A mediados de diciembre de, la Casa Blanca firmó la Ley de Autorización de Defensa Nacional ( NDAA , por sus siglas en inglés) por valor de 700 mil millones de dólares. La ley establece políticas y directrices presupuestarias para el ejército estadounidense para el próximo año fiscal, incluidos proyectos e iniciativas cibernéticos. Si bien la ley refuerza los programas cibernéticos establecidos, la NDAA de prohíbe algunos esfuerzos nuevos. Por ejemplo, todos los productos y servicios de Kaspsersky (incluidos los de las filiales de la empresa) están prohibidos en todo el Departamento de Defensa (DoD), una iniciativa que trabaja en conjunto con el Departamento de Seguridad Nacional (DHS) .) presionan para prohibir a Kaspersky de las oficinas del gobierno federal. De manera similar, en un esfuerzo por salvaguardar los canales de comunicaciones estadounidenses de los riesgos cibernéticos, la NDAA prohíbe la adquisición de tecnología satelital de un país extranjero o de cualquier empresa afiliada a uno. Estos mandatos son importantes ya que reconocen las amenazas potenciales que existen al adquirir tecnologías y/o servicios de fuentes fuera de una cadena segura.
De particular interés es una disposición que podría obligar al gobierno federal a actualizar sus sistemas de TI obsoletos. La Ley de Modernización de Tecnología Gubernamental (MGTA), que se promulgó en conjunto con la NDAA, crea un fondo de $500 millones en el transcurso de dos años que se utilizará para modernizar los sistemas de TI heredados. Intentar proteger sistemas heredados antiguos y obsoletos ha sido una espina para los esfuerzos de seguridad cibernética del gobierno. En, el 71 por ciento de los administradores de sistemas de TI federales utilizaron sistemas operativos antiguos para ejecutar aplicaciones importantes. La MGTA proporcionará los fondos necesarios para abordar estas deficiencias técnicas.
Desde el punto de vista de la capacidad cibernética ofensiva, el Secretario del Departamento de Defensa proporcionará un plan al Congreso que destaque una estrategia sobre cómo el ejército disuadirá, contrarrestará y mitigará las operaciones de información dirigidas a ciudadanos estadounidenses. Inmediatamente después de las elecciones presidenciales de EE. UU. de, donde las noticias falsas y la desinformación ganaron tanta prominencia, y cuyos impactos en el cálculo de los votantes aún se están determinando, un plan estratégico a futuro es una iniciativa importante, particularmente ahora que las redes sociales y los medios de Internet están vistos como potenciales agentes influyentes potentes.
Todavía se espera que la Casa Blanca desarrolle una política nacional para Estados Unidos que aborde “todo lo cibernético” (es decir, seguridad cibernética, guerra cibernética, ciberespacio). Según el informe , la política debe definir claramente qué planes, políticas y roles tienen las agencias federales al reaccionar ante un ciberataque importante, una implementación necesaria particularmente en lo que respecta a los roles, responsabilidades y misiones de seguridad cibernética a nivel nacional .permanecen confusos y superpuestos. Si bien se trata de un avance prometedor, sobre todo porque los primeros indicios apuntan a que dicha política probablemente será multifacética en lugar de unidimensional, existe la preocupación de que no haya una fecha límite para su creación. Estados Unidos logra desarrollar amplios planes cibernéticos estratégicos, pero enfrenta desafíos a la hora de implementarlos con éxito. Esto es preocupante, especialmente cuando competidores globales como China están aprobando la legislación necesaria relacionada con la cibernética y aplicando medidas punitivas por incumplimiento para reforzar sus perfiles de seguridad. China ya ha implementado un plan a nivel nacionalpara responder a ataques cibernéticos graves, una medida para fortalecer cada vez más las defensas contra amenazas cibernéticas internas y externas. Los principales competidores parecen avanzar, mientras que Estados Unidos parece atrapado en un limbo burocrático.
Cuando se trata de establecer una estrategia de guerra cibernética, la Casa Blanca parece dudar en comprometerse en una dirección particular. El presidente se opuso a este curso de acción porque inhibe la capacidad de la Oficina Ejecutiva para negociar en sus términos y no ser tomado como “rehén” por el Congreso. Si bien el presidente implementó la Orden Ejecutiva 13800 en mayo de, destinada a establecer pautas para fortalecer la seguridad cibernética de las redes federales y la infraestructura crítica, ha habido pocas actualizaciones sobre dónde se encuentra este esfuerzo y qué progreso se ha logrado. Entre los avances en ciberseguridad más notables desde que asumió la nueva Administración se encuentra el posible cambio de nombre.de la Dirección Nacional de Programas y Protección (NPPD) del DHS a la Agencia de Seguridad Cibernética, y la eliminación de la Oficina del Coordinador de Asuntos Cibernéticos del Departamento de Estado. Aprobado en la Cámara, el proyecto de ley para cambiar el nombre de NPPD ordenaría un “Director de Ciberseguridad Nacional y Seguridad de Infraestructura para liderar los esfuerzos nacionales para proteger y mejorar la seguridad y resiliencia de la ciberseguridad, las comunicaciones de emergencia y la infraestructura crítica de Estados Unidos”. Actualmente, las autoridades cibernéticas permanecen en varias agencias federales.
Abordar la compleja naturaleza del ciberespacio y todo lo que implica sigue siendo una tarea desconcertante para Estados Unidos. Si bien existe consenso en que Estados Unidos es una fuerza cibernética desde una perspectiva de operaciones ofensivas, la seguridad cibernética y la defensa de la red siguen siendo un objetivo difícil de alcanzar, una realidad problemática para un gobierno y un país que depende de la tecnología para su continuo desarrollo económico, militar y social. avance y posición global. El presidente en la estrategia de seguridad nacional recientemente publicada reconoció la seguridad cibernéticacomo imperativo. Esto es prometedor, pero un obstáculo importante que enfrentan los esfuerzos a nivel nacional es que cuando las estrategias se desarrollan y promulgan, ya están obsoletas para el período en el que entran en vigor. Y este es el problema de las estrategias cibernéticas: generalmente están posicionadas para abordar el panorama cibernético del presente, en lugar de estar preparadas para abordar el futuro. Esto es parte de la ecuación que debe solucionarse con medidas concretas que puedan medirse y exigir responsabilidad ante cualquier contratiempo. De lo contrario, nos encontraremos repitiendo lo que ya sabemos sin una comprensión real de cómo corregir nuestros errores.
Esta es una publicación invitada escrita por Emilio Iasiello.