestro comunidad
cibernética”. Forjar un nuevo contrato social para el ciberespacio
después de ataques de ransomware como el incidente del Oleoducto
Colonial de 2021, ataques de alto perfil y el cambio al intercambio de
datos de intrusión cibernética se cruza con una nueva conciencia de
amenazas después del comienzo de la invasión rusa de Ucrania.
En
este entorno, la administración Biden está empleando el poder del
gobierno para renegociar las reglas de ciberseguridad. La Estrategia
Cibernética Nacional articula una visión audaz para renovar el contrato
social cibernético, y la acción es necesaria, si no es que está
atrasada. Las superficies de ataque a las que apuntarán actores
maliciosos y naciones como China y Rusia están aumentando a un ritmo
asombroso. Los riesgos insostenibles requieren la intervención del
gobierno para alinear los incentivos y garantizar que los usuarios no
sean presa de los errores del sector privado. Esta administración y las
posteriores enfrentarán una volatilidad cibernética constante. La acción
pronto evitará las fallas del mercado que ponen en peligro el
ecosistema digital de la nación que está entretejido en el tejido de la
vida diaria de los estadounidenses. Un nuevo contrato social cibernético
está atrasado y prepara a la nación para las amenazas ineludibles que
se avecinan.
Fuente: The Bulletin
