El gobierno laborista de Keir Starmer presentará un proyecto de ley de resiliencia y seguridad cibernética en la nueva legislatura, con la intención de fortalecer las defensas cibernéticas del Reino Unido y garantizar la continuidad y protección de los servicios digitales, con un mandato propuesto sobre ransomware obligatorio que constituye una piedra angular de la Ley.
El proyecto de ley, una de las muchas posibles nuevas leyes que surgieron en el discurso del Rey en la apertura del Parlamento estatal, reconoce que las empresas del Reino Unido son cada vez más atacadas por ciberdelincuentes con motivación financiera y actores estatales por igual, y con frecuencia atacan a organizaciones grandes y pequeñas.
Las leyes cibernéticas existentes, dijo el gobierno, reflejan leyes heredadas de la Unión Europea (UE) que ahora está siendo reemplazada por Bruselas y, por lo tanto, necesitan una actualización urgente para mantener el ritmo.
El gobierno dijo que los servicios esenciales y la infraestructura nacional crítica (CNI), en particular, son vulnerables a actores hostiles, como lo demuestra una letanía de ataques cibernéticos en los últimos años que afectaron a proveedores y fideicomisos del NHS, el Ministerio de Defensa, la Biblioteca Británica, el Servicio Electoral. Commission, Royal Mail y muchos otros organismos.
Como tal, el proyecto de ley contiene dos objetivos principales: ampliar el alcance de la regulación existente y brindar a los reguladores una base más sólida cuando se trata de proteger los servicios digitales y las cadenas de suministro, y mejorar los requisitos de presentación de informes para ayudar a construir una mejor imagen de las amenazas cibernéticas.
En el futuro, dijo el gobierno, un mayor número de organismos reguladores podrían recibir poderes mejorados, incluidos, potencialmente, mecanismos de recuperación de costos para proporcionar recursos y la capacidad de investigar de manera proactiva las vulnerabilidades en los sistemas de TI.
Mientras tanto, dijo, la notificación obligatoria de incidentes ayudará al gobierno a recopilar mejores datos sobre ataques cibernéticos, mejorar la comprensión nacional de las amenazas que enfrenta el Reino Unido y ayudar a alertar a organizaciones e individuos sobre posibles ataques al ampliar el tipo y la naturaleza de los incidentes que deben ser reportado por una entidad regulada. Esto incluiría, naturalmente, los ataques de ransomware.
Informes de ransomware
Dado que parte del objetivo del gobierno es mantenerse al día con la UE, particularmente mientras se prepara para comenzar a aplicar, el 17 de octubre de 2024, la Directiva de Seguridad de la Información y las Redes (NIS2) de próxima generación, si tiene éxito en su ambición de exigir informes de ransomware, el Reino Unido en realidad se adelantará a Europa en algunos aspectos, un punto señalado por los expertos en riesgos del bufete de abogados Ashurst.
Matt Worsfold, socio de Ashurst Risk Advisory, dijo: “Si la legislación propuesta sigue adelante como se describe, será sorprendente ver cómo las estadísticas sobre los ataques de ransomware potencialmente saltan frente a la presentación de informes obligatorios, dado que la opinión generalizada hasta la fecha es que las estadísticas actuales no son representativas de la realidad”.
Fuerte compromiso
Louise Marie Hurel, investigadora cibernética del grupo de expertos Royal United Services Institute (RUSI), dijo que el proyecto de ley era una fuerte indicación del compromiso del gobierno con la cibernética y contrastaba fuertemente con una única referencia a los ciberataques en el manifiesto laborista. Sostuvo que la seguridad cibernética iba mucho más allá de un tema específico; de hecho, ahora se ha vuelto “transversal para garantizar la sostenibilidad de la estrategia del gobierno en una variedad de áreas”.
“Si bien todavía hay una visibilidad limitada sobre el texto del proyecto de ley propuesto, para que sea efectivo, el documento deberá garantizar que cualquier requisito de presentación de informes sea implementable y se realice en un diálogo con industrias de diferentes tamaños”, dijo Hurel.
“Esto requerirá un delicado equilibrio entre la innovación y las actualizaciones de los datos existentes y los requisitos de notificación de incidentes cibernéticos. Pero el proyecto de ley, si bien es un indicador del compromiso para garantizar una mayor resiliencia cibernética nacional, debe ser parte de una visión que integre de manera efectiva la prevención y las respuestas a las amenazas cibernéticas.
“Los próximos meses mostrarán cómo el gobierno laborista buscará mejorar la capacidad del Reino Unido para combatir el cibercrimen – y especialmente el ransomware – como parte de sus menciones al fraude en línea en el manifiesto y responder a las ciberamenazas afiliadas al estado, que también deberían incluirse en la próxima revisión de la defensa”.
El director de infraestructura crítica de Illumio, Trevor Dearing, estuvo entre muchos líderes de seguridad que elogiaron los planes del gobierno, pero lo suavizó con una advertencia.
“Más poderes para los reguladores y la presentación de informes serán fundamentales para desarrollar la resiliencia cibernética”, dijo. “Sin embargo, la regulación sólo tendrá éxito si va acompañada de financiación adicional para los organismos públicos; de lo contrario, lo único que sucederá es que las regulaciones creen un objetivo poco realista cuya implementación tiene un costo prohibitivo.
“También es importante que veamos un fuerte énfasis en la seguridad de la cadena de suministro, dado que los proveedores externos constituyen el alma de los departamentos gubernamentales. Los ciberdelincuentes siempre perseguirán el eslabón más débil de la cadena para obtener acceso a sistemas más valiosos, por lo que debemos reconocer la inevitabilidad de una infracción por parte de los proveedores y mitigar el riesgo en consecuencia. Un enfoque de seguridad basado en el riesgo es clave para lograrlo, asegurando que los servicios más amenazados obtengan la mayor cantidad de recursos”.
Lista de deseos cibernéticos
Otros dijeron que desearían que el gobierno se hubiera atrevido a ir más lejos. Camellia Chan, directora ejecutiva de Flexxon, especialista en almacenamiento seguro de datos, dijo que le hubiera gustado que se pusiera más énfasis en combatir el cibercrimen y, en particular, en mantener seguro el NHS.
“La atención sanitaria –desde los servicios nacionales de salud hasta los pequeños hospitales y farmacias– es una mina de oro para los delincuentes que buscan extorsionar datos y exigir compensaciones financieras. Sin embargo, las consecuencias de tales ataques pueden ir mucho más allá de las pérdidas financieras y afectar directamente la atención al paciente”, afirmó Chan.
“Esto puede provocar retrasos en la recepción de medicamentos vitales, que los resultados médicos no estén disponibles y que las instalaciones cierren, todo lo cual podría ser fatal. En el caso del NHS, los ataques de ransomware han provocado la cancelación de citas, retrasando el tratamiento de miles de pacientes. Es hora de que las organizaciones sanitarias, incluido el NHS, y el gobierno actúen y pongan su dinero en lo que dicen invirtiendo en las últimas innovaciones cibernéticas”.
Mientras tanto, Matt Hull de NCC, hablando en su calidad de representante de la campaña CyberUp de larga data que quiere una reforma urgente de la obsoleta Ley de Uso Indebido de Computadoras de 1990, que corre el riesgo de penalizar la investigación legítima de amenazas con sanciones penales en su forma actual, dijo el grupo mantendría la presión en el nuevo parlamento.
“La introducción hoy del Proyecto de Ley de Resiliencia y Seguridad Cibernética será clave para mantener al Reino Unido a salvo del aumento de los ataques cibernéticos. Dado que los delitos cibernéticos aumentaron casi un tercio el año pasado, es alentador ver que el gobierno prioriza las actualizaciones de nuestras leyes cibernéticas”, dijo Hull.
“Esperamos trabajar con el gobierno en nuevas formas de mejorar la resiliencia cibernética del país, particularmente en cualquier esfuerzo para abordar la obsoleta Ley de Uso Indebido de Computadoras de 1990.
“La actualización de la Ley permitirá a los ciberprofesionales del Reino Unido proteger mejor el país en línea, salvaguardando la economía digital y liberando todo el potencial de crecimiento de nuestra industria de la ciberseguridad”, añadió.