El gobierno federal toma medidas para apuntalar la seguridad nacional crítica

Por Danny Bradbury • 23 July 2024

El ataque al Colonial Pipeline en 2021 fue un punto de inflexión para la infraestructura crítica en los EE. UU. Cuando un ataque de ransomware a la red administrativa de un operador de oleoductos provocó un aumento vertiginoso de los precios de la gasolina en toda la costa este; Será mejor que creas que los responsables políticos estaban observando. Había comenzado la carrera para proteger la infraestructura nacional crítica (CNI), la columna vertebral de los servicios de los sectores público y privado que mantienen al país en funcionamiento.

El gobierno tomó medidas para reforzar la protección a nivel federal, lo que llevó a una estrategia que incluía actualizaciones regulatorias, activación total de autoridades no utilizadas y mecanismos voluntarios para ayudar a fortalecer la CNI contra ataques. Por ejemplo, el Departamento de Seguridad Nacional (DHS) directivas publicadas para reforzar la seguridad del oleoducto. La Ley de Empleo e Inversión en Infraestructura de noviembre de 2021 obtuvo una financiación sustancial para proyectos de CNI a nivel local. El Ley de notificación de incidentes cibernéticos para infraestructuras críticas de 2022 (CIRCIA)notificación obligatoria de incidentes de CNI.

En abril de 2024, casi tres años después del ataque colonial, el presidente Biden continuó esfuerzos como estos con la Memorando de Seguridad Nacional (NSM-22) sobre Seguridad y Resiliencia de Infraestructuras Críticas, que establece los planes de la administración para proteger CNI con más detalle. Este documento reemplaza a su predecesor, la Directiva de Política Presidencial de la era Obama sobre Seguridad y Resiliencia de Infraestructuras Críticas (PD-21). Sin embargo, todavía conserva muchos de los conceptos del PPD-21, incluida la designación de 16 sectores críticos de infraestructura nacional que van desde productos químicos hasta represas y servicios financieros.

NSM-22 exige requisitos mínimos de seguridad y resiliencia en todos los sectores de infraestructura crítica. Pone al Departamento de Seguridad Nacional (DHS) directamente al frente para liderar el esfuerzo del gobierno para proteger al CNI, nombrando a su Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) Coordinadora Nacional de Seguridad y Resiliencia. Como parte de esta estrategia, el Secretario de Seguridad Nacional debe presentar al Presidente un Plan Nacional de Gestión de Riesgos bienal.

La guía de junio representa el plan del DHS para este primer ciclo bienal. El Secretario de Seguridad Nacional, Alejandro N. Mayorkas, describió la orientación estratégica y las prioridades nacionales para los próximos dos años para los esfuerzos de resiliencia y seguridad de infraestructura crítica.

La nueva guía se centra en cinco áreas clave, de las cuales solo algunas se mencionaron tangencialmente en la NSM-22:

Abordar las amenazas cibernéticas y de otro tipo planteadas por la República Popular China

Gestionar los riesgos y oportunidades que presentan la inteligencia artificial y otras tecnologías emergentes.

Identificar y mitigar las vulnerabilidades de la cadena de suministro

Incorporar los riesgos climáticos en los esfuerzos de resiliencia del sector

Abordar la creciente dependencia de la infraestructura crítica de los sistemas y activos espaciales

Estas áreas se alinean con las crecientes preocupaciones sobre las amenazas al CNI en el gobierno federal. Por ejemplo, en enero, el director del FBI, Christopher Wray testificado a El Comité Selecto de la Cámara de Representantes sobre el Partido Comunista Chino dijo que China se estaba posicionando para "causar estragos" en el CNI estadounidense.

La guía del DHS adopta un enfoque colaborativo. El DHS está reclutando a las agencias responsables de estos sectores para ayudar a tomar medidas de protección en estas áreas. También involucrará a agencias federales, propietarios y operadores de infraestructura crítica y otras partes interesadas del gobierno y del sector privado.

Esas medidas de protección no profundizan en amenazas específicas de tecnologías como la IA. Más bien, reflejan los descritos en NSM-22 con miras a activar a las partes interesadas. El primero es generar resiliencia mediante la creación de una infraestructura que pueda recuperarse rápidamente de los ataques. Esto reconoce que simplemente reforzar la infraestructura para detener los ataques no es suficiente; Los operadores deben asumir que algunos ataques tendrán éxito.

Las medidas de resiliencia te incluyenComprender las dependencias del sistema y anticipar posibles efectos en cascada de los ataques.. La guía también exige un análisis intersectorial de las debilidades sistémicas, señalando que existen recursos clave de los que dependen muchos sectores. La energía es un excelente ejemplo, ya que satisface las necesidades de todos los demás sectores. NSM-22 ya había ordenado a CISA que creara una lista de entidades sistémicamente importantes: fichas de dominó que, si se derriban, también podrían derribar a otras.

La agencia de cada sector debe establecer requisitos básicos obligatorios de resiliencia, idealmente utilizando directrices y estándares gubernamentales existentes. Esto es algo que el Centro de Política y Derecho de Ciberseguridad ha destacado: "reconoce que los enfoques voluntarios de seguridad y resiliencia no han tenido suficiente éxito, y que son necesarios requisitos mínimos obligatorios", dice Ari Schwartz, coordinador del CCPL.

Un desafío clave aquí será hacer cumplir estos requisitos en todo el sector público. La guía sugiere que las agencias utilicen una combinación de poderes para otorgar subvenciones y adquisiciones para que estas medidas de referencia se mantengan. Esto también significará trabajar con proveedores de servicios (la guía menciona específicamente a los proveedores de nube) para garantizar que sus servicios sean seguros desde el diseño.

Las respuestas de al menos algunos sectores a las recientes medidas de protección del ICN han sido cautelosamente optimistas. Por ejemplo, cuando la Casa Blanca publicó la NSM-22, la Asociación de Administradores Estatales de Agua Potable (ASDWA)respondió: “Si bien no está claro cómo el nuevo NSM afectará directamente los esfuerzos en curso para aumentar la resiliencia en todo el sector de agua y aguas residuales, ASDWA continúa colaborando con la EPA y los socios del sector para apoyar las actividades estatales y federales para abordar todos los peligros, incluidos los esfuerzos más recientes. crear un Grupo de Trabajo de Ciberseguridad para el Agua para abordar las crecientes amenazas cibernéticas que desafían al sector”.

La guía del DHS no agregó gran cosa al memorando existente, aparte de aclarar áreas focales específicas que han sido muy discutidas en varias órdenes ejecutivas y estrategias de ciberseguridad. Sin embargo, no es el único documento que CISA ha publicado sobre resiliencia de infraestructura. En marzo de 2024, publicó un Marco de planificación de la resiliencia de la infraestructura (IRPF) para ayudar a las partes interesadas a planificar una infraestructura más sólida y más resistente a los ataques. Recientemente lanzó un libro de jugadas para acompañan este marco. Se están realizando trabajos como este para mejorar la resiliencia operativa y culminarán en un Plan Nacional para la Protección de la Infraestructura en 2025. Esto reemplazará un plan de 2013 para reflejar los objetivos de resiliencia del CNI actualizados del gobierno. Es bueno saber que CISA tiene el ojo puesto en el premio.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury