Y el presidente dijo “ya está bien”. Las nuevas propuestas en ciberseguridad desde la Casa Blanca

Joe Biden ha firmado una Orden Ejecutiva para mejorar la ciberseguridad nacional y proteger de manera más eficiente las redes del gobierno federal. El ataque a la operadora de oleoductos Colonial Pipeline, una noticia que ha trascendido a los medios generalistas, ha sido la gota que ha colmado el vaso. A pesar de que la industria de la ciberseguridad podía intuir que el ransomware acabaría atacando infraestructuras críticas y causando el caos, ha sido necesario que la amenaza se materialice para que se produzca una reacción que, esperamos, tendrá consecuencias beneficiosas. La ciberseguridad ya tiene en su historia para recordar, otro ataque que cambió las reglas del juego.

Los acontecimientos negativos capaces de cambiar las leyes, el paradigma o la conciencia colectiva sobre una industria, se cuentan con los dedos una mano. En la ciberseguridad quizás (sin ánimo de completar con todos los casos) podemos hablar de Blaster y Sasser en 2003, que modificó por completo la percepción de la seguridad en Microsoft, ya bastante tocada. Stuxnet en 2010 nos alertó sobre las ciberarmas y concienció al mundo sobre la nueva estrategia ciber y geopolítica. Por supuesto Wannacry en 2017, un golpe al orgullo de la industria por ser atacados a esas alturas por un gusano que aprovechaba una vulnerabilidad ya solucionada. Y a pesar de llevar años lidiando con el ransomware, ha tenido que materializarse la amenaza en un impacto con consecuencias graves para Estados Unidos para que se endurezcan las normas. Porque si lo pensamos bien, era el siguiente avance lógico en la escalada: pasaros de atacar a los usuarios a secuestrar pymes, de las pymes a las grandes compañías, de estas a las organizaciones y de ahí, se intuía, a las infraestructuras críticas. Pero el incidente (junto con otros tantos que se han venido sucediendo) ha terminado por hacer reaccionar al presidente.

Esta orden ejecutiva pretende modernizar las defensas pero sobre todo poner el foco en un problema que todavía, a pesar de la gravedad de la situación, puede mitigarse. Fundamentalmente, la orden pretende que se comparta más información entre el gobierno y el sector privado y mejorar la habilidad de respuesta. Los puntos acción básicos son:

• Permite a las compañías privadas (en especial los que alojan servidores) compartir información con el gobierno. Esto agilizará el proceso de investigación cuando ocurran incidentes relacionados con algún acceso a un servidor. Tienen un tiempo máximo para comunicar esos incidentes también.
• Mejorar y adoptar los estándares de ciberseguridad en el gobierno federal. Se trata de un compromiso (a alto nivel aunque se mencionan tecnologías concretas) para adoptar los mejores estándares (2FA, criptografía, SDLC…) desde las propias infraestructuras del gobierno.
• Mejorar las cadenas de suministro, como ha demostrado el ataque SolarWinds. El software que se venda al gobierno deberá cumplir requisitos de seguridad mínimos. Se tendrá una especie de certificado que lo acredita, similar al de la energía o emisiones.
• Una junta o comisión de revisión de ciberseguridad privada y pública. Cuando ocurra un accidente, se gestionará y sacarán conclusiones de manera coordinada. Esta comisión está inspirada en la que ya tiene la aeronáutica, en la que el sector privado y público se reúne después de grandes incidentes aéreos.
• Se creará un sistema estándar de respuesta a incidentes tanto interno como externo. Las compañías ya no tendrán que esperar a que ocurra algo para saber qué es necesario hacer.
• Mejorar la capacidad de defensa de la red federal. Quizás la medida más genérica, que apunta a reforzar con las herramientas de ciberseguridad adecuadas, toda la infraestructura gubernamental.
• Mejorar la capacidad de remediación e investigación. Quizás esto se resume fundamentalmente en mejorar los sistemas de logs.

Y ahora, ¿qué?

Esta orden ejecutiva se traducirá en que las empresas deberán cumplir unos estándares mínimos, se procedimentará, se auditará… En definitiva, se generará una industria más sana, más vigilada por ella misma. Más robusta y unida, esperamos. Algo parecido a lo que hicieron las compañías de tarjetas de débito y crédito cuando pusieron en marcha la iniciativa PCI-DSS que obligaba a todo el que trabajara con estos datos, pasar una auditoría mínima. Si bien no solucionará el problema por completo, lo mejorará significativamente. Pone el foco en la ciberseguridad al más alto nivel, aúna esfuerzos y como mencionábamos, ataca el problema desde un ángulo político y legal que complementan a la aproximación técnica, insuficiente por sí sola.

Sin embargo, todavía se echan de menos leyes más claras contra los atacantes que agilicen la posibilidad de perseguirlos, identificarlos e imponer sanciones a nivel mundial. Ahora se tiene el apoyo político y legal para fomentar la seguridad desde el punto de vista técnico pero lo ciber es también legal, social, político… y se debe estrangular la actividad de los atacantes desde todos esos ángulos. Un problema tan grave, aunque de naturaleza técnica, no puede solucionarse solamente desde ese mismo ángulo. Si solo nos concentramos en parchear y responder, en auditar y certificar, no avanzaremos lo suficiente. En todo caso es esta orden es una gran noticia y un primer paso en esa dirección.