Ya sea protegiendo un esfuerzo apoyado por el gobierno para producir vacunas y tratamientos contra el coronavirus, o previniendo la interferencia en las elecciones de este noviembre, la Agencia de Seguridad de la Infraestructura y Ciberseguridad está trabajando con socios de la industria para mantenerse al tanto de las últimas amenazas cibernéticas.
Para tener una mejor idea de las mayores amenazas a la infraestructura crítica nacional, el CISA está trabajando con un laboratorio nacional del Departamento de Energía para crear un nuevo marco de ciberriesgo.
Daniel Kroese, subdirector adjunto interino del Centro Nacional de Gestión de Riesgos de CISA, dijo que la Arquitectura de Riesgo de Funciones Críticas Nacionales no será la «fórmula perfecta que predice el futuro» de los principales riesgos cibernéticos, pero la plataforma de grandes datos identificará algunas de las «vías comunes» de los ataques cibernéticos a sectores como la energía, las telecomunicaciones y las finanzas.
La puesta en marcha del marco cibernético del CISA se produce en un momento en que el organismo se ha desplazado a las nuevas zonas que necesitan protección, y a cuantificar mejor la «pérdida cibernética» de los incidentes en el sector privado.
Kroese dijo que esos impactos pueden incluir la pérdida de productividad, los costos de respuesta, los costos de reemplazo, la pérdida de ventajas competitivas, las multas y los juicios, y los daños a la reputación.
«Si queremos ser capaces de tener esta comprensión de cómo las vulnerabilidades se conectan con las consecuencias observadas, necesitamos tener una mejor manera de cuantificar y hablar de la pérdida cibernética, reconociendo que no vamos a tener una especificidad decimal, podemos empezar a obtener una comprensión direccional para ayudar a guiar algunos de estos esfuerzos», dijo el martes durante una conferencia virtual de seguridad cibernética organizada por la Semana Federal de la Informática.
El marco del CISA complementará, pero no competirá con el conocido marco de seguridad cibernética del Instituto Nacional de Normas y Tecnología, que es un conjunto de controles de seguridad respaldado por la industria para proteger la información crítica.
Kroese dijo que, a diferencia del marco del NIST, la arquitectura de riesgo del CISA es más una plataforma de datos que un conjunto tangible de principios y mejores prácticas.
«Los resultados de su análisis ahí, tal vez podríamos imprimir, pero no podría simplemente imprimir en toda la Arquitectura de Riesgo de NCF, porque es realmente una especie de solución de grandes datos y multivectorial de unir diferentes puntos de datos relacionales y nodos de factores de riesgo a través de la comunidad de infraestructura crítica. Creo que es bastante distinto, pero ciertamente no compite en términos de ser útil para la resiliencia de los sistemas conectados», dijo.
Kroese dijo que la arquitectura de riesgo es parte de los esfuerzos de CISA para mitigar las áreas de «riesgo concentrado», como el trabajo de la agencia que apoya los datos y la propiedad intelectual detrás de la Operación Warp Speed, el esfuerzo del gobierno federal para apoyar el desarrollo de vacunas y el tratamiento de la pandemia de coronavirus.
«Esos son datos particularmente valiosos en este momento, ya que hemos hablado públicamente de cómo hemos tenido un gran alcance muy productivo con muchas de estas empresas para asegurarnos de que aprovechen o por lo menos conozcan muchos de los escaneos de higiene gratuitos y otras herramientas que tenemos disponibles, porque en este momento es un imperativo nacional e internacional que haya integridad en esos datos», dijo Kroese.
Tras el anuncio del Pentágono el lunes de abrir las ondas militares para apoyar las redes inalámbricas 5G, Kroese dijo que CISA ha identificado la garantía de software como un área de mayor riesgo para los socios de la industria.
«Casi todo es software o firmware en este momento, y se escuchan las conversaciones sobre la seguridad y la resistencia de 5G en este momento y por qué se pone tanto énfasis en los proveedores de confianza, porque se tienen millones de líneas de código y actualizaciones mensuales de firmware, y nos hace darnos cuenta, ya sea una puerta trasera o un error, o si es intencional o no, cuando se tiene el futuro de la conductividad en el siglo 21 apuntalado por todo ese código, realmente hay que confiar en ese código», dijo Kroese.
El CISA ha trabajado con la Administración Nacional de Telecomunicaciones e Información y otros asociados para poner a disposición de la comunidad de infraestructuras críticas las listas de materiales de software y otros instrumentos de análisis.
Mientras tanto, el CISA también está poniendo en pie una plataforma de divulgación de vulnerabilidades que estandarizaría el proceso para que los investigadores de seguridad informen sobre las vulnerabilidades de forma segura en todo el gobierno federal.
Kroese dijo que la Oficina de Gestión de Servicios de Calidad de CISA (QSMO) gestionaría la plataforma como parte del amplio impulso de la administración de Trump para lograr servicios compartidos más centralizados y el impulso de la agencia para hacer de la divulgación de la vulnerabilidad una prioridad principal este año.
«Este ha sido un desarrollo sólido en el frente de la gestión de la vulnerabilidad, no sólo en términos de lo que nuestros equipos internos seleccionan, analizan y envían alertas, sino también en cómo estamos ofreciendo capacidad escalable a la empresa federal y madurar sus procesos también», dijo.
El CISA también ha publicado una guía no vinculante sobre cómo los socios de la infraestructura electoral, en particular el estado y los locales pueden crear sus propios programas de divulgación de la vulnerabilidad dentro de la comunidad electoral.
Kroese dijo que el programa, que CISA lanzó el mes pasado, ha sido un «cambio decisivo» en términos de la creación de confianza con los funcionarios electorales estatales y locales, pero también habla de la necesidad de conversaciones más amplias en torno a la «criticidad de los datos» – tanto los datos operativos que mantienen la infraestructura en funcionamiento y la información de identificación personal.
«No todos los datos son tan críticos como otros, y si sólo hablamos de los datos de forma monolítica, no sé si vamos a tener esa comprensión táctica para averiguar realmente dónde está el riesgo», dijo Kroese.