El impacto de los ataques de ransomware contra los gobiernos estatales y locales sigue siendo noticia. Los graves ataques contra Atlanta, Baltimore y ahora Rivera Beach y Lake City en Florida exponen los retos a los que se enfrentan los gobernadores, alcaldes y directivos locales para decidir si pagar un rescate a los ciberdelincuentes para recuperar el control de sus datos. Se ha argumentado que ningún funcionario del gobierno debería pagar un rescate (Atlanta), que el gobierno federal es culpable por permitir que se roben herramientas de ciberataque y se publiquen en internet (Baltimore), y que pagar un rescate es la única opción (Riviera Beach). Todas las partes implicadas en este debate han tratado puntos importantes con los partidarios de la industria de la ciberseguridad, pero sus argumentos pasan por alto el tema clave: nuestros gobiernos estatales y locales no cuentan con los recursos adecuados para defender sus redes. Se necesita un enfoque mejor y más inteligente y la respuesta es NO a lo que propuso el consejo editorial del Washington Post la semana pasada: una legislación para prohibir los pagos de ransomware.
No existe un gobierno estatal o local en EE. UU. que esté totalmente financiado para defender sus redes de TI contra los ciberataques. Al igual que muchas empresas del sector privado, los gobiernos estatales y locales hacen concesiones con sus limitados presupuestos de TI entre prioridades que compiten entre sí, sabiendo que no pueden cubrir todos los requisitos cibernéticos. Aunque hay muchas razones detrás de este enfoque, como la falta de personal y formación, las cuestiones clave son la concienciación de la amenaza y la financiación para apoyar la creación de seguridad y resiliencia en los sistemas.
La encuesta más reciente de Deloitte y la National Association of State Chief Information Officers (NASCIO) deja claro que el presupuesto es el principal desafío al que se enfrentan los gobiernos estatales en materia de ciberseguridad; un desafío que no ha cambiado desde que se realizó la primera encuesta en 2010. Desafortunadamente, lo que ha cambiado es un entorno de amenazas cada vez más complejo, donde la capacidad de explotar vulnerabilidades está creciendo y la sofisticación necesaria para llevar a cabo estos ataques está disminuyendo. Como resultado, nuestros gobiernos estatales y locales se quedan aún más rezagados en la carrera por defender sus redes digitales.
Existe una pregunta muy real acerca de cuál debería ser el papel del gobierno federal para ayudar a los gobiernos estatales y locales a mejorar su ciberseguridad. Sabemos cuál sería la respuesta en el mundo físico, pero aún nos quedamos cortos en el mundo digital. Lo que ahora se necesita es que el Congreso reconozca que la protección de la infraestructura digital de nuestra nación es una prioridad de seguridad nacional y económica que está al mismo nivel que la defensa de nuestra infraestructura física. Aunque hemos pasado a depender de Internet para muchos servicios gubernamentales, no hemos brindado a nuestros gobiernos estatales y locales las capacidades para que estos servicios sean resilientes ante ciberataques persistentes.
La Ley Estatal de Resiliencia Cibernética de EE. UU. presentada recientemente por los senadores Mark Warner (D-VA_) y Cory Gardner (R-CO) establecería un programa de subvenciones para los gobiernos estatales y locales que necesitan ayuda para pagar el soporte digital. Es un buen primer paso, pero se requiere más. No basta con destinar dinero al problema; el gobierno federal debe establecer un programa activo de coordinación y remediación que cuente con el apoyo del Departamento de Seguridad Nacional (DHS) y la Agencia de Seguridad Nacional (NSA) para los gobiernos locales y estatales.
La Ley propuesta se debe ampliar para proporcionar un programa con el fin de que el gobierno federal brinde apoyo directo a los gobiernos estatales y locales para remediar aquellas vulnerabilidades que la NSA y el DHS consideren principales, especialmente en los casos en que los gobiernos estatales y locales no pueden hacerlo por sí mismos. El programa también ayudaría a los gobiernos estatales y locales en los primeros pasos más importantes hacia la resiliencia cibernética: mapear las redes que poseen, comprender qué hay en ellas y brindar asistencia para protegerlas mejor. Este enfoque permitiría al gobierno federal ayudar a nuestros gobiernos estatales y locales a solucionar sus baches cibernéticos de manera rápida y efectiva.
Que las vulnerabilidades procedan o no de explotaciones creadas por los estados nación, organizaciones criminales u otros, no es la cuestión; el entorno de las amenazas solo empeorará y nuestros gobiernos estatales y locales seguirán rezagados a menos que el Congreso ayude ahora. Atlanta, Baltimore y Riviera Beach son los ejemplos más recientes de la terrible situación a la que se enfrentan nuestros gobiernos estatales y locales a la hora de abordar las ciberamenazas.
La ciberseguridad es uno de los pocos temas en los que hay apoyo bipartidista. El Congreso debe fortalecer y aprobar una Ley Estatal de Resiliencia Cibernética totalmente financiada como un primer paso necesario para hacer que nuestras redes gubernamentales estatales y locales estén más preparadas y resilientes.
