El Centro Nacional de Seguridad Cibernética (NCSC) publicó su Revisión anual 2021 en noviembre, unos cinco años después de su formación y diez años después de la publicación de la primera estrategia nacional de seguridad cibernética del Reino Unido.
Programado para coincidir con su lanzamiento, el NCSC también lanzó varias entrevistas informales, e innegablemente bien hechas, con el personal superior del NCSC. Perceptible tanto en el Revisar y las entrevistas indican que el NCSC está particularmente orgulloso de las intervenciones que ha realizado en nombre de la nación, incluido el servicio de DNS de protección (PDNS).
Cuando surgen problemas y riesgos novedosos, como la salud y la seguridad, el lavado de dinero o la protección del medio ambiente, las sociedades capitalistas prefieren permitir que los mercados se ocupen de ellos: se supera la resistencia inicial, se aprueba la legislación, se nombran reguladores, se publican los marcos de cumplimiento y Luego, se deja que las empresas sigan adelante.
Las subindustrias se crean para abordar estos riesgos, sus costos se transfieren al consumidor y cualquier riesgo residual está asegurado. Se espera que el gobierno siga siendo “pequeño”.
El riesgo cibernético es diferente. El riesgo cibernético es simultáneamente un riesgo empresarial y un riesgo para la seguridad nacional. La incapacidad de fabricar acero o de generar y distribuir energía es un riesgo comercial para las corporaciones cuyos modelos de negocios se basan en esas actividades. Sin embargo, para los estados nacionales que dependen de su funcionamiento, cualquier interrupción o daño a estas funciones vitales es potencialmente existencial.
El ataque Colonial Pipeline es un ejemplo de lo que el ex director ejecutivo de NCSC, Ciaran Martin, llama la “privatización del riesgo de seguridad nacional”. En ese caso, la red corporativa de un operador de gasoductos estadounidense fue atacada, en respuesta a lo cual se interrumpió el flujo de combustible, lo que provocó el caos nacional, aunque la infraestructura del gasoducto no se vio afectada. La decisión de detener el flujo de combustible fue una decisión comercial, tomada de forma independiente por una organización del sector privado.
Más de una década desde que la seguridad cibernética se generalizó, existe una sensación creciente de que el mercado no ha logrado solucionar el problema. Los asediados responsables de la formulación de políticas y las decepcionadas empresas de capital privado discuten ahora las fallas del mercado.
No hay soluciones mágicas para el ransomware
El ransomware está, en palabras de RUSI y BAE Systems, en peligro de salirse de control, y Gran Bretaña sufre el segundo número más alto de ataques de “doble extorsión” después de Estados Unidos.
También es una forma de ciberataque que amenaza la vida, como atestiguan los ataques contra el Ejecutivo del Servicio de Salud de Irlanda en mayo de este año, que según los informes le han costado al gobierno irlandés alrededor de 600 millones de euros.
Las pérdidas financieras debido a los ataques de ransomware han sido tan grandes que Lloyd’s of London, que genera alrededor de una quinta parte del riesgo cibernético a nivel mundial, ahora está desanimando a sus miembros del sindicato de asumir riesgos adicionales el próximo año. Para detener las pérdidas, muchas aseguradoras ahora están reduciendo a la mitad la cobertura que ofrecen.
Esperar que las cosas mejoren no parece ser una opción política viable. A pesar de la dura retórica en ciertos sectores sobre las operaciones cibernéticas ofensivas, no existen soluciones mágicas para resolver este complejo problema. Muchos observadores en los EE. UU. Y el Reino Unido sienten que se ha alcanzado un punto de inflexión y que ahora es inevitable una mayor regulación.
El gobierno australiano aprobó recientemente una legislación que hace que todos los ataques cibernéticos contra la infraestructura nacional crítica (CNI) sean informables a la Dirección de Señales de Australia. El gobierno australiano ahora podrá intervenir para proteger los activos inmediatamente antes, durante o después de un ciberataque significativo.
El comunicado del G7 emitido después de la cumbre de Cornualles en junio augura una era de diplomacia cibernética coordinada. Las sanciones económicas para las naciones que brindan refugios seguros a los ciberdelincuentes son otra opción, aunque esto sería problemático en el caso de Rusia. Los tratados internacionales pueden establecer normas cibernéticas entre estados, determinando qué se considera juego limpio o prohibido.
Una prohibición de los pagos de ransomware parecería razonable para aquellas industrias donde no existe una amenaza obvia para la vida, ya que dificultaría el movimiento de las criptomonedas.
Sin embargo, el respaldo ciertamente sería incompleto, y una prohibición podría potencialmente invocar la ley de consecuencias no deseadas al sesgar aún más el mercado de seguros y / o llevar el problema a la clandestinidad.
Incrementando la resiliencia
Un requisito en el que está de acuerdo la mayoría de los observadores es la necesidad de una mayor resiliencia nacional. Las crecientes pérdidas han ido acompañadas de un aumento constante de lo que los estados están dispuestos a hacer para compensar la holgura dejada por el mercado.
La formación del NCSC, provocada en parte debido a la presión del gobernador del Banco de Inglaterra, Mark Carney, abrió un camino que muchos países ahora están emulando.
El establecimiento del Programa de Defensa Cibernética Activa (ACD) en 2017 reflejó la voluntad de “hacer cosas” y ayudar a los menos capaces de ayudarse a sí mismos, en lugar de filosofar sobre la seguridad cibernética. ACD ahora incluye una gama de servicios y herramientas, incluido el PDNS, que protege a seis millones de trabajadores del sector público y de la salud en alrededor de 2.000 organizaciones.
En 2020, PDNS fue un componente principal del pivote de NCSC para proteger el NHS y la cadena de suministro de vacunas, que el director técnico Ian Levy describe en su reciente entrevista como su “punto culminante de NCSC” en los últimos 12 meses.
No es razonable esperar que los operadores de CNI sean propietarios exclusivos de los riesgos de seguridad nacional, incluso si poseen u operan la infraestructura asociada. Los hospitales deben centrarse en mantener a los ciudadanos vivos y sanos, en lugar de combatir el crimen internacional.
Eso no quiere decir que los operadores de CNI no tengan un papel fundamental que desempeñar. Los responsables políticos deben reconocer que los operadores de CNI no nacen iguales: algunos han invertido mucho en sofisticados programas de ciberdefensa, mientras que otros están luchando.
Los programas como ACD pueden ir mucho más allá y lograr un impacto mucho mayor si existe la voluntad de asumir riesgos más calibrados y superar los límites. Las iniciativas audaces y ambiciosas diseñadas para reducir el daño a gran escala deberían estar en el centro de las ciberdefensas de cualquier país.
Si las pérdidas en el sector privado continúan aumentando, es muy posible que veamos que las medidas activas dirigidas por el gobierno se amplíen en las sociedades.