en el sin fin luchar para mejorar la ciberseguridad y fomentar la inversión en defensas digitales, algunos expertos tienen una sugerencia controvertida. Dicen que la única forma de hacer que las empresas se lo tomen en serio es crear incentivos económicos reales, haciéndolas legalmente responsables si no han tomado las medidas adecuadas para asegurar sus productos e infraestructura. Lo último que alguien quiere es más responsabilidad, por lo que la idea nunca se ha vuelto muy popular, pero una estrategia nacional de seguridad cibernética de la Casa Blanca esta semana le está dando un impulso destacado al concepto.
El tan esperado documento propone protecciones y regulaciones de seguridad cibernética más fuertes para la infraestructura crítica, un programa ampliado para interrumpir la actividad ciberdelincuente y un enfoque en la cooperación global. Muchas de estas prioridades son ampliamente aceptadas y se basan en estrategias nacionales presentadas por administraciones estadounidenses anteriores. Pero la estrategia de Biden amplía significativamente la cuestión de la responsabilidad.
“Debemos comenzar a trasladar la responsabilidad a aquellas entidades que no toman las precauciones razonables para proteger su software y, al mismo tiempo, reconocer que incluso los programas de seguridad de software más avanzados no pueden prevenir todas las vulnerabilidades”, dice. “Las empresas que fabrican software deben tener la libertad de innovar, pero también deben ser responsables cuando no cumplen con el deber de cuidado que les deben a los consumidores, las empresas o los proveedores de infraestructura crítica”.
Dar a conocer la estrategia es una forma de dejar claras las prioridades de la Casa Blanca, pero no significa en sí mismo que el Congreso aprobará legislación para promulgar políticas específicas. Con la publicación del documento, la administración de Biden parece estar enfocada en promover la discusión sobre cómo manejar mejor la responsabilidad y crear conciencia sobre lo que está en juego para los estadounidenses individuales.
“Hoy, en los sectores público y privado, tendemos a delegar la responsabilidad del riesgo cibernético hacia abajo. Pedimos a las personas, las pequeñas empresas y los gobiernos locales que asuman una carga significativa para defendernos a todos. Esto no solo es injusto, es ineficaz”, dijo el jueves a los periodistas el director cibernético nacional en funciones, Kemba Walden. “Los actores más grandes, más capaces y mejor posicionados en nuestro ecosistema digital pueden y deben asumir una mayor parte de la carga para administrar el riesgo cibernético y mantenernos a todos seguros. Esta estrategia exige más a la industria, pero también compromete más al gobierno federal”.
Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU., tuvo un sentimiento similar para una audiencia en la Universidad Carnegie Mellon a principios de esta semana. “Actualmente, a menudo culpamos a una empresa que tiene una brecha de seguridad porque no corrigió una vulnerabilidad conocida”, dijo. “¿Qué pasa con el fabricante que produjo la tecnología que requirió demasiados parches en primer lugar?”
El objetivo de transferir la responsabilidad a las grandes empresas ciertamente ha iniciado una conversación, pero todos los ojos están puestos en la cuestión de si realmente resultará en un cambio. Chris Wysopal, fundador y CTO de la firma de seguridad de aplicaciones Veracode, brindó información a la Oficina del Director Nacional Cibernético para la estrategia de la Casa Blanca.
“La regulación en esta área va a ser complicada y engañosa, pero puede ser poderosa si se hace de manera adecuada”, dice. Wysopal compara el concepto de leyes de responsabilidad de seguridad con las regulaciones ambientales. “No se puede simplemente contaminar y alejarse; las empresas deberán estar preparadas para limpiar su desorden”.