La Casa Blanca emitió una directiva de política El martes, eso requerirá que la comunidad de inteligencia de EE. UU. comparta más información sobre amenazas a la seguridad cibernética con bancos y otras empresas y cree una lista actualizada periódicamente de entidades sistémicamente importantes que son particularmente importantes por razones de estabilidad nacional para protegerse de los ataques cibernéticos.
Entre los otros impactos de el memorando de seguridad nacionalLa directiva reafirma que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) es el líder nacional sobre los esfuerzos para asegurar la infraestructura crítica del país, que incluye el sector de servicios financieros, y otorga al Departamento del Tesoro de EE.UU. influencia sobre qué bancos reciben la nueva designación de “sistémicamente importantes”.
La nueva designación es diferente de similares emitidos por otros organismos reguladores (por ejemplo, el “Consejo de Estabilidad Financiera”)instituciones financieras sistémicamente importantes” designación. Los grupos comerciales del sector bancario expresaron su apoyo a cómo se implementará la designación.
“Estos cambios alinearán mejor las designaciones de riesgos para evitar la duplicación y garantizar que se adapten a los riesgos que enfrentan las instituciones financieras hoy en día”, dijo Paul Benda, vicepresidente ejecutivo de riesgo, fraude y ciberseguridad de la Asociación Estadounidense de Banqueros.
La lista de entidades de importancia sistémica ha estado en desarrollo desde marzo de 2023, cuando CISA estableció una oficina para empezar a crearlo. La directiva de política emitida el martes establece un mandato claro para crear y mantener la lista, que la orden también establece que no estará disponible al público.
En general, Benda dijo que la asociación “da la bienvenida al Memorando de Seguridad Nacional de la administración, que incorpora comentarios de la industria de servicios financieros”, y dijo que “se basa en la exitosa colaboración del sector público-privado para la ciberseguridad y la infraestructura crítica”.
El Bank Policy Institute (BPI), un grupo de defensa de políticas que representa a grandes instituciones financieras, también “apoya firmemente” la directiva de políticas y elogió a la administración del presidente Joe Biden “por su compromiso continuo con sólidas asociaciones público-privadas”, según Heather Hogsett. , a vicepresidente senior del instituto.
La directiva de política “también apoyará al sector financiero al mejorar la colaboración con las agencias de seguridad nacional para garantizar que la comunidad de inteligencia recopile, analice y difunda información oportuna sobre las amenazas a la infraestructura crítica para apoyar la mitigación del riesgo sistémico a nivel nacional”, dijo Hogsett.
La comunidad de inteligencia estadounidense, que incluye al FBI, la CIA, la Agencia de Seguridad Nacional y otras agencias, ha proporcionado durante mucho tiempo información sobre amenazas a la seguridad cibernética a empresas y grupos comerciales en todo Estados Unidos. Pero la directiva del martes ordena específicamente al Director de Inteligencia Nacional priorizar la emisión de informes de inteligencia. y análisis de amenazas a infraestructuras críticas “al nivel de clasificación más bajo posible, consistente con la protección de fuentes y métodos, como mediante el uso robusto de líneas de corte”, que son extractos de informes de inteligencia.
Usar el “nivel de clasificación más bajo posible” significará que más bancos podrán tener acceso a información clasificada si tienen una autorización de seguridad obtenida a través del programa de autorización de seguridad del sector privado del Departamento de Seguridad Nacional. Normalmente, sólo los empleados y contratistas del gobierno pueden obtener autorizaciones de seguridad, pero según el programa, los propietarios y operadores de infraestructuras críticas pueden solicitar autorizaciones de seguridad de nivel “secreto”.
Los propietarios y operadores de bancos podrían obtener una variedad de información a partir de estos esfuerzos de intercambio de inteligencia. En las alertas y avisos sobre vulnerabilidades de software y ataques de ransomware, las agencias gubernamentales suelen incluir direcciones IP, vectores de ataque, huellas digitales de archivos y otros llamados indicadores de compromiso para ayudar a las empresas a detectar y protegerse de las amenazas cibernéticas. También pueden resaltar las estrategias que utilizan los actores de amenazas para engañar a las víctimas para que compartan contraseñas u otra información.
La directiva, que sustituye una directiva política similar de 2013, también ayudará a aclarar las funciones y responsabilidades de las agencias federales, incluidas CISA, el Tesoro y los reguladores prudenciales, según un portavoz de BPI. En particular, reafirma que el Tesoro seguirá siendo el principal punto de contacto en materia de ciberseguridad para los bancos y que el Departamento de Seguridad Nacional (la agencia matriz de CISA) liderará el esfuerzo de todo el gobierno para proteger la infraestructura crítica de Estados Unidos.
Aclarar estas funciones, garantizar que la comunidad de inteligencia comparta adecuadamente la inteligencia sobre ciberseguridad con los bancos y otras empresas, y alinear las definiciones regulatorias sobre qué empresas son “sistémicamente importantes”: todo ello está al servicio de luchar contra los actores estatales que atacan la infraestructura crítica estadounidense y tolerar o permitir actividades maliciosas realizadas por actores no estatales, según Caitlin Durkovich, asistente adjunta del presidente y asesora adjunta de seguridad nacional para resiliencia y respuesta.
“La política es particularmente relevante hoy, dados los continuos ataques disruptivos de ransomware, los ciberataques a los sistemas de agua de EE. UU. por parte de nuestros adversarios y el testimonio frecuente y repetido del director del FBI y otros altos funcionarios de la administración que han hecho sonar la alarma sobre la forma en que nuestra infraestructura crítica está siendo el objetivo de nuestros adversarios”, Durkovich dijo a los periodistas Martes.
“La resiliencia, en particular de nuestros activos y sistemas más sensibles, es la piedra angular de la defensa y la seguridad nacionales”, añadió Durkovich.
