El presidente ordenó que un comité investigara un importante ciberataque ruso. Pero nunca se hizo.

6 min read

Esta historia fue publicada originalmente por ProPublica y examina cómo los proveedores de software más grandes del mundo administran la seguridad de sus omnipresentes productos. Esto luego de que la inteligencia rusa lanzara uno de los ataques de ciberespionaje más graves de la historia contra una agencia del gobierno estadounidense. La administración Biden creó un nuevo comité y le encargó descubrir qué sucedió e informar al público. Los piratas informáticos del gobierno se han infiltrado en SolarWinds, una empresa de software estadounidense que presta servicios al gobierno de Estados Unidos. y miles de empresas americanas Los atacantes utilizaron códigos maliciosos y fallas en los productos de Microsoft para robar información de la Administración Nacional de Seguridad Nuclear, los Institutos Nacionales de Salud y el Departamento del Tesoro en lo que el presidente de Microsoft, Brad Smith, llamó «el ataque más grande y sofisticado que el mundo haya visto antes». . Esto nunca sucedió. El comité no investigó a SolarWinds para el segundo informe. Por tercera vez El comité examinó un ataque separado en 2023 en el que los piratas informáticos estatales chinos explotaron múltiples fallas de seguridad de Microsoft para obtener acceso a las bandejas de entrada de correo electrónico de altos funcionarios federales. Una explicación pública completa de lo sucedido en el caso de Solar Winds sería un flaco favor para Microsoft. ProPublica reveló que Microsoft conocía desde hacía mucho tiempo la falla utilizada en el hack. Pero se negó a arreglar La falta de acción de esta empresa de tecnología refleja una cultura corporativa que prioriza las ganancias sobre la seguridad. e hizo que el gobierno de EE.UU. en riesgo El denunciante dijo El comité fue creado para ayudar a abordar serias amenazas a la economía estadounidense. y la seguridad nacional por parte de piratas informáticos cualificados que penetran continuamente en los sistemas gubernamentales y corporativos. Eliminando información sensible de inteligencia. Secretos corporativos o mucha información personal Durante décadas, la comunidad de la ciberseguridad ha pedido un ciberequivalente a la Junta Nacional de Seguridad en el Transporte. Es una agencia independiente obligada por ley a investigar y emitir un informe público sobre las causas y lecciones aprendidas de cada accidente de aviación importante. Entre otros eventos, la NTSB está financiada por el Congreso y cuenta con expertos que trabajan fuera de la industria y otras agencias gubernamentales. Las audiencias públicas y los informes de las empresas han estimulado cambios en la industria y acciones por parte de reguladores como la Administración Federal de Aviación. Hasta ahora, la Junta de Revisión de Ciberseguridad ha trazado un camino diferente. El comité no es independiente: está ubicado en el Departamento de Seguridad Nacional, Rob Silvers, el presidente del comité. es el Secretario Permanente del Ministerio de Seguridad Nacional El vicepresidente es el principal ejecutivo de seguridad de Google. La junta no tiene empleados a tiempo completo. poder de citación o financiación específica, Silvers le dijo a ProPublica que el DHS decidió que el comité no necesitaba realizar su propia revisión de SolarWinds como lo exige la Casa Blanca. Porque tales ataques han sido «Estudio minucioso» del gobierno y el sector privado “Queremos centrar al comité en la revisión, que aún tiene muchas ideas por recoger. Se pueden extraer muchas lecciones de la investigación”, dijo. Como resultado, el gobierno no ha realizado ninguna investigación pública sobre los problemas de seguridad no abordados en Microsoft que fueron explotados por piratas informáticos rusos. No se identificó ningún informe de SolarWinds ni se entrevistó a los denunciantes. reveló problemas dentro de Microsoft Al negarse a investigar SolarWinds, el comité no logró descubrir el importante papel que jugó la débil cultura de seguridad de Microsoft en el ataque y no fomentó cambios que pudieran mitigarlo o prevenirlo. Expertos en ciberseguridad y funcionarios electos de China dijeron a ProPublica. «Es posible que este último ataque se hubiera podido evitar con una supervisión real», dijo el senador Ron Wai, miembro demócrata del Comité Selecto de Inteligencia del Senado. En un comunicado, Wyden pidió al panel que investiga SolarWinds y al gobierno que mejoren sus defensas de ciberseguridad. En un comunicado, un portavoz del DHS rechazó la idea de que la investigación de SolarWinds pudiera revelar el fracaso de Microsoft a tiempo para detener o mitigar el ataque, según Wyden. Estado chino el verano pasado. “Los dos eventos son muy diferentes en ese sentido. Y no creemos que una auditoría de SolarWinds revelaría necesariamente las lagunas identificadas en el informe más reciente del comité”, dijeron. del comité se negó a hacer comentarios. Envió sus consultas al DHS o no respondió a ProPublica. En declaraciones anteriores, Microsoft no ha cuestionado la versión del denunciante. Pero destaca su compromiso con la seguridad. “Proteger a nuestros clientes es siempre nuestra principal prioridad”, dijo anteriormente un portavoz a ProPublica. “Nuestro equipo de respuesta de seguridad se toma muy en serio todos los problemas de seguridad. y proporcionar la debida diligencia en cada caso con una autoevaluación exhaustiva incluida la verificación cruzada con socios de ingeniería y seguridad”. ¿Responsables de su papel al no prevenir los ciberataques? “Sigo profundamente preocupado porque esta es una razón clave por la cual el comité nunca consideró SolarWinds, como el presidente lo ordenó, es porque requeriría un comité para investigar y documentar una negligencia grave por parte del gobierno de Estados Unidos”, dijo Wyden. Su preocupación es el sistema de defensa cibernética del gobierno, que no ha podido detectar ataques de SolarWinds, dijo Silvers. Si bien el comité no está investigando SolarWinds, recibió la aprobación de la Oficina de Responsabilidad Gubernamental independiente. Eso dijo en un estudio de abril que examinaba la implementación de la orden ejecutiva que la junta había cumplido su mandato al realizar la revisión. La determinación de la GAO confunde a los expertos en ciberseguridad. «Rob Silvers ha estado declarando durante mucho tiempo que la CSRB actúa sobre SolarWinds, pero simplemente declarar que algo así sea no lo convierte en cierto», dijo Tarah Wheeler, director ejecutivo de Red Queen Dynamics, una empresa de ciberseguridad. quien fue coautor de un informe de la Escuela Kennedy de Harvard que describe cómo debería funcionar el «sistema cibernético NTSB», Silvers dijo que el primer y segundo informe del comité Aunque SolarWinds no ha sido investigado, ha resultado en importantes cambios gubernamentales, como nuevas reglas de la Comisión Federal de Comunicaciones con respecto a los teléfonos celulares. «El impacto tangible del trabajo del comité hasta la fecha demuestra y refleja claramente la sabiduría al seleccionar lo que el comité ha revisado», dijo.

You May Also Like

More From Author

+ There are no comments

Add yours