Los futuros incidentes de ciberseguridad son casi una certeza, afirma el brazo político estadounidense de la sociedad informática global

El Comité de Política Tecnológica de Estados Unidos (USTPC) de la Asociación de Maquinaria Computacional ha publicado un «Declaración sobre los incidentes masivos de ciberseguridad que probablemente se repitanEl 18 de julio de 2024, CrowdStrike, una empresa de tecnología de ciberseguridad con sede en EE. UU., lanzó una actualización de configuración de sensores que provocó una interrupción global que afectó a aproximadamente 8,5 millones de computadoras. Varios sectores de infraestructura crítica, incluidas aerolíneas, sistemas de emergencia 911, bancos, agencias gubernamentales, atención médica y hospitales de todo el mundo, se vieron afectados.

Si bien CrowdStrike ha proporcionado cierta información sobre cómo ocurrió el accidente, ACM USTPC insta a que se investiguen exhaustiva y públicamente todos los detalles para que los operadores del sistema, los tecnólogos y los responsables de las políticas puedan tomar medidas para protegerse contra este tipo de accidentes en el futuro.

«El incidente de CrowdStrike subrayó las debilidades en dos tipos de infraestructuras», explica Jody Westby, director ejecutivo de Global Cyber ​​Risk LLC y autor principal de la nueva Declaración de la USTPC.

«En un nivel, nos dimos cuenta de que la infraestructura técnica global es frágil. A pesar de que se habían implementado las últimas tecnologías para proteger estos sistemas, se produjo una interrupción importante. Al mismo tiempo, también nos dimos cuenta de que nuestra infraestructura legal y de políticas existente es insuficiente para responder a este tipo de ataques. Es necesario realizar una gran cantidad de trabajo para apuntalar estos dos tipos de infraestructuras, y esperamos que esta Declaración de la USTPC llame la atención sobre estas necesidades críticas».

La Declaración de la USTPC también señala que «…la naturaleza global de la interrupción del servicio pone de relieve la necesidad de mejorar la cooperación y la coordinación internacionales. La capacidad de las empresas a nivel mundial para obtener información sobre la interrupción del servicio, las iniciativas gubernamentales y la orientación técnica fue en gran medida deficiente, y cada país y empresa se las arregló solos, en particular si sus sistemas no funcionaban».

«La escala del accidente de CrowdStrike ciertamente no tuvo precedentes, y su alcance sobre infraestructuras críticas fue alarmante en muchos niveles», añadió Carl Landwehr, profesor visitante en la Universidad de Michigan y uno de los principales autores de la Declaración de la ACM.

«Pero para los informáticos familiarizados con la tecnología subyacente, este accidente no es especialmente sorprendente y, por desgracia, es casi seguro que se produzcan incidentes en el futuro. Necesitamos saber más sobre cómo ocurrió esto para mitigar cualquier posible repetición de este desastre. Como organización no partidista de informáticos que asesora a los líderes gubernamentales sobre políticas tecnológicas, hemos esbozado ocho preguntas clave que deberían formar la base de una investigación pública».

Al analizar lo que saben sobre el incidente de CrowdStrike, los expertos de ACM señalaron que, si bien la actualización provocó el bloqueo de miles de sistemas basados ​​en Microsoft Windows, los sistemas basados ​​en Linux, Mac OS y otros sistemas operativos no se vieron afectados.

Las preguntas centrales planteadas en la Declaración de la USTPC incluyen:

• ¿Cómo evitaron algunos sistemas las consecuencias de este error y otros no?
• ¿Por qué se lanzó el software defectuoso sin realizar pruebas exhaustivas?
• ¿Qué lecciones podemos extraer sobre la arquitectura y la implementación de sistemas?
• ¿Cuáles son las mejores prácticas que se deben seguir para las actualizaciones automáticas del sistema?
• ¿Por qué algunos sistemas pudieron reactivarse más rápido que otros?
• ¿Cuáles fueron las formas más eficientes de reiniciar sistemas que requerían intervención manual?
• ¿Qué notificación debe requerirse?

Al sugerir los próximos pasos, los miembros de la USTPC instaron a que la investigación pública del incidente de CrowdStrike debería ser realizada por la Junta de Revisión de Seguridad Cibernética (CSRB) del gobierno de Estados Unidos.

Además de los autores principales Carl Landwehr y Jody Westby, los miembros de la USTPC Andrew Grosso, Jim Hendler, Jeanna Matthews, Stuart Shapiro, Gene Spafford y Alec Yasinsac proporcionaron comentarios durante el desarrollo de la Declaración.

Proporcionado por la Asociación de Maquinaria Informática