La Casa Blanca impuso límites a las sanciones cibernéticas, eliminó el programa de identificación digital y reorientó las actividades cibernéticas del gobierno para habilitar la inteligencia artificial, implementar la criptografía poscuántica y promover el diseño de software seguro.

Una orden ejecutiva de ciberseguridad emitida por la Casa Blanca de Trump el 6 de junio ataca un par de veces a sus predecesores presidenciales, Barack Obama y Joe Biden. Pero más allá de la política mezquina, los expertos en ciberseguridad coinciden ampliamente en que el nuevo enfoque tiene mucho que aportar a Estados Unidos para adaptarse a un nuevo panorama plagado de amenazas derivadas de la inteligencia artificial, la computación poscuántica y una cadena de suministro de software deficiente.

La administración Trump ha acusado durante mucho tiempo a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de exceder considerablemente su mandato . En consonancia con esta perspectiva, la CISA ha sido sistemáticamente despojada de personal y recursos en los meses transcurridos desde la investidura de Trump. Esta nueva orden ejecutiva va un paso más allá al establecer normas que prohíben al gobierno emitir sanciones cibernéticas contra adversarios nacionales, lo que, según la orden ejecutiva, se debe a la preocupación de que dicha facultad pueda utilizarse contra adversarios políticos.

El programa de identificación digital de la era Biden está muerto

La última orden ejecutiva sobre ciberseguridad también acaba con un mandato de la era Biden para crear un programa de identificación digital emitido por el gobierno, que según la administración Trump podría ser utilizado indebidamente por inmigrantes indocumentados con fines fraudulentos.

"Apenas unos días antes de que el presidente Trump asumiera el cargo, la administración Biden intentó introducir de forma discreta cuestiones problemáticas y distractoras en la política de ciberseguridad", según la Orden Ejecutiva. Además de las tarjetas de identificación digitales, la orden de Trump afirmaba que buscaba eliminar "la imposición de procesos de contabilidad de software no probados y engorrosos que priorizaban las listas de verificación de cumplimiento sobre las inversiones genuinas en seguridad", así como "la microgestión de las decisiones técnicas de ciberseguridad, que se gestionan mejor a nivel departamental y de agencia, donde las compensaciones presupuestarias y las soluciones innovadoras pueden evaluarse e implementarse con mayor eficacia".

El programa de identificación digital creado bajo la administración de Biden tenía como objetivo frenar el fraude de identidad digital, lo que, según Jordan Burris, jefe del sector público de Socure, fortalecería la seguridad nacional.

"Cada día, estados-nación, redes criminales y estafadores lanzan ataques coordinados a una velocidad implacable, saqueando programas gubernamentales y victimizando a estadounidenses cuya identidad es robada", afirma Burris. "La administración Trump tiene una oportunidad significativa para fomentar la adopción de una verificación de identidad digital precisa y moderna que asegure nuestro liderazgo digital y aborde el fraude de identidad digital desde su raíz".

La Orden Ejecutiva también centra los esfuerzos federales en fortalecer la cadena de suministro de software, así como en impulsar la ciberseguridad del Internet de las Cosas (IdC) mediante un programa para certificar dispositivos seguros con una Marca de Confianza Cibernética emitida por el gobierno estadounidense. La Orden Ejecutiva también reconoce la urgencia de la remediación de la criptografía poscuántica y el uso de la IA segura para promover la innovación.

¿Está en el horizonte la armonización de la regulación cibernética?

Michelle Sahar, experta en políticas de ciberseguridad e inteligencia artificial, afirma que la nueva Orden Ejecutiva es "un paso adelante realmente positivo".

Señala que la revisión prevista del Marco de Desarrollo de Software Seguro (SSDF) del Instituto Nacional de Estándares y Tecnología (NIST) aportará claridad crucial sobre cómo las empresas pueden desarrollar software seguro por diseño desde el principio. Sahar también destaca el nuevo programa piloto de Reglas como Código como un paso crucial hacia la armonización regulatoria gubernamental. El objetivo es simplificar el cumplimiento normativo mediante la provisión de directrices y políticas en formato de código legible por computadora. La nueva Orden Ejecutiva de Trump ordena a la Oficina de Administración y Presupuesto (OMB), al NIST y a la CISA establecer un programa piloto para implementar la regulación de Reglas como Código.

"Nos aleja de los procesos de cumplimiento lentos y manuales hacia algo dinámico, automatizado y mejor alineado con el ritmo de las amenazas actuales, especialmente las introducidas por la IA y las tecnologías cuánticas", añade. "Lo que diferencia a esta iniciativa de iniciativas anteriores es que se basa en el impulso de la administración anterior para promover la armonización y optimizar las regulaciones de ciberseguridad, y lo acelera, pero va un paso más allá al integrar estas políticas directamente en los sistemas que utilizamos, haciéndolas viables, medibles y escalables por diseño".

Una orden ejecutiva de 2021 habría exigido a los desarrolladores de software que demostraran que utilizaban prácticas de diseño de software seguras. Sin embargo, la nueva orden ejecutiva de Trump flexibiliza este requisito y, en su lugar, se basa en el cumplimiento voluntario de las directrices desarrolladas por el Centro Nacional de Excelencia en Ciberseguridad.

El desafío para que el programa funcione será lograr que las empresas de software privadas compartan sus secretos, según Tony Monell, vicepresidente del sector público de Black Kite.

"Nadie te va a mostrar su código", dice Monell. "Esta administración reconoce que será difícil obtener información confidencial de las empresas de software, y puede que no sea práctico".  

La EO también señala que el gobierno está listo para pasar a la fase de implementación de la remediación de la criptografía post-cuántica, según el Dr. Matthew McFadden, vicepresidente de ciberseguridad y tecnólogo distinguido de General Dynamics Information Technology.

"La orden impulsa la adopción de TLS 1.3 (estándares poscuánticos), estableciendo un plazo claro para asegurar las comunicaciones federales en un mundo poscuántico", afirma el Dr. McFadden. "También ordena al DHS y a la CISA publicar y actualizar periódicamente una lista de categorías de productos donde las soluciones compatibles con PQC están ampliamente disponibles, lo que indica un cambio de la planificación a la implementación".

Es importante señalar que, si bien muchas de las políticas de la EO podrían ser beneficiosas para la postura general de ciberseguridad del país, estas iniciativas requerirán financiación para producir resultados, según Monell.

"La Orden Ejecutiva de Biden contenía aspectos positivos; esto lo redobla y triplica ahora mismo", añade. "El reto es que despidieron a mucha gente. Las agencias ya tenían dificultades para encontrar personal cualificado para esto y, con la pérdida de talento, seguiremos teniendo problemas. ¿Cómo se encuentra personal para la gestión de riesgos cibernéticos en la cadena de suministro, que ya cuenta con una financiación muy insuficiente?"

Fuente: https://www.darkreading.com/cybersecurity-operations/trump-cybersecurity-order-reverses-biden-obama-priorities