Las violaciones de datos y las fallas de seguridad ocurren todos los días. Hay poco que podamos hacer al respecto si queremos participar en la sociedad moderna, excepto tal vez cambiar las empresas con las que interactuamos por sus competidores si suponemos que una es más segura. Hay un servicio con el que no tenemos opción de interactuar, sin importar qué tan alto sea el perfil de sus incidentes de seguridad: el gobierno federal.
Una violación de la Oficina de Gestión de Personal anunció en 2015 que había filtrado registros de investigación de antecedentes, lo que afectó a 21,5 millones de personas, según la agencia. El hack de Solarwinds, muy publicitado y descubierto en 2020, expuso registros gubernamentales y comerciales a expertos rusos. A principios de este año, la división del Servicio de Alguaciles de EE. UU. del Departamento de Justicia se convirtió en un objetivo cuando los piratas informáticos robaron información personal sobre los objetivos de la investigación, el personal y más.
Los ataques fueron dirigidos, generalmente buscando algún tipo de información estatal confidencial. Pero todos tenemos información confidencial almacenada en agencias federales, como nuestros números de seguro social o domicilios particulares. Probablemente haya aún más información en juego si utiliza servicios federales como Medicare, préstamos estudiantiles o beneficios de SNAP. No tenemos más remedio que dar acceso al gobierno federal a nuestra información personal a cambio de ciertos servicios, a menos que esté leyendo esto mientras vive fuera de la red.
“Si queremos vivir en la era de la información y usamos algunos de estos sistemas, inherentemente estamos cediendo el control”, dijo a Engadget Kevin Cleary, profesor asistente clínico de ciencia y sistemas de administración en la Universidad de Buffalo. “Tienes que confiar en que la agencia ha presentado todos los mejores controles y prácticas”.
En respuesta, el gobierno federal ha desarrollado agencias como la Agencia de Seguridad de Infraestructura y Ciberseguridad para liderar mejores iniciativas de seguridad en todos los departamentos. En parte, esto tiene como objetivo ayudarlo a sentirse un poco mejor sobre el almacenamiento de sus datos en servidores federales al establecer estándares más altos sobre cómo protege sus datos. Según Michael Duffy, director asociado de la división de seguridad cibernética de CISA, desde el establecimiento de la agencia en 2018, ha encabezado el mayor progreso que ha visto en su carrera federal de seguridad cibernética.
Por lo tanto, las cosas están mejorando y probablemente pueda confiar en que el gobierno federal mantendrá sus datos seguros de la misma manera que confía en las empresas con las que interactúa todos los días. Sin embargo, lo que hace que el gobierno sea tan diferente es que es un objetivo de alto perfil. Los países adversarios quieren participar en los secretos de estado y, al mismo tiempo, es difícil priorizar el gasto en medidas de seguridad. Obtener fondos de los contribuyentes para llenar un bache en su carretera local es bastante difícil cuando el daño es tangible y obvio, mientras que la seguridad es difícil de cuantificar los beneficios hasta que ocurre un ataque. En otras palabras, el valor de las inversiones en seguridad no se prueba hasta que ya es demasiado tarde.
Esto ha mejorado. Las inversiones en seguridad en el gobierno federal tienden en gran medida al alza. Aún así, no es suficiente. “A veces, sus presupuestos no les permiten dar todos los pasos o hacer todo lo que les gustaría hacer, porque simplemente no tienen el dinero”, dijo Marisol Cruz Cain, directora de tecnología de la información y ciberseguridad de la GAO.
Pero la razón por la que el gobierno federal puede parecer menos seguro es por su obligación de transparencia. Existe la responsabilidad de compartir las lecciones aprendidas después de un incidente y asegurarse de que los ciudadanos sepan lo que sucedió. Eso es en realidad una gran parte del trabajo de CISA. “Realmente estamos buscando formas de hacer que sea más aceptable levantar la mano y decir que esta es la forma en que fuimos atacados o ocurrió un incidente”, dijo Duffy.
El gobierno también interactúa con una tonelada de empresas externas. Entonces, supongamos que un contratista del gobierno experimenta una violación o un incidente de seguridad, eso significa que los datos que se encuentran en la tecnología federal podrían estar expuestos. Esto abre una gran cantidad de nuevos vectores de ataque y posibilidades de mala práctica.
De hecho, puede ver qué tan seguras son ciertas agencias gracias a la Oficina de Responsabilidad Gubernamental (GAO) y legislación como la Ley Federal de Reforma de Adquisición de Tecnología de la Información. Este último documenta los esfuerzos de modernización tecnológica en las principales agencias, incluida la preparación cibernética. La GAO, por su parte, audita los esfuerzos de seguridad cibernética y desarrolla evaluaciones de impacto en la privacidad que son descripciones disponibles públicamente sobre qué información recopila la agencia, cómo la usa y más.
Pero con todas estas auditorías llega una conclusión relativamente sombría. Las agencias no están evaluando sus políticas y procedimientos para asegurarse de que los incidentes de alto perfil no ocurran con regularidad, dijo Cruz Cain. Tu información estará en esos servidores, te guste o no.