El Senado de los EE. UU. aprobó el miércoles la Ley de Autorización de la Defensa Nacional (NDAA), aprobando el proyecto de ley anual de gastos de defensa de $ 768 mil millones que estaba repleto de disposiciones de seguridad cibernética. El proyecto de ley ahora se dirige al escritorio del presidente Joe Biden.
Característica especial
La ciberguerra y el futuro de la ciberseguridad
Las amenazas de seguridad actuales se han ampliado en alcance y gravedad. Ahora puede haber millones, o incluso miles de millones, de dólares en riesgo cuando la seguridad de la información no se maneja adecuadamente.
En un documento explicativo publicado junto con el texto del proyecto de ley, el comité de servicios armados de la Cámara de Representantes de EE. UU. dijo que las disposiciones cibernéticas del proyecto de ley iniciarían «el mayor empoderamiento y expansión de CISA a través de la legislación desde el incidente de SolarWinds».
Además de significativamente más inversiones en seguridad cibernética, el proyecto de ley otorga una mayor autoridad presupuestaria al Comandante del Comando Cibernético de los EE. UU., «moderniza» la relación entre el Director de Información del Departamento de Defensa y los componentes de la Agencia de Seguridad Nacional responsables de la seguridad cibernética al mismo tiempo que establece una oficina de programas. dentro del Cuartel General de las Fuerzas Conjuntas-DODIN para centralizar la gestión de los productos de información sobre amenazas cibernéticas en todo el Departamento de Defensa.
El proyecto de ley también ordena la primera taxonomía de armas cibernéticas y capacidades cibernéticas y requiere que el Secretario de Defensa cree un cuadro de desarrollo y adquisición de software para ayudar con el desarrollo y la adquisición de software brindando asesoramiento, asistencia y recursos de expertos. Un programa de subvenciones creado por el Congreso financiará la investigación sobre seguridad cibernética en coordinación con Israel.
En el proyecto de ley también se describe un Programa Nacional de Ejercicio Cibernético. Obligará a CISA y otros organismos gubernamentales a probar el Plan Nacional de Respuesta a Incidentes Cibernéticos y, «en la medida de lo posible, simular la incapacitación parcial o total de una red gubernamental o de infraestructura crítica como resultado de un incidente cibernético». Una enmienda también requiere que CISA actualice su plan de respuesta a incidentes al menos cada dos años.
El DOD ahora debe presentar un informe sobre cómo su programa de Certificación del Modelo de Madurez de Ciberseguridad afecta a las pequeñas empresas, gracias al proyecto de ley. Los expertos también promocionaron la adición del programa de aprendices para expandir el talento cibernético disponible, así como el programa de capacitación para veteranos.
CISA recibe más fondos para un programa llamado «CyberSentry» que brinda «monitoreo continuo de los riesgos de seguridad cibernética a la infraestructura crítica que posee u opera sistemas de control industrial que respaldan las funciones críticas nacionales».
Bill Lawrence, CISO de SecurityGate, dijo que CyberSentry era una disposición algo controvertida porque dice que CISA «puede acceder a todo el tráfico de la red, incluido el contenido de las comunicaciones, almacenado en la pila de CyberSentry para analizar más a fondo los orígenes de una alerta y/o evaluar el estado de la red».
«Hay razones válidas para que CISA ayude a proteger la infraestructura crítica de EE. UU., al igual que existen razones válidas para que los propietarios y operadores de CI no quieran sensores del gobierno en sus redes, así como argumentos válidos de los proveedores de seguridad de que el gobierno está regalando servicios cibernéticos para gratis (usando dinero de los contribuyentes, por supuesto)», dijo Lawrence.
«DHS incluye una gran cantidad de consideraciones de privacidad en el informe de CyberSentry. Sería útil leer también sobre los objetivos tácticos y estratégicos de este programa y ver si se incluye el intercambio rápido de información con todos los propietarios y operadores de activos de CI y ayuda determinar si vale la pena exprimir este jugo en los proveedores comerciales. Tengo mis temores».
Pero lo que atrajo más interés fue lo que faltaba en el proyecto de ley, a saber, una disposición de informes de incidentes cibernéticos que se debatió acaloradamente y finalmente se hundió en el último minuto.
Durante meses, los senadores demócratas y republicanos discutieron sobre el lenguaje de una disposición de informes de incidentes cibernéticos en la NDAA. En noviembre, dos demócratas, Gary Peters y Mark Warner, trabajaron junto con dos republicanos, Rob Portman y Susan Collins, para presentar una nueva enmienda a la NDAA que habría obligado a los propietarios y operadores de infraestructura crítica, así como a las agencias federales civiles. para informar todos los ataques cibernéticos y pagos de ransomware a CISA.
Pero para diciembre, el poste de washington informó que el senador de Florida, Rick Scott, discrepó con la disposición de informes de ransomware y la calificó de demasiado amplia, y pidió a los senadores que limitaran el lenguaje a las empresas en las 16 industrias críticas. Las fuentes le dijeron a Tim Starks de CyberScoop que el debate sobre el lenguaje del ransomware duró demasiado y los negociadores en la Cámara y el Senado terminaron omitiendo toda la disposición.
Lawrence señaló que algunas empresas tenían problemas para informar infracciones o ataques de ransomware dentro de las 72 horas posteriores al descubrimiento y pagos de rescate dentro de las 24 horas posteriores al pago. Explicó que las organizaciones más pequeñas no tienen un centro de operaciones de seguridad disponible las 24 horas, los 7 días de la semana, lo que limita su capacidad de responder a tales incidentes, y mucho menos decirle al gobierno de EE. UU. lo que está sucediendo durante la respuesta a incidentes.
El representante Bennie Thompson y la representante Yvette Clarke señalaron que la legislación de respuesta a incidentes de seguridad cibernética se incluyó en la NDAA de la Cámara, que se aprobó en septiembre. Los dos, que se desempeñan respectivamente como presidente del Comité de Seguridad Nacional y presidente del Subcomité de Ciberseguridad, Protección de Infraestructura e Innovación, explicaron en un comunicado que se realizaron intensos esfuerzos para incluir la notificación de incidentes cibernéticos en el proyecto de ley, pero «finalmente se acabó el tiempo para conseguirlo en la NDAA».
«Hubo disfunciones y desacuerdos derivados del liderazgo republicano en el Senado que no se resolvieron hasta la media mañana de hoy, mucho después de la fecha límite de la NDAA. Este resultado es más que decepcionante y socava la seguridad nacional», dijeron Thompson y Clarke.
«Esperábamos conmemorar el primer aniversario del descubrimiento del ataque a la cadena de suministro de SolarWinds enviando la legislación sobre informes de incidentes cibernéticos al escritorio del presidente. En cambio, los líderes republicanos del Senado retrasaron las cosas de manera tan significativa que la ventana se cerró para que se incluyeran los informes de incidentes cibernéticos. en la NDAA. Estamos profundamente decepcionados de que el impulso que tuvimos al entrar en la NDAA no haya tenido éxito, pero estamos totalmente comprometidos a trabajar a través del pasillo y con el Senado para encontrar otro camino a seguir».
