Dado que algunas organizaciones gubernamentales en los Países Bajos ya utilizan equipos rojos, el CIO estatal ha encargado una investigación sobre los programas de equipos rojos para ver si un modelo de estas pruebas podría usarse en otras partes del gobierno.
Alexandra van Huffelensecretario de estado para la digitalización en los Países Bajos, escribió en una carta al Tweede Kamer (Cámara Baja) que la resiliencia digital del gobierno holandés va a la zaga de otros estados.
“Entre otros, el Seguridad cibernética Beeld Nederland (CSBN) 2021 muestra amenazas reales de actores estatales y criminales, incluso contra el gobierno (nacional)”, escribió. “Las acciones sólidas para mejorar nuestra resiliencia son cruciales”.
Para acelerar aún más el enfoque proactivo de la seguridad de la información, las pruebas estructurales de una organización son un elemento esencial. De esta manera, las vulnerabilidades y los riesgos pueden identificarse y abordarse antes de que puedan tener un gran impacto.
“Después de todo, sabemos que, a pesar de todos los esfuerzos, se pueden cometer errores, se descubren nuevas vulnerabilidades y los atacantes desarrollan constantemente nuevos métodos”, escribió Van Huffelen.
Ya a finales del año pasado, una mayoría en el Tweede Kamer quería que se hiciera un estudio sobre si se podía hacer una prueba de estrés cibernético en el gobierno central, como ya se hace en los bancos. Esa investigación ha sido ahora terminado.
“La conclusión más importante y positiva es la confirmación de que las pruebas de equipo rojo ya se están utilizando en partes del gobierno central”, dijo Van Huffelen, refiriéndose al TIBER-NL (Theat Intelligence Based Ethical Red-teaming-NL) del De Nederlandsche Bank (DNB, el banco central de los Países Bajos).
Dentro de este programa, las instituciones financieras prueban qué tan resistentes son contra ataques cibernéticos avanzados. Esto se hace con ataques de prueba que se basan en amenazas realistas. Un pequeño equipo de DNB coordina, pero las instituciones realizan las pruebas por sí mismas.
“Este es solo uno de los tipos de pruebas que las organizaciones pueden realizar para evaluar su resiliencia. El gobierno central también lleva a cabo otros tipos de pruebas, como las pruebas de penetración”, dijo Van Huffelen.
Es importante, agregó, tener en cuenta que las pruebas en sí mismas no son el objetivo. Se utiliza para compartir lecciones aprendidas y dar seguimiento a vulnerabilidades y riesgos encontrados. “Ese es el objetivo principal, porque eso potencia la resiliencia digital del gobierno nacional”, dijo Van Huffelen.
Entorno confiable y seguro
El informe posterior a la investigación sobre si TIBER se puede aplicar en todo el gobierno establece que es posible si se cumplen una serie de condiciones previas con respecto a la confidencialidad y la forma en que se manejan los resultados.
Según el secretario de Estado, es importante que la prueba de seguridad se realice en un entorno de confianza, física, digital y socialmente. También es importante que los resultados y hallazgos se formulen de tal manera que puedan ser utilizados por organizaciones dentro del gobierno central que no sean la organización evaluada.
“La información sobre vulnerabilidades específicas, por lo tanto, seguirá siendo confidencial en principio”, escribió Van Huffelen en la carta al Tweede Kamer. “La confiabilidad del partido que lleva a cabo el equipo rojo también es importante y se tiene en cuenta en el proceso”.
Para ilustrar esto, proporcionó un ejemplo de una vulnerabilidad ficticia en los servidores de correo. Si esta información terminara en manos equivocadas, podría ser utilizada para realizar verdaderos ataques a los servidores de correo de la organización involucrada siempre que no se hayan tomado medidas de mejora.
Al formular de forma genérica el riesgo de la vulnerabilidad, se puede compartir en un entorno seguro. Otras organizaciones pueden verificar si esto se aplica a su propio entorno y, por lo tanto, están en riesgo. Posteriormente, pueden realizar mejoras específicas sin ser probados ellos mismos.
El plan de acercamiento
Los hallazgos del estudio brindan una buena base para asegurar y fortalecer aún más el uso de equipos rojos dentro del gobierno central holandés, concluyó Van Huffelen en su carta al Tweede Kamer.
Con este fin, se ha elaborado un plan de enfoque que tiene en cuenta las condiciones previas señaladas, que se está desarrollando en tres vías: habrá un calendario de pruebas anual conjunto, que también se implementará; un entorno seguro en el que se pueda compartir el conocimiento obtenido de las pruebas; y un proceso para hacer que los hallazgos se puedan compartir. La intención es que esta base se realice este año.
Para 2025 a más tardar, la ambición de resiliencia holandesa debe estar completamente integrada en la forma de trabajar de todo el gobierno y las pruebas del equipo rojo deben incluirse permanentemente en la planificación de pruebas y el ciclo presupuestario, dijo Van Huffelen. El objetivo es tener un marco de estándares disponible para las pruebas de seguridad para entonces, que también mire las cadenas. El CIO estatal implementará el plan de enfoque en cooperación con los ministerios, y los departamentos también continuarán realizando pruebas periódicas por sí mismos.