Los ataques cibernéticos recientes que comprometieron a numerosas agencias gubernamentales de EE. UU. y muchas organizaciones privadas le han dado a la Administración de Biden apoyo bipartidista para fortalecer las defensas cibernéticas de EE. UU. y reducir el riesgo de la cadena de suministro.
La Administración de Trump tomó medidas positivas para reducir el riesgo de ciberseguridad para el gobierno, la infraestructura crítica y el sector privado. Lanzó una estrategia más asertiva, llamada “Defending Forward”, y elevó el estatus del Comando Cibernético de los Estados Unidos al hacer que reportara directamente al secretario de Defensa. Apoyó los esfuerzos del NIST, Mitre y otras partes interesadas para ayudar a las organizaciones a evaluar el riesgo cibernético y gestionar mejor varios aspectos del riesgo de la cadena de suministro, incluida la adquisición. De manera significativa, también anunció la intención del gobierno de los EE. UU. de participar activamente en el proceso de estándares internacionales 5G.
Pero, a principios de este año, el Consejo de la Industria de Tecnología de la Información (ITI) concluyó que la Administración anterior había subestimado 187 factores de riesgo relevantes para el riesgo de la cadena de suministro mientras se enfocaba desmesuradamente en un factor de riesgo: el país de origen. El ITI criticó deliberadamente la Orden Ejecutiva de Trump sobre la seguridad de las cadenas de suministro de tecnología al bloquear las ventas a empresas extranjeras, y dijo que era “quizás el ejemplo más notable de una medida de política de cadena de suministro bien intencionada que no está cuidadosamente calibrada para abordar la cadena de suministro, riesgos de seguridad y minimizar los impactos comerciales y económicos amplios e imprevistos”.
Los ataques cibernéticos recientes que involucraron a SolarWinds, Microsoft Exchange y otros han ayudado a generar un consenso de que Estados Unidos debe fortalecer sus defensas cibernéticas. Esto le da a la administración de Biden una oportunidad histórica para abordar el riesgo de seguridad cibernética y aprovechar una o más de las actividades constructivas en curso centradas en la seguridad cibernética y el riesgo de la cadena de suministro.
Esta administración ha asumido el cargo en un momento en que se están realizando importantes esfuerzos en los EE. UU. para desarrollar estándares y marcos de seguridad. El ITI ha alentado a la administración a realizar una revisión estratégica de la política de seguridad de la cadena de suministro de TIC y considerar la posibilidad de especificar criterios detallados para evaluar las prácticas de seguridad de datos relacionadas con equipos, aplicaciones y servicios. El gobierno debe alentar los esfuerzos liderados por la industria privada para crear estándares claros y unificados para la ciberseguridad, estableciendo procedimientos de verificación y prueba auditables para los componentes críticos para asegurarse de que se cumplan esos estándares.
ITI ha identificado “más de 30 medidas de seguridad de la cadena de suministro que se están contemplando y / o están vigentes”. Por ejemplo, Mitre ha desarrollado un “Marco de seguridad del sistema de confianza de la cadena de suministro (SoT)”; ATIS estableció un Grupo de Trabajo de Cadena de Suministro 5G en 2019 a instancias del Departamento de Defensa y otras agencias para “extender el desarrollo de las mejores prácticas y pautas de 5G con el propósito de crear estándares de cadena de suministro que puedan ser operacionales en el sector público y privado” y la Asociación de la Industria de las Telecomunicaciones (TIA) está desarrollando un estándar de cadena de suministro basado en procesos para la industria de las TIC que se publicará a finales de este año.
La colaboración debe ser el principio operativo en el futuro. Los esfuerzos de colaboración deben basarse en la importancia reconocida de los estándares y las mejores prácticas para aumentar la transparencia y la rendición de cuentas. Debido a que la ciberseguridad debe ser necesariamente una responsabilidad compartida, los actores de un ecosistema cibernético con gestión de riesgos deben tener responsabilidades claras y requisitos objetivos. Los proveedores externos, los operadores y, en algunas circunstancias, otros deben comprometerse explícitamente a cumplir con los requisitos que se les aplican (cuyos detalles variarán según la criticidad de los componentes y sistemas y si las regulaciones gubernamentales también son aplicables). Las partes responsables deben rendir cuentas y enfrentar consecuencias significativas por el incumplimiento.
El gobierno debería adoptar un enfoque de “no confiar en nadie” para gestionar el riesgo cibernético, un enfoque basado en el concepto de confianza cero que ya goza de un apoyo cada vez mayor. En un mundo de confianza cero, ninguna tecnología crítica sería aceptada con un escrutinio mínimo o reducido basado únicamente en su país de origen.
Afortunadamente, se está trabajando con socios del sector privado para aprender lecciones de los recientes ataques cibernéticos y establecer un rumbo determinado para fortalecer drásticamente la seguridad de las redes y sistemas de EE. UU. y el ciberespacio con base en criterios objetivos y basados en riesgos. El probable éxito de esta colaboración será bueno para todos.