Característica La administración Trump asumió el cargo esta semana sin una política detallada de seguridad de la información, pero el análisis de los comentarios públicos de los candidatos al gabinete y los comentarios de expertos sugieren que hará cambios significativos en el campo.
El presidente retornado ciertamente no puede darse el lujo de ignorar la ciberseguridad, dado que la infraestructura crítica de Estados Unidos parece vulnerable a ataques después de que el tifón de China espía la infraestructura de telecomunicaciones de propiedad exclusiva de Estados Unidos.
El ransomware permanece desenfrenado y es una herramienta favorita de adversarios, incluida Corea del Norte. Otros enemigos continúan publicando información errónea en línea con la esperanza de influir en la opinión estadounidense.
En casa, continúa el debate sobre cuál es el mejor enfoque para asegurar las empresas, que se quejan de que las empresas existentes reglas de seguridad de la información y normas de notificación de incidentes varían entre jurisdicciones, pueden involucrar a múltiples agencias y también se superponen.
Cómo responsabilizar a la industria tecnológica cuando falla, en términos de seguridad, es otro debate en curso, y algunos piden directrices voluntarias que incentivan prácticas de desarrollo seguras, mientras que otros quieren estándares de seguridad obligatorios que hacer responsables a las empresas de tecnología por defectos en sus productos.
Infosec fue la última prioridad de campaña de Trump
El Partido Republicano Documento de plataforma electoral 2024 (PDF) menciona infosec solo una vez, en el último párrafo de un manifiesto de 16 páginas, de la siguiente manera:
Ninguna de las órdenes ejecutivas que Trump había emitido al momento de escribir este artículo incluye políticas de seguridad de la información más detalladas.
Pero en su primer día en el cargo, la administración hizo dos cambios notables relacionados con la seguridad.
Una era poner fin a todas las membresías de los comités asesores que dependen del Departamento de Seguridad Nacional (DHS). Esto afecta a la seguridad de la información porque el DHS es la agencia matriz de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), que a su vez alberga la Junta de Revisión de Seguridad Cibernética (CSRB), una organización encargada de investigar incidentes importantes de ciberseguridad.
Matar a la junta que presionó a Microsoft para que mejorara su ciberseguridad parece para todo el mundo una venganza por el regalo millonario de Microsoft al comité inaugural de Donald Trump.
CSRB está investigando actualmente los ataques del Salt Typhoon a las empresas de telecomunicaciones, pero ahora parece carecer de personal para terminar el trabajo.
El trabajo anterior de la junta incluye una informe mordaz que encontró a Microsoft responsable de un «cascada de fallas de seguridad» que permitió a los espías chinos entrar en las cuentas de correo electrónico de altos funcionarios estadounidenses.
El senador estadounidense Ron Wyden (D-OR) criticó la decisión de poner fin a la membresía de los comités asesores del DHS.
«Este es un regalo enorme para los espías chinos que apuntaban a figuras políticas importantes», dijo Wyden. opinó en Cielo Azul. «Matar a la junta que presionó a Microsoft para que mejorara su ciberseguridad parece para todo el mundo una venganza por el regalo millonario de Microsoft al comité inaugural de Donald Trump».
El otro gran cambio fue revocar Orden del presidente Biden sobre la seguridad de la IA.
Pero en el momento de escribir este artículo, el orden ejecutiva sobre ciberseguridad firmado por el presidente Joe Biden pocos días antes de la toma de posesión de Trump sigue vigente. Esa orden exige que las empresas de software que venden al gobierno presenten pruebas a CISA de que están siguiendo prácticas seguras de desarrollo de software.
La orden ejecutiva también cubre una serie de otros temas, incluida la protección de las redes de comunicaciones federales contra fisgones extranjeros, la emisión de sanciones más duras para las bandas de ransomware y una mejor protección de la IA al mismo tiempo que se utiliza esta tecnología para impulsar las capacidades de defensa cibernética de Estados Unidos.
Planes de reducción regulatoria
Se desconoce si la orden de Biden sobrevivirá, pero en la campaña electoral de 2024, Trump prometió, de ser elegido, llevar a cabo la «reducción regulatoria más agresiva» en la historia de Estados Unidos. La orden de Biden tiene 17 páginas y más de 9.000 palabras. Quizás el equipo de Trump descubra que algunos de ellos imponen requisitos onerosos.
En términos de regulaciones de ciberseguridad dirigidas a las empresas, se espera que la administración Trump adopte un enfoque basado en el mercado y prefiera estándares de seguridad voluntarios. También se anticipa un impulso para una mayor armonización de las reglas en torno a la notificación de incidentes y las prácticas de referencia.
El experto en seguridad informática Davis Hake dijo El Registro Él cree que se producirán cambios en las reglas de presentación de informes.
Hake es ahora director senior de los servicios de ciberseguridad del bufete de abogados Venable y anteriormente se desempeñó como gerente de operaciones cibernéticas en el DHS y director del Consejo de Seguridad Nacional de EE. UU., donde dirigió el equipo de respuesta a incidentes cibernéticos para las redes de TI federales.
«Las empresas están analizando las distintas formas que tienen para informar sobre violaciones de datos, y la gente ha preguntado si la SEC podría reexaminar algunos de los requisitos que tienen», dijo Hake, añadiendo que se están llevando a cabo discusiones entre los legisladores sobre la armonización del incidente de seguridad. proceso de presentación de informes.
«Más allá de las líneas partidistas, todos están de acuerdo en que los incidentes cibernéticos son importantes para el bienestar financiero de una empresa», dijo. «¿Pero el cronograma de presentación de informes de la SEC es irrazonablemente corto? ¿Es la SEC la persona adecuada para recopilar los datos técnicos? ¿Cómo son esos requisitos? Todos esos detalles podrían estar sujetos a examen a medida que esta próxima administración busque áreas para reducir la carga regulatoria. «
La nueva misión de CISA
Otro cambio esperado alterará la misión de CISA.
La agencia se formó bajo la primera administración Trump, pero se convirtió en un objetivo después de que su entonces director y designado por Trump, Chris Krebs, se pronunciara en contra de las acusaciones infundadas del presidente de que el fraude electoral le costó las elecciones presidenciales de 2020.
Trump famoso Krebs despedido con un tweet poco después.
Bajo la dirección de Jen Easterly, nombrada por Biden, CISA trabajó para contrarrestar desinformación sobre seguridad electorallo que provocó fuertes críticas por parte de algunos republicanos, entre ellos La elección de Trump para dirigir el Departamento de Seguridad Nacional, que como dijimos supervisa CISA.
Kristi Noem, la candidata de Trump para Secretaria de Seguridad Nacional, utilizó la semana pasada una audiencia de confirmación para indicar que ella hacer recortes a CISA y describió la lucha contra la influencia extranjera en línea en las elecciones estadounidenses como «fuera de misión». Por lo tanto, ese papel de lucha contra la desinformación desaparecerá de la lista de tareas pendientes de CISA, y Easterly dejó su puesto como parte del cambio en la administración.
en un entrevista anteriorEl presidente de Bambenek Consulting, John Bambenek, dijo El Registro espera que CISA «ponga fin a cualquier papel en la lucha contra la desinformación» bajo la nueva administración.
Trump quiere que la agencia «se centre únicamente en proteger las redes gubernamentales civiles, las asociaciones público-privadas y el intercambio de información sobre amenazas emergentes, y coordinar la protección de la infraestructura crítica de la nación», añadió. «Me imagino que gran parte de esto se ejecutará rápidamente».
¿Jugando a la ofensiva?
Los funcionarios estadounidenses han declarado públicamente que la nación posee armas cibernéticas ofensivas y, en 2022, el entonces jefe del Comando Cibernético de los EE. UU., General Paul Nakasone. reveló fueron desplegados para ayudar a Ucrania.
La elección de Trump para servir como asesor de seguridad nacional, Michael Waltz, ha llamado por un cambio de doctrina a una que «imponga costos al otro lado», es decir: Estados Unidos lleva a cabo ofensivas de ciberseguridad contra adversarios que dejan una marca financiera tangible en un objetivo.
Tom Kellermann, que formó parte de la Comisión de Seguridad Cibernética durante el gobierno de Obama y ahora es vicepresidente senior de estrategia en Contrast Security, cree que la administración adoptará la posición de Waltz.
«Francamente, Estados Unidos ha jugado a la defensiva durante demasiado tiempo», dijo Kellermann. El Registroseñalando un informe de Google-Mandiant que encontró 97 vulnerabilidades de día cero fueron explotados en 2023, en comparación con 62 agujeros de día cero en 2022, y la República Popular China sigue siendo el principal explotador de agujeros de día cero respaldado por el Estado.
«Espero que realmente comiencen a llevar a cabo más operaciones ofensivas, particularmente contra estados nación rebeldes que han llevado a cabo activamente ataques destructivos contra nuestras infraestructuras», dijo Kellermann.
Deberían ir más allá y llevar a cabo ataques destructivos contra varios activos militares chinos.
«Dada la forma en que jugamos en el pasado, normalmente se trata de una interrupción de su infraestructura de comando y control asociada con compromisos previos de la infraestructura occidental», señaló.
«Pero creo que deberían ir más allá y llevar a cabo ataques destructivos contra varios activos militares chinos, particularmente ataques destructivos contra los recursos cibernéticos del EPL (Ejército Popular de Liberación) y las empresas fachada en China que actúan como representantes de los ciberataques».
Sugirió desplegar malware que borra datoso Ransomware estilo NotPetya diseñado para destruir datos y hacer que los sistemas sean irrecuperables, en respuesta al «ataque sistémico» de China contra las redes estadounidenses. «Debería ser una respuesta proporcionada contra esas entidades. Dadas las acciones que ya hemos visto, no creo que las sanciones ya sean suficientes».
Pero antes de que se utilice cualquier malware de este tipo contra China, Kellermann espera que la administración Trump ponga a Irán en la mira cibernética de Estados Unidos «debido a lo apasionado que es Trump por empoderar a Israel y castigar a Irán».
Serán «ciberataques sistémicos y perturbadores por parte de Estados Unidos, si Irán no besa el anillo de Trump después de la toma de posesión y libera a los rehenes», añadió.
Asegurar el gobierno
Parece probable que Trump persista en la política nacional de ciberseguridad del presidente Biden y en la Orden Ejecutiva 14028 que ordenó a las agencias federales adoptar arquitecturas de confianza cero.
Ese plan se basó en una orden ejecutiva que Trump promulgada en 2017titulado “Fortalecimiento de la Ciberseguridad de las Redes Federales y la Infraestructura Crítica.
«La ciberseguridad es un tema no partidista», afirmó John Ackerly, director ejecutivo y cofundador de la empresa de cifrado Virtru. «Todos podemos estar de acuerdo en que debemos proteger nuestro país, nuestros ciudadanos y la infraestructura crítica de las amenazas digitales planteadas por los ciberdelincuentes nacionales e internacionales».
Ackerly trabajado anteriormente en la Casa Blanca de George W. Bush como asesor tecnológico.
«En lo que respecta a la política en el segundo mandato de Trump, espero ver una maduración continua de las iniciativas de confianza cero con un enfoque constante en la seguridad nacional», dijo Ackerly. «Las acciones que hemos visto por parte de China en el ámbito cibernético han sido monumentales. El ciberataque Salt Typhoon es un excelente ejemplo».
Ackerly también espera una mayor colaboración entre Washington y el sector privado.
Esfuerzos para compartir inteligencia sobre amenazas entre Asociaciones público-privadas, agencias públicas y el sector privado. También fue un foco importante para CISA bajo Easterly y la administración Biden. Bajo su liderazgo, CISA inició la Colaboración conjunta de ciberdefensa (JCDC) grupo público-privado, y convencido cientos de empresas para firmar su promesa de seguridad por diseño.
«Espero que la administración entrante adopte la colaboración del sector público-privado, lo cual es una bendición para las empresas comerciales así como para las organizaciones gubernamentales». Dijo Ackerly. «La eficiencia es una prioridad clara bajo la nueva administración, y creo que ese tema se puede ver reflejado en los negocios comerciales».
Los actores del sector privado también pueden determinar la política de la administración con respecto al servicio de redes sociales hecho en China TikTok, que se considera una amenaza a la seguridad nacional y, por lo tanto, fue objeto de una ley que obliga a sus propietarios a venderlo a una empresa aprobada por Estados Unidos o cerrar abajo. Trump ordenó que la ley no se aplique durante 75 días mientras su administración encuentra “el camino apropiado a seguir de manera ordenada que proteja la seguridad nacional y al mismo tiempo evite un cierre abrupto de una plataforma de comunicaciones utilizada por millones de estadounidenses”.
Su pensamiento más reciente sobre cómo lograr ese equilibrio es que el gobierno de Estados Unidos adquirir la mitad de TikTok y operarlo como una empresa conjunta con una empresa estadounidense o con su actual propietario ByteDance. ®
