La Agencia de Infraestructura y Ciberseguridad quiere reevaluar fundamentalmente cómo prioriza los riesgos y vulnerabilidades, tanto para la infraestructura crítica de propiedad privada como dentro del gobierno federal, dijo el martes el director interino Nick Andersen.

Los planes incluyen una directiva operativa vinculante para las agencias federales que se publicará el miércoles y serán más específicas con los propietarios y operadores de infraestructura crítica sobre qué activos necesitan proteger más y cómo, dijo Andersen mientras hablaba en un evento organizado por Axonius en Washington, DC y luego hablaba con periodistas.

La directiva operativa vinculante busca revisar cómo las agencias federales manejan la vulnerabilidad, dijo. «En general, nuestro enfoque hasta la fecha ha sido 'Se lanza un parche, aplíquelo lo más rápido que pueda'», dijo.

«Realmente estamos pidiendo a la gente que se centre más en el riesgo asociado con cada vulnerabilidad. ¿Se trata de un activo que está expuesto a Internet? ¿Se alinea con una entrada KEV?» dijo, refiriéndose a la lista de vulnerabilidades explotadas conocidas de CISA. «¿Es automatizable su explotación? Realmente, necesitamos ser capaces de resaltar que algunos parches simplemente no son tan importantes como otros, y tapar los agujeros para algunas vulnerabilidades simplemente no es tan importante como otros».

Andersen dijo que el foco de su mandato ha sido establecer las prioridades correctas.

«Tenemos que aceptar decir que hay algunos sistemas que son menos importantes que otros, que hay algunos elementos de infraestructura crítica que son menos importantes que otros», dijo. “Para nosotros es muy fácil racionalizar esas cosas. [for] «Las crisis físicas, pero tenemos que empezar a pensar en cómo vamos a hacerlo durante las crisis cibernéticas».

Andersen dijo que las amenazas mejoradas por la inteligencia artificial han impulsado la directiva en parte, basándose en «el reconocimiento de que somos un entorno dinámico diferente con un cronograma más corto para la utilización de armas y la explotación», pero las discusiones sobre la directiva se han prolongado durante meses, antes de los llamativos anuncios sobre los modelos fronterizos de inteligencia artificial y los riesgos que podrían profundizarse. La directiva del miércoles no tiene relación con la orden ejecutiva centrada en la IA publicada por la administración Trump la semana pasada.

La idea de priorizar ciertos objetivos potenciales de piratería sobre otros no es nueva en la infraestructura crítica, con conceptos como designaciones de “Sección 9” bajo una orden ejecutiva de 2013 para entidades sobre las cuales un ataque podría tener efectos catastróficos; designaciones de “infraestructura crítica de importancia sistémica”, según lo recomendado por la Comisión del Solarium del Ciberespacio; o la creación del Centro Nacional de Gestión de Riesgos establecido durante el primer mandato del presidente Donald Trump pero ahora objeto de recortes presupuestarios propuestos.

Andersen dijo que los conceptos anteriores no han funcionado bien y citó como ejemplo las designaciones de la Sección 9.

“Nos sentábamos aquí y decíamos: 'Felicitaciones, usted está en esta empresa y es una entidad de la Sección 9, ¿no es fantástico?'”, dijo. «Ese no es realmente el nivel de fidelidad al que debemos poder llegar para tener una conversación real y mensurable sobre el riesgo. Necesito poder ir a una empresa y decir: 'Aquí está la función específica que estás apoyando y que te hace más crítico. Tengamos una conversación sobre los activos específicos que respaldan esa función, y ¿cómo llegamos a un nivel mensurable de resiliencia para esos activos?'»

Esas discusiones deben llegar a un “grano fino”, dijo Andersen.

«Si tengo un banco importante con el que estoy hablando, ¿es tan importante para mí que el proceso del banco que respalda el sistema de pagos masivos sea resistente, o es igualmente importante para mí que la sucursal a dos cuadras de distancia siga funcionando?» dijo. «Esas cosas son simplemente manzanas y naranjas, aunque es la misma entidad la que podría verse afectada».

Las capacidades de CISA bajo la administración Trump han sido objeto de un escrutinio considerable, dados los profundos recortes presupuestarios en la agencia, y se planean más. La administración ahora está tomando medidas para contratar personal nuevamente.

Andersen dijo que la agencia está trabajando para contratar a 329 personas y que tendrá ofertas de trabajo para 182 de ellas a finales de junio. Dijo que el énfasis del primer tramo de contrataciones bajo el sprint de contratación son las capacidades operativas, es decir, áreas como comunicaciones de emergencia, seguridad de infraestructura y personal regional.

La agencia también ha visto parte de su trabajo obstaculizado por los cierres gubernamentales, como el retraso en los planes para reuniones públicas sobre la implementación de la Ley de Informe de Incidentes Cibernéticos para Infraestructuras Críticas de 2022, que requerirá que los propietarios y operadores clave informen incidentes importantes dentro de las 72 horas.

Andersen dijo que no podía fijar una fecha para la finalización de las regulaciones relacionadas con la ley, que ya se habían retrasado antes de que se agotara el financiamiento, ya que esas asambleas públicas ahora están programadas para comenzar. la próxima semana.

“Podríamos recibir muchos comentarios y realmente cambiar radicalmente nuestra forma de pensar sobre cuál es la necesidad aquí”, dijo. «Pero nuestro enfoque se centra simplemente en cuál es la intención original del Congreso detrás de CIRCIA. cuál es la mayor necesidad que podremos satisfacer y cómo podremos promover la misión que tenemos para la nación».