El gobierno de EE. UU. planea ampliar los requisitos mínimos de seguridad cibernética para sectores críticos y ser más rápido y agresivo en la prevención de ataques cibernéticos antes de que ocurran, incluso mediante el uso de herramientas militares, policiales y diplomáticas, según un documento de estrategia de la administración Biden publicado el jueves.
La administración demócrata también tiene la intención de trabajar con el Congreso en una legislación que impondría responsabilidad legal a los fabricantes de software cuyos productos no cumplen con las salvaguardas básicas de seguridad cibernética, dijeron las autoridades.
La estrategia codifica en gran medida el trabajo que ya ha estado en marcha durante los últimos dos años sobre una serie de ataques de ransomware de alto perfil en infraestructura crítica. Un ataque a un importante oleoducto de combustible que provocó el pánico en la bomba y provocó una escasez de combustible en la costa este, así como otros ataques, centraron la atención en la ciberseguridad. Pero los funcionarios esperan que la nueva estrategia siente las bases para contrarrestar un entorno cibernético cada vez más desafiante.
“Esta estrategia posicionará a Estados Unidos y sus aliados y socios para construir juntos ese ecosistema digital, haciéndolo más fácil e intrínsecamente defendible, resistente y alineado con nuestros valores”, afirma el documento.
La administración del presidente Joe Biden ya ha tomado medidas para imponer regulaciones de seguridad cibernética en ciertos sectores industriales críticos, como las empresas eléctricas y las instalaciones nucleares, y la estrategia exige que los requisitos mínimos se amplíen a otros sectores vitales.
Anne Neuberger, asesora adjunta de seguridad nacional de la administración para tecnología cibernética y emergente, dijo en una conferencia telefónica con reporteros que era «crítico que el pueblo estadounidense tuviera confianza en la disponibilidad y capacidad de recuperación de nuestra infraestructura crítica y los servicios esenciales que brinda».
La administración también quiere transferir la responsabilidad legal a los fabricantes de software que no toman las precauciones básicas para producir tecnología segura, diciendo que las empresas deben rendir cuentas en lugar de los usuarios finales.
En una declaración que acompaña al documento, Biden dice que su administración está asumiendo el «desafío sistémico de que gran parte de la responsabilidad de la ciberseguridad ha recaído en usuarios individuales y pequeñas organizaciones».
«Al trabajar en asociación con la industria, la sociedad civil y los gobiernos estatales, locales, tribales y territoriales, reequilibraremos la responsabilidad de la seguridad cibernética para que sea más eficaz y equitativa», dice Biden.
El documento de estrategia exige esfuerzos más agresivos para frustrar los ataques cibernéticos antes de que ocurran recurriendo a una variedad de herramientas militares, policiales y diplomáticas, así como la ayuda de un sector privado que «tiene una visibilidad creciente en el sector adversario». Tales operaciones ofensivas, dice el documento, deben llevarse a cabo con «mayor velocidad, escala y frecuencia».
“Nuestro objetivo es hacer que los actores maliciosos sean incapaces de montar campañas cibernéticas sostenidas que amenazarían la seguridad nacional o la seguridad pública de los Estados Unidos”, dice el documento de estrategia.
Según la estrategia, los ataques de ransomware, en los que los piratas informáticos bloquean los datos de una víctima y exigen grandes tarifas para devolverlos, se clasifican como una amenaza para la seguridad nacional en lugar de un desafío criminal, lo que significa que el gobierno continuará utilizando herramientas más allá de los arrestos y las acusaciones. para combatir el problema.
