LAS VEGAS–Chris Krebs, director fundador de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno, llegó a la conferencia de seguridad de la información Black Hat aquí con tres preguntas en mente:
«¿Por qué es tan malo en este momento?»
«¿Qué quieres decir con que va a empeorar?
«¿Qué vamos a hacer al respecto?»
Krebs intentó responder esas preguntas, que dice haber escuchado repetidamente de los líderes gubernamentales durante los últimos 18 meses, en el discurso de apertura de Black Hat el miércoles por la mañana. La versión corta de su respuesta a las tres: «No es inútil».
La versión más larga comenzó con Krebs analizando los problemas sistémicos que dice que ve en el enfoque de EE. UU. hacia la seguridad de la información. A nivel de tecnología, Krebs dice que hemos tomado el problema existente de las empresas que ven la seguridad como un centro de costos y un freno y lo hemos combinado con la creciente migración de servicios corporativos clave a varios proveedores de nube.
“No se puede ver lo que sucede en el backplane de la nube”, dice.
Krebs también criticó a EE. UU. por centrarse demasiado en los atacantes sofisticados del estado-nación en lugar de lidiar con el problema menos emocionante del ransomware, o «la mayor caída colectiva del gobierno y la industria», como él lo expresa.
«Hemos fetichizado la amenaza persistente avanzada», dice Krebs. «Los ciberdelincuentes se han estado comiendo nuestro almuerzo mientras tanto».
Las agencias gubernamentales deben pasar de pedir a las empresas que cumplan con las listas de verificación de seguridad cibernética a realizar evaluaciones basadas en resultados, dice. Y necesitan simplificar las líneas de comunicación. «Todavía es difícil para una organización del sector privado saber con quién trabajar».
La fundación de CISA en 2018 tenía como objetivo traer algo de esa simplicidad. Krebs dirigió la agencia, una rama del Departamento de Seguridad Nacional, desde entonces hasta que el presidente Trump lo despidió en noviembre de 2020 por confirmar que las elecciones de 2020 se llevaron a cabo de manera segura.
Los problemas que Krebs ve en el enfoque estadounidense de la «seguridad de la información» se extienden a las escuelas primarias que deberían enseñar lo básico pero no lo hacen. Señala que aunque sus cinco hijos están en lo que él llama un buen sistema escolar, «no hay oportunidades para que experimenten la codificación».
Krebs se declaró pesimista a corto plazo porque las empresas no han valorado completamente los riesgos cibernéticos mientras que los atacantes no sienten suficiente dolor. Y seguimos ampliando nuestra superficie de ataque colectiva poniendo más dispositivos en línea: «Todos tenemos una necesidad patológica de tener cosas conectadas a Internet».
Recomendado por Nuestros Editores
Pero Krebs es optimista sobre el largo plazo, comenzando con la tendencia de que «cada día que pasa, nuestra fuerza laboral se vuelve cada vez más nativa de la tecnología».
Señala los movimientos recientes para intensificar la colaboración entre el gobierno y la industria (por ejemplo, la «Cumbre de Educación y Fuerza Laboral Cibernética» del mes pasado(Se abre en una nueva ventana) en la Casa Blanca) y perseguir la infraestructura financiera de los atacantes (la medida de esta semana del Departamento del Tesoro para sancionar a la firma de mezcla de criptomonedas Tornado Cash por ayudar a Corea del Norte a lavar ganancias ilícitas).
Insta a los líderes empresariales a hacer de la ciberseguridad una prioridad en la sala de juntas y a planificar con más anticipación, citando el riesgo potencial de que China invada Taiwán. «Si desea segmentar físicamente sus redes en Taiwán, debe comenzar ahora», aconseja.
En cuanto al gobierno, Kreb respalda los movimientos existentes para usar su poder de adquisición para impulsar las actualizaciones de seguridad y sugiere que es necesaria una reforma más amplia. “Creo que es hora de repensar la forma en que el gobierno interactúa con la tecnología”, argumenta, aunque no dio muchos detalles.
Después de admitir momentos después que “tampoco tengo mucha confianza en que este Congreso pueda lograrlo”, Krebs ofreció su consejo final a los investigadores y desarrolladores en la sala. Eso hizo que el discurso de apertura sonara un poco como un seminario de autoayuda, ya que Krebs instó a los asistentes a basar su trabajo en principios éticos y encontrar y quedarse con personas que los apoyen. Esta línea obtuvo la mayor cantidad de aplausos: «La vida es demasiado corta para trabajar para los imbéciles. Así que no lo hagas».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.