Federales a Microsoft: Limpie su acto de seguridad, o de lo contrario

El gobierno de los EE. UU., preocupado por el continuo crecimiento de la ciberdelincuencia, el ransomware y países como Rusia, Irán y Corea del Norte que piratean redes gubernamentales y privadas, está cambiando drásticamente su estrategia de ciberseguridad. Ya no dependerá en gran medida de que las empresas de incentivos y las empresas de tecnología tomen voluntariamente medidas básicas de seguridad, como parchear los sistemas vulnerables para mantenerlos actualizados.

En cambio, ahora quiere establecer requisitos básicos de seguridad para las empresas y las empresas de tecnología e imponer multas a quienes no los cumplan.

Las empresas que utilizan los sistemas no son las únicas que pueden tener que cumplir con las regulaciones. Las empresas que los fabrican y venden, como Microsoft, Apple y otras, también podrían ser responsables. Los primeros indicios son que los federales ya tienen a Microsoft en la mira: han advertido a la empresa que, en este momento, no parece estar a la altura.

Veamos primero la nueva estrategia del gobierno.

La nueva estrategia nacional de ciberseguridad

A principios de marzo, la administración Biden lanzó una nueva Estrategia Nacional de Ciberseguridad; empodera aún más a las empresas privadas de la industria y la tecnología para que sigan las mejores prácticas de seguridad, como la aplicación de parches a los sistemas para combatir las vulnerabilidades recién descubiertas y el uso de la autenticación multifactor cuando sea posible.

Los reguladores estadounidenses han recomendado durante mucho tiempo que las empresas tecnológicas lo hagan. La diferencia ahora, según el New York Times, es que "la nueva Estrategia Nacional de Ciberseguridad concluye que tales esfuerzos de buena fe son útiles pero insuficientes en un mundo de intentos constantes por parte de piratas informáticos sofisticados, a menudo respaldados por Rusia, China, Irán o el Norte". ". Corea, para entrar en redes gubernamentales y privadas críticas. En cambio, se debe exigir a las empresas que cumplan con los estándares mínimos de ciberseguridad.

En teoría, si no se cumplen estos estándares, eventualmente se impondrán multas. Glenn S. Gerstell, exconsejero general de la Agencia de Seguridad Nacional, lo explicó así a The Times: "En el mundo cibernético, finalmente estamos diciendo que Ford es responsable de los Pintos que se incendiaron, porque no es una referencia a el Ford Pinto que con frecuencia se incendiaba cuando se volcaba en la década de 1970. seguridad automotriz.

Pero los requisitos de ciberseguridad con multas aún no existen. Profundice en el nuevo documento y encontrará que debido a que la nueva estrategia es solo un documento de política, no tiene la mordedura de la ley detrás. Para que entre en pleno efecto, deben suceder dos cosas. El presidente Biden emitirá una orden ejecutiva para hacer cumplir algunos de los requisitos. Y el Congreso debe aprobar leyes para el resto.

No está claro cuándo los legisladores podrían avanzar en el tema, si es que lo hacen, aunque Biden podría emitir una orden ejecutiva para partes del mismo.

Todo esto puede hacer que la nueva estrategia parezca ineficaz. Pero ese no es el caso. El gobierno de los Estados Unidos es el púlpito de matones más grande del mundo. Esto puede ejercer una enorme presión sobre las empresas y las empresas tecnológicas para que sigan la estrategia criticándolas públicamente. Esto, a su vez, podría hacer que los clientes se alejen de los productos y servicios de ciertas empresas. Y, por supuesto, el gobierno puede exigir a las empresas que sigan prácticas básicas de ciberseguridad si quieren contratos gubernamentales.

Lo que esto significa para Microsoft

Entonces, ¿qué tiene que ver todo esto con Microsoft? Infinidad. Las autoridades federales han dejado en claro que creen que Microsoft aún tiene un largo camino por recorrer antes de cumplir con las recomendaciones básicas de ciberseguridad. Al menos un alto funcionario de seguridad del gobierno ya ha denunciado públicamente a Microsoft por sus malas prácticas de seguridad.

La directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Jen Easterly, criticó recientemente a Microsoft durante un discurso en la Universidad Carnegie Mellon. Dijo que solo alrededor de una cuarta parte de los clientes empresariales de Microsoft usan la autenticación de múltiples factores, una cifra que calificó de "decepcionante". Puede que esto no suene como una condena, pero recuerde que estamos hablando de este gobierno federal. Analiza sus palabras con mucho cuidado. “Defraudar” para ellos equivale a “trabajo espantoso” en cualquier otro lugar.

Easterly también elogió a Microsoft con elogios de Apple, señalando que el 95% de los usuarios de iCloud tienen habilitada la autenticación multifactor porque está activada de forma predeterminada. "Apple se hace cargo de los resultados de seguridad de sus usuarios", dijo. La crítica implícita es que Microsoft no lo es.

En el futuro, la nueva estrategia de seguridad cibernética del gobierno podría ser un problema grave para Microsoft a menos que cumpla con los estándares recomendados. Si se emiten órdenes ejecutivas y se aprueban leyes, la empresa podría ser considerada responsable si no hace más para garantizar que el software de sus clientes se parchee regularmente o que sus clientes utilicen la autenticación de múltiples factores. Corresponderá a Microsoft diseñar sistemas que se puedan parchear más fácilmente, quizás incluso se autocorrijan o usen la autenticación multifactor de forma predeterminada.

Incluso sin leyes ni decretos, la empresa podría estar en problemas. El gobierno de EE. UU. gasta miles de millones de dólares cada año en sistemas y servicios de Microsoft, una fuente de ingresos que podría estar en riesgo si Microsoft no cumple con los estándares.

Algunos miembros del Congreso ya ven a la empresa con cierta desconfianza debido a las deficiencias de seguridad cibernética del pasado. Hace dos años, la Agencia de Seguridad de Infraestructura de Ciberseguridad incluyó €150 millones en su presupuesto para pagar a Microsoft para mejorar la seguridad en la nube. El gasto se produjo después de "dos ciberataques masivos que explotaron las debilidades de los productos de Microsoft para llegar a las redes informáticas de las agencias federales y locales y a decenas de miles de empresas", según Reuters.

La ironía de dar a Microsoft 150 millones de dólares porque su software no es seguro no se le ha escapado al Congreso. El senador Ron Wyden (D-OR), miembro del Comité de Inteligencia, advirtió: "Si la única solución a una brecha importante en la que los piratas informáticos explotaron una falla de diseño ignorada durante mucho tiempo por Microsoft es dar más dinero a Microsoft, el gobierno debe reevaluar su dependencia de Microsoft. El gobierno no debería recompensar a una empresa que le vendió software inseguro con contratos gubernamentales aún mayores. »

Hace dos años, Microsoft obtuvo el dinero extra. Pero si la nueva estrategia nacional de seguridad cibernética del gobierno tiene alguna fuerza, no volverá a suceder.

Derechos de autor © 2023 IDG Communications, Inc.