El objetivo de la Casa Blanca de reforzar la resiliencia cibernética de la infraestructura crítica se ve amenazado por la falta de supervisión de las protecciones contra ransomware por parte de las agencias federales de EE. UU., según un nuevo informe de la Oficina de Responsabilidad Gubernamental (GAO). La GAO señaló que algunas agencias solo evalúan la adopción de protecciones básicas de ciberseguridad y orientación general en sectores críticos como la energía y la atención médica, en lugar de pautas federales para abordar específicamente el ransomware. El informe analizó estrategias de mitigación de ransomware en cuatro sectores de infraestructura crítica: manufactura crítica, energía, atención médica y salud pública, y transporte. Según la GAO, la mayoría de las agencias federales que lideran y gestionan el riesgo de cuatro sectores críticos han evaluado o planean evaluar los riesgos asociados con el ransomware. Sin embargo, las agencias no han evaluado completamente el uso de prácticas líderes en ciberseguridad o si el apoyo federal ha mitigado los riesgos de manera efectiva en los sectores. Los hallazgos se producen en medio de crecientes ataques de ransomware en el último año y de importantes empresas de energía y agua afectadas a principios de 2024. Reforzar la ciberresiliencia de industrias críticas es un objetivo clave de la Estrategia Nacional de Ciberseguridad de la Casa Blanca, que se dio a conocer en 2023. Falta de evaluación de las medidas de protección contra ransomware El NIST desarrolló un marco de ciberseguridad para gestionar el riesgo de ransomware en febrero de 2022. El marco tiene como objetivo ayudar a las organizaciones a identificar y priorizar oportunidades para mejorar su seguridad y resiliencia contra los ataques de ransomware. Sin embargo, ninguna de las Agencias de Gestión de Riesgos Sectoriales (SRMA) evaluadas por la GAO ha determinado el grado de adopción del perfil de ransomware NIST según lo recomendado por el Plan Nacional de Protección de Infraestructura (NIPP), encontró la GAO. “Hasta que las SRMA comprendan la adopción por parte de los sectores del Instituto Nacional de Estándares y Tecnología (NIST) u otras prácticas similares destinadas a mejorar la seguridad y la resiliencia contra los ataques de ransomware, el objetivo de la Casa Blanca de reforzar la resiliencia de la infraestructura crítica para resistir las amenazas de ransomware será más difícil. lograr”, escribió la GAO. Las agencias de gestión y riesgos identificaron otros siete conjuntos de prácticas de las agencias federales y la industria de la ciberseguridad que se utilizaron para abordar el ransomware. Sin embargo, el informe señaló que estas prácticas se centran en protecciones fundamentales de ciberseguridad para gestionar una variedad de amenazas cibernéticas más allá del ransomware. «Seis de los siete conjuntos de prácticas no se alineaban completamente con las principales prácticas federales que el NIST estableció para abordar el ransomware», escribió la GAO. Muchas de las agencias y funcionarios de los sectores críticos de manufactura, energía y transporte dijeron que no estaban familiarizados con el perfil de ransomware del NIST o no lo identificaron como uno de los conjuntos de prácticas adoptadas dentro del sector. Mejorar la supervisión de la protección contra ransomware en infraestructura crítica La GAO hizo un total de 11 recomendaciones para las cuatro SRMA para mejorar la supervisión del gobierno federal de la adopción de protecciones específicas contra ransomware en los sectores de infraestructura crítica relevantes. Estos se centraron en que los Secretarios de Estado desarrollaran e implementaran procedimientos de evaluación de rutina. Estos tienen como objetivo medir la eficacia del apoyo federal para reducir el riesgo de ransomware en los sectores y determinar en qué medida están adoptando prácticas líderes en ciberseguridad en esta área. El Departamento de Seguridad Nacional (DHS) y el Departamento de Salud y Servicios Humanos (HHS) estuvieron de acuerdo con sus recomendaciones. El Departamento de Energía (DOE) estuvo parcialmente de acuerdo con una recomendación y en desacuerdo con otra. El Departamento de Transporte (DOT) estuvo de acuerdo con una recomendación, estuvo parcialmente de acuerdo con una y no estuvo de acuerdo con una tercera. Mark B. Cooper, presidente y fundador de PKI Solutions, comentó que el informe reveló una brecha preocupante en la comprensión e implementación de protecciones para sistemas centrales como la identidad y el cifrado en infraestructura crítica. “Esta situación también resalta la necesidad de un enfoque más coordinado entre agencias y el requisito de un nivel más profundo de evaluación de los sistemas de identidad y cifrado. Esto es crucial para fortalecer la resiliencia operativa de la infraestructura crítica frente al panorama de amenazas a la ciberseguridad en constante cambio”, dijo Cooper.
Source link
Deja una respuesta