Advisory Council Meeting, 16 October, London
El gobierno de EE. UU. Necesita crear nuevas reglamentaciones e incentivos para lograr que las empresas privadas protejan infraestructura cibernética importante, incluida la red eléctrica, las instalaciones de agua y los sistemas financieros, dijo la nueva presidenta de un subcomité de seguridad cibernética de la Cámara de Representantes.
La representante Yvette Clarke, demócrata de Nueva York, también pidió una nueva estrategia nacional de seguridad cibernética durante una audiencia del martes del subcomité de seguridad cibernética del Comité de Seguridad Nacional de la Cámara de Representantes. Una estrategia de 2002 del ex presidente George Bush no tenía sentido para obligar a las empresas privadas a tomar medidas para proteger la ciberseguridad, dijo.
"Desafortunadamente, esa estrategia no llegó a exigir cambios de seguridad", dijo Clarke. "Si bien la administración anterior se basó en un sistema de protección voluntaria en muchos de los 18 sectores de infraestructura críticos, creo que la administración debería utilizar una combinación de regulaciones e incentivos para garantizar que … las infraestructuras clave estén adecuadamente aseguradas."
[Más información: Cómo eliminar el malware de su PC con Windows]Clarke no ofreció detalles sobre qué reglamentaciones deberían crearse, pero sugirió que las políticas actuales han sido en gran parte ineficaces.
"Nos encontramos en una situación extremadamente peligrosa hoy "Demasiadas vulnerabilidades existen en demasiadas redes críticas, que están expuestas a demasiados atacantes expertos que pueden infligir demasiados daños a nuestros sistemas", dijo. "Las dos décadas anteriores han visto innumerables informes de los líderes del pensamiento estadounidense en ciberseguridad, que contienen cientos de recomendaciones sobre cómo mejorar la postura de Estados Unidos en el ciberespacio. Lo que falta es la valentía y el liderazgo para implementar estas recomendaciones".
Un panel Los expertos en ciberseguridad ofrecieron más recomendaciones el martes, pero Clarke encontró apoyo para las regulaciones por parte de Scott Charney, vicepresidente de informática confiable de Microsoft. Es posible que sea necesaria una "legislación adaptada a medida" para que las empresas privadas tomen las medidas necesarias para proteger la ciberseguridad de los EE. UU.
EE. UU. los mercados "no pagarán por el nivel de seguridad que probablemente sea necesario para proteger la seguridad nacional", dijo Charney.
El gobierno puede crear regulaciones basadas en las mejores prácticas de la industria, aunque sin sobre regular, dijo.
Mientras algunos testigos y los legisladores criticaron los esfuerzos de seguridad cibernética del Departamento de Seguridad Nacional, entregar la tarea a la comunidad de inteligencia de EE. UU. tampoco es la respuesta, agregó Amit Yoran, CEO del proveedor de ciberseguridad NetWitness y exdirector de la División Nacional de Seguridad Cibernética del DHS.
"Existe un gran peligro si este esfuerzo está dominado por la comunidad de inteligencia", dijo Yoran. "Hay un conflicto de intereses claro y distintivo entre los objetivos de inteligencia y los de los operadores de sistemas".
Las agencias de inteligencia se concentran en monitorear adversarios, determinar sus métodos y rastrear sus actividades, mientras que los operadores del sistema quieren soluciones rápidas a problemas de ciberseguridad, dijo..
Los comentarios de Yoran se produjeron pocos días después de que Rod Beckstrom, director del Centro Nacional de Ciberseguridad de Estados Unidos, anunciara su renuncia, mientras se quejaba del gran papel de la Agencia de Seguridad Nacional (NSA) en ciberseguridad.
Charney de Microsoft acordó con Yoran, diciendo que si los legisladores quieren que el público confíe en los esfuerzos nacionales de seguridad cibernética, la agencia líder no debería ser la secreta NSA.
Jim Lewis, director del proyecto en el centro de estudios estratégicos e internacionales agradeció al presidente Barack Obama administración para crear una oficina de ciberseguridad en la Casa Blanca. Solo la Casa Blanca tiene el poder de reunir a todas las agencias que trabajan en ciberseguridad, dijo. Esa fue una de las principales recomendaciones en un informe de seguridad cibernética emitido por CSIS el año pasado.
"Concluimos que solo la Casa Blanca tenía la autoridad para traer a muchas agencias grandes y poderosas para seguir una agenda común y coordinarse entre sí", dijo Lewis. "Un enfoque exitoso de seguridad cibernética combina funciones de inteligencia, cumplimiento de la ley, diplomáticas militares y nacionales". Representante Paul Broun, un republicano de Georgia, no estuvo de acuerdo, diciendo que la Casa Blanca de Bush no era lo suficientemente agresiva con respecto a la ciberseguridad y no está seguro Obama también lo será.
Legislación crearía nuevas regulaciones de ciberseguridad
Detalles sobre nueva ley incompleta, pero podría incluir mandato sobre organizaciones privadas
Las empresas necesitan soporte de ciberseguridad, el Congreso les dijo
El gobierno debería proporcionar incentivos, no mandatos para alentar a las empresas a proteger la infraestructura. debería buscar incentivos para que las empresas privadas adopten prácticas de seguridad cibernética más fuertes en lugar de crear nuevos mandatos, dijo un experto en seguridad de la información a un subcomité del Congreso la semana pasada.
Industria tecnológica dividida en regulaciones de seguridad cibernética
La industria tecnológica parece dividida sobre la posibilidad de nuevas regulaciones de ciberseguridad en un proyecto de ley ante el Congreso de Estados Unidos.