Antes de ser subsumida en comentario político, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) fue un logro de Trump, creada en 2018 durante su primera administración. Pero eso fue antes de que las acusaciones de política sucia y travesuras en materia de libertad de expresión convirtieran a CISA en un paria conservador.
Hoy, CISA enfrenta un choque político existencial con la nueva administración Trump, que amenaza con llevarse consigo gran parte de la participación del gobierno federal de Estados Unidos en ciberseguridad. El resultado podría aumentar potencialmente los riesgos cibernéticos, pero también abrir oportunidades de negocio, inversión e innovación. Muchas cosas pueden ser verdad a la vez.
El mandato original de CISA no podría haber parecido más apolítico: coordinar la defensa de la infraestructura estadounidense contra los ciberataques y luego ayudar a compartir información crítica entre empresas estadounidenses para mejorar la posición general del país en el acuerdo. Pero luego vinieron las elecciones de 2020, los esfuerzos de CISA para combatir lo que la agencia consideró “desinformación” y la reacción conservadora que siguió.
Trump y la política de CISA
Chis Krebs, entonces director de la agencia, fue despedido públicamente apenas unas semanas después de las elecciones de 2020 por rechazar las acusaciones de fraude de la administración Trump, y ha seguido siendo un destacado actor político desde entonces. Krebs es un habitual del circuito de noticias por cable y en julio de 2023 confirmó a CNN que estaba entrevistado por el fiscal especial Jack Smith En la investigación sobre Trump y las elecciones de 2020 a medida que se acercan las elecciones de 2024, Krebs ha aparecido en medios de comunicación como. Enfréntate a la nación de nuevo Rechazar las afirmaciones de la campaña de Trump. de fraude electoral.
Su reemplazante, Jen Easterly, adoptó un enfoque más discreto. Su accesibilidad, sus profundos vínculos militares y su experiencia en ciberseguridad, salpicados con un toque de encanto ambicioso y de chica cool, la han convertido en un éxito entre las bases del ciberespacio. También se mantuvo en gran medida al margen de la política y dirigió la joven agencia durante cuatro años cruciales. Pero ese esfuerzo, por muy disciplinado y bien intencionado que fuera, hizo poco para salvar a Easterly o CISA de la ira conservadora generalizada. En enero de 2024, Easterly estaba incluso Atacado en su casa en un aplastante incidente.
“Creo que Jen Easterly ha tenido un gran desafío para solidificar el papel de una agencia muy joven y sumida en acusaciones de políticos republicanos”, dijo el experto en ciberseguridad Jake Williams a Dark Reading. “Teniendo en cuenta estos desafíos tan reales, ella ha hecho un trabajo sobresaliente. Sólo puedo imaginar lo que podría haber sucedido con el apoyo bipartidista para las numerosas misiones de CISA”.
Tras las elecciones de 2024, Easterly dijo que dimitiría el día de la toma de posesión. Pero la agencia sigue trabajando, publicando un borrador. Plan Nacional de Respuesta a Incidentes Cibernéticos actualizado para que las agencias federales y la industria trabajen juntas durante los principales eventos cibernéticos, que está abierto a comentarios hasta enero de 2025.
Este tipo de coordinación entre CISA y el sector privado fue exactamente para lo que se creó la agencia bajo la administración Biden. Ha desempeñado un papel proactivo en el desarrollo de estándares de ciberseguridad y propuso subvenciones de ciberseguridad a los estados invertir en sus propias operaciones cibernéticas, realizadas en gran medida gracias a los esfuerzos de Easterly. Durante su administración, el presidente Biden asignó Miles de millones para fortalecer la infraestructura de ciberseguridad de EE. UU.y firmó una serie de decretos sobre todo, desde AI tiene confianza cero con el objetivo de elevar el nivel de preparación cibernética del país.
Algunos de los logros notables de la agencia en los últimos cuatro años incluyen la creación de la Asociación Conjunta de Defensa Cibernética (JCDC) y el programa de Vulnerabilidades Explotadas Conocidas (KEV), según Casey Ellis, fundador de Bugcrowd. Ellis también trabajó con CISA en el proyecto federal. Programa de divulgación de vulnerabilidades de la CEBdonde CISA sirve como depósito para los investigadores que descubren vulnerabilidades en los sistemas gubernamentales para que puedan informarse y mitigarse más rápidamente.
También ha habido retrocesos. Si bien a la lista KEV se le ha atribuido acelerar la remediaciónpuede tomar meses hacer la lista. Gran parte de esta nueva infraestructura y regulación cibernética también ha ido acompañada de cuestiones regulatorias y de cumplimiento que algunos han criticado como un problema. barrera a la innovaciónespecialmente por el Congreso. Otros defendieron las medidas de la agencia como necesarias para estimular las inversiones en seguridad.
“Bajo el liderazgo de Jen Easterly, las iniciativas proactivas de CISA, como Secure by Design y la notificación más rápida de ataques por parte de empresas, han sido positivas tanto para los vendedores como para los compradores en la industria de la ciberseguridad”, dijo Jason Soroko, investigador principal de Sectigo. “Lo que podría verse como una carga regulatoria fue en realidad un llamado positivo a las armas para hacer lo correcto”.
Dejando a un lado los logros y elogios, Easterly y CISA no han logrado convencer a los principales conservadores como el senador Rand Paul, quien presidirá el Comité Senatorial de Seguridad Nacional y Asuntos Gubernamentales, que supervisa a CISA, de que la agencia hace bien. Después de reconocer que probablemente no lograría eliminar completamente a CISA, Paul prometió el mes pasado imponer límites estrictos por las acciones que, según dijo, tomó la agencia para atacar las voces conservadoras como parte de su trabajo para combatir operaciones de influencia extranjera. Como mínimo, es probable que CISA sea despojada de su mandato de investigar la desinformación.
Williams también espera que la agencia desempeñe un papel menor en el monitoreo de la seguridad electoral, el mismo tema que catapultó a la agencia cibernética a los titulares nacionales en 2020.
Oportunidades de ciberseguridad bajo Trump 2.0
La huella cada vez menor de CISA y el disgusto expresado por la administración Trump por la regulación y el interés en abrir las operaciones gubernamentales a más asociaciones público-privadas significan que habrá oportunidades potenciales en los próximos meses para el sector privado que no existían antes.
“Espero que veamos una serie de conversaciones más directas sobre ciberataques y disuasión, particularmente en lo que se refiere a contrarrestar a Rusia, Irán y particularmente China”, predice Ellis. “Esto podría incluir cambios en la estructura de [the National Security Agency] y Cyber Command, y la inclusión del sector privado en las operaciones de defensa y disrupción.
Más allá de nuevas oportunidades para colaborar con el gobierno, Ellis añade que la desregulación de la ciberseguridad está en camino.
“En general, creo que podemos esperar un enfoque más abierto y desregulado del ciberespacio a nivel nacional, que refleje el enfoque político general de la administración Trump y un reconocimiento más abierto de que la Segunda Guerra Fría ya está en curso”.
Es probable que la nueva administración también indique un cambio en la aplicación federal de las leyes. Regulaciones de la Comisión de Bolsa y Valores (SEC) contra los directores de seguridad de la información (CISO)como dicen los funcionarios de seguridad Vientos solares y Uber con experiencia, según el experto John Bambenek.
“La aplicación de regulaciones a las empresas disminuirá, por ejemplo, [and] “Es poco probable que los CISO vean los intentos del gobierno de responsabilizarlos por las infracciones”, dice Bambenek. “Tampoco estoy seguro de si se lanzarán más acciones antimonopolio contra las grandes empresas tecnológicas, lo que impulsará una mayor consolidación de las empresas tecnológicas y de seguridad”.
Existe un cauteloso optimismo de que este enfoque más no intervencionista por parte de la administración Trump incluirá el mantenimiento de un papel central del gobierno federal en la ciberseguridad. Esto es especialmente necesario en términos de recursos, según Roselle Safran, directora del centro de operaciones de seguridad de la Oficina Blanca del presidente durante la presidencia de Barack Obama y actualmente presidenta de la empresa de ciberseguridad KeyCaliber.
“Aunque ciertamente hay muchas otras cuestiones que parecen ser prioridades principales para la próxima administración, espero que la ciberseguridad no pase a un segundo plano”, afirma Safran. “Es importante que se reconozca que la ciberseguridad requiere recursos significativos y sostenidos”.
Trump asume el cargo en medio de una cantidad sin precedentes de ciberataques, el aumento de la inteligencia artificial y conflictos cibermilitares en todo el mundo. Mantener la política fuera de las discusiones es la mejor manera para que CISA continúe su trabajo más allá de las próximas elecciones, aconsejan los expertos. Sin embargo, esto podría ser un desafío imposible.
“Me preocupan algunos sentimientos negativos en torno a CISA que están afectando el progreso realizado desde 2018”, añade Ellis. “Sin embargo, soy cautelosamente optimista en cuanto a que las prioridades que Trump tenía en mente cuando creó la agencia permitirán que continúe su misión defensiva general”.