La Estrategia Nacional de Seguridad Cibernética (NCSS) del Reino Unido de 2022 es un recordatorio de que «ciber» no existe en el vacío. El documento de política, que establece los resultados deseados para 2025 y que está respaldado por £ 2.6 mil millones, es una estrategia industrial, una estrategia de habilidades, una estrategia de seguridad nacional y una declaración de intenciones cada vez más activas e intervencionistas por parte del Gobierno de Su Majestad (HMG). Lea detenidamente, merece serlo, es en muchos sentidos un documento notable.
La estrategia incluye planes para una «revisión rápida y radical de la seguridad cibernética del gobierno», incluido un endurecimiento significativo de las propias funciones críticas del gobierno; un «enfoque más ambicioso y proactivo» para mantener una participación en la tecnología crítica (incluso mediante el apoyo a la base industrial nacional); y planes alcistas para «actuar cada vez más en nombre de todos los usuarios de Internet en el Reino Unido», tanto a nivel nacional como internacional.
El documento de 30,000 palabras, publicado el 15 de diciembre de 2021, promete lograr 53 resultados bajo cinco pilares para 2025.
Aquí están las 10 principales conclusiones de la Estrategia Nacional de Seguridad Cibernética 2022 del Reino Unido.
1. El gobierno se pone duro, interna y externamente
La ciberseguridad del sector público está lista para una revisión.
La nueva estrategia nacional de ciberseguridad del Reino Unido promete una «revisión rápida y radical de la seguridad cibernética del gobierno, estableciendo estándares claros para los departamentos y abordando la infraestructura de TI heredada.
Eso incluirá más caminatas de la charla interna, con HMG prometiendo «adoptar el Marco de Evaluación Cibernética (CAF) del NCSC como el marco de garantía para todos los departamentos gubernamentales» y que «y los sistemas críticos y los proveedores comunes serán mapeados. Mientras tanto, las funciones críticas del gobierno «se endurecerán significativamente a los ataques cibernéticos para 2025».
Mirando hacia afuera, el informe detalla los planes para ser mucho más proactivos «aguas arriba», incluido el uso «más rutinario de las capacidades de la Fuerza Cibernética Nacional (NCF) para interrumpir las amenazas de actores estatales y no estatales». (El NCF se reveló por primera vez en 2020 y se le dio una ubicación física permanente en 2021. Reúne al personal del GCHQ, el Ministerio de Defensa, el MI6 y el Laboratorio de Ciencia y Tecnología de Defensa (DSTL), bajo un mando unificado).
La amenaza de ser agresivo con los ciberdelincuentes brilla a través del informe, incluida la promesa de hacer que sea más «costoso y de mayor riesgo para los actores cibernéticos estatales, criminales y otros actores cibernéticos maliciosos atacar al Reino Unido» con «campañas de disuasión sostenidas y personalizadas que aprovechen toda la gama de capacidades del Reino Unido (incluidas las palancas diplomáticas, económicas, encubiertas y abiertas)… una capacidad y voluntad para imponer costos significativos».
2. Socios industriales
Los socios industriales de HMG que proporcionan capacidades criptográficas soberanas, incluso proporcionando capacidades reforzadas de almacenamiento y distribución de claves criptográficas, se han sentido cada vez más frustrados por su manejo por parte del gobierno en el pasado.
Con restricciones en su capacidad para exportar tecnología soberana sensible, pero programas inconsistentes de adquisición y modernización del sector público, ha sido una manzana de la discordia.
La Estrategia Nacional de Seguridad Cibernética 2022 del Reino Unido llama la atención del sector, al tiempo que pide una estrategia / enfoque industrial más «ambicioso y proactivo» para garantizar que UK Plc tenga una participación en la tecnología crítica. Promete que para 2025 el Reino Unido tendrá una «empresa Crypt-Key del Reino Unido más resistente y segura con una base industrial más sostenible y líder en el mundo». Esto, sugiere, sucederá combinando «las capacidades y la experiencia del gobierno y la industria de manera más efectiva, y adoptará un enfoque nacional más riguroso para administrar la empresa. Esto asegurará que desarrollemos las habilidades distintas y especializadas que necesitamos».
En un reconocimiento de que aquellos en el lado de las adquisiciones pueden necesitar una patada en el bum y que los proveedores del sector privado están ansiosos por exportar más, también promete que para 2025 el Reino Unido tendrá «capacidades y servicios Crypt-Key más fuertes en el gobierno [y el Reino Unido tendrá] «mayores exportaciones a nuestros socios y aliados».
En términos más generales, aunque el sector de la ciberseguridad del Reino Unido ha crecido rápidamente, «la mayoría de las empresas son nuevas empresas y la construcción de proveedores nacionales a gran escala sigue siendo un desafío frente a la consolidación internacional», señala el NCSS, y agrega que «los países que puedan establecer un papel de liderazgo en las tecnologías críticas para el poder cibernético estarán mejor posicionados para influir en la forma en que se diseñan y despliegan. más capaces de proteger su seguridad y ventaja económica, y más rápido para explotar las oportunidades de avances en las capacidades cibernéticas».
3 … y tecnologías seleccionadas
No es solo el sector de la «clave de cripta» el que llama la atención.
El informe destaca una vez más el riesgo (que atrajo una mayor atención política en medio de la decisión de despojar al kit de Huawei de las redes 5G) de convertirse en «demasiado dependiente de competidores y adversarios» para las tecnologías centrales, prometiendo que HMG «fortalecerá nuestra capacidad, liderada por la experiencia técnica del NCSC y otros en todo el gobierno, para identificar las áreas de tecnología más críticas para nuestro poder cibernético».
Esto incluirá decisiones estratégicas a nivel nacional sobre las prioridades bajo el marco de «Acceso propio-colaboración» establecido en la Revisión Integrada de 2021. Prácticamente, esto hará que HMG «seleccione áreas en las que invertiremos en la actividad de investigación y desarrollo [de] y las asociaciones estratégicas necesarias para desarrollar las capacidades nacionales del Reino Unido». Cuando el Reino Unido tenga el potencial de «establecer una posición de liderazgo en áreas clave de la tecnología cibernética, o donde la dependencia de fuentes de suministro no aliadas plantee riesgos de seguridad inaceptables, trataremos de desarrollar nuestra base industrial nacional», dice el informe: las normas de la OMC sobre subsidios tienen margen de maniobra.
El informe destaca siete tecnologías clave que llamarán la atención:
- Tecnología 5G y 6G, y otras formas emergentes de transmisión de datos
- Inteligencia artificial (IA), incluida la necesidad de proteger los sistemas de IA y el potencial del uso de la IA para mejorar la seguridad cibernética en una amplia gama de aplicaciones, como el monitoreo de redes.
- La tecnología Blockchain y sus aplicaciones, como las criptomonedas y las finanzas descentralizadas
- Semiconductores, chips de microprocesador, arquitectura de microprocesador y su cadena de suministro, diseño y proceso de fabricación
- Autenticación criptográfica, incluida la gestión de identidades y accesos y productos criptográficos de alta seguridad
- Internet de las cosas y tecnologías utilizadas en entornos de consumo, empresariales, industriales y físicos, como lugares conectados
- Tecnologías cuánticas, incluida la computación cuántica, la detección cuántica y la criptografía postcuántica
4. Ciberdelincuencia: nuevas plataformas para vincular datos, unir esfuerzos
La aplicación de la ley ha tenido un buen éxito en la prevención de ataques de ransomware y campañas maliciosas, incluso a través de la Unidad Nacional de Delitos Cibernéticos (NCCU) de la Agencia Nacional del Crimen (NCA), que cuenta con el apoyo de una red de Unidades Regionales de Delitos Cibernéticos (RCCU) dedicadas en cada una de las nueve regiones policiales de Inglaterra y Gales.
Mientras tanto, las Unidades Locales de Delitos Cibernéticos (LCU) dedicadas están integradas en cada una de las 43 fuerzas policiales y sincronizadas a través de un coordinador regional.
La notificación centralizada de delitos, el triaje y el análisis se proporcionan a través de Action Fraud, organizada por la Policía de la Ciudad de Londres, y los casos más graves se remiten a la NCA y a la red regional para que los persigan. Como señala el NCSS: «los sistemas se están uniendo con capacidades transformadas de análisis forense, inteligencia e intercambio de datos para construir una plataforma única para que las unidades nacionales y regionales puedan acceder a todas las capacidades y herramientas especializadas de alta gama».
5. Nuevas organizaciones
La estrategia establece una serie de nuevas entidades.
Estos incluyen una nueva Junta Nacional de Asesoría Cibernética (NCAB) para «reunir a altos líderes del sector privado y del tercer sector para desafiar, apoyar e informar el enfoque del gobierno hacia el ciberespacio».
(A pesar de los numerosos pronunciamientos sobre la necesidad de un «diálogo cibernético nacional más inclusivo y estratégico» y un «enfoque de toda la sociedad», no hay detalles en el documento sobre cómo las partes potencialmente interesadas pueden solicitar estar en la junta. The Stack ha pedido al NCSC, GCHQ y la Oficina del Gabinete un correo electrónico apropiado para que cualquiera de nuestros lectores interesados note su interés a los convocantes de la junta).
El gobierno también está creando un nuevo «Laboratorio Nacional para la Seguridad de la Tecnología Operacional» que reunirá al gobierno, la industria y la academia para «probar, ejercitar y capacitar sobre tecnologías industriales críticas para desarrollar capacidades en esta área» en medio de la preocupación de que el aumento de la convergencia de TI / OT continúa abriendo vectores de amenaza en la infraestructura nacional crítica y más ampliamente también.
(Como dice el documento: «Estamos viendo cada vez más la interacción de las empresas establecidas en sectores regulados, como las telecomunicaciones y la energía, con empresas nuevas y en gran medida no reguladas, como las que proporcionan microgeneración, carga de vehículos eléctricos o capacidades de ‘lugares conectados’. Las infraestructuras críticas serán mucho más distribuidas y difusas… Este cambio en el entorno también afectará a los productos y servicios más ampliamente fuera de nuestra infraestructura nacional crítica tradicional. El aumento de la dependencia de terceros proveedores de servicios gestionados, que a menudo tienen acceso privilegiado a los sistemas de TI, está creando nuevos riesgos…»)
6. Habilidades, destrezas, destrezas…
Todos hemos escuchado al público aullar sobre la falta de habilidades de ciberseguridad (la otra cara de la cual es a menudo las empresas que no quieren invertir en personal o en capacitación). El nuevo NCSS, que menciona «habilidades» 48 veces, promete «expandir los programas de capacitación posteriores a los 16 años en línea con las necesidades de la fuerza laboral cibernética, financiar una variedad de campamentos de entrenamiento de habilidades en seguridad cibernética, el despliegue nacional del programa de Institutos de Tecnología y continuar con el esquema de becas CyberFirst para estudiantes universitarios.
HMG «pasará de financiar una gama de programas de habilidades e innovación en gran parte a medida y gestionados centralmente, a un enfoque más sostenible, sistémico y regional», dijo sobre este enfoque.
También implicará dirigir a los hackers que van por el «camino equivocado». Los sombreros negros jóvenes pueden encontrarse, cuando son atrapados, abordados con el programa Cyber Choices de la NCA, que está diseñado para ayudar a «las personas a tomar decisiones más informadas, desviándolas de la criminalidad para usar sus habilidades cibernéticas de una manera positiva y legal».
Otras acciones concretas incluirán «expandir el Cyber Fast Stream y ofrecer más aprendizajes de seguridad cibernética, apoyar programas de habilidades especializadas dentro de la NCA, incluidas colocaciones de graduados y pasantes, programas de neurodiversidad a medida y programas de diversidad de verano».
Mientras tanto, la Reina aprobó la concesión de una Carta Real al Consejo de Seguridad Cibernética del Reino Unido en noviembre de 2021. Esto proporciona, por primera vez, un reconocimiento a medida específicamente para la seguridad cibernética, que cubre la gama de especialidades que existen en el campo. (El consejo está encabezado por el CEO Simon Hepburn).
7. Empresas: la regulación se avecina
Entre los 53 resultados deseados claramente detallados para 2025 se encuentra que «las empresas y organizaciones del Reino Unido [tengan] una mejor comprensión del riesgo cibernético y sus responsabilidades para gestionarlos».
Se pueden usar algunas herramientas contundentes para hacer cumplir esto. La Estrategia Nacional de Seguridad Cibernética 2022 del Reino Unido promete que HMG trabajará con «compradores, instituciones financieras, inversores, auditores y aseguradoras para incentivar las buenas prácticas de seguridad cibernética en toda la economía».
Curiosamente, esto incluirá propuestas para exigir una mejor presentación de informes corporativos sobre la resiliencia a los riesgos, incluidos los riesgos cibernéticos: «Esto brindará a los inversores y accionistas una mejor visión de cómo las empresas están gestionando y mitigando los riesgos materiales para su negocio». Mira este espacio; muchos se han agitado por ello.
(HMG también planea involucrarse más aguas arriba, diciendo crípticamente que estará «probando una serie de intervenciones para ayudar a las organizaciones a gestionar los riesgos de seguridad cibernética planteados por sus proveedores» y trabajar en «identificar dónde las cadenas de suministro digitales están demasiado concentradas y trabajar con socios internacionales para gestionar los riesgos colectivos».
8. Alianzas
A nivel internacional, el NCSS 2022-2025 promete que el Reino Unido construirá una «alianza internacional más amplia que esté dispuesta y sea capaz de imponer consecuencias más significativas a los adversarios del Reino Unido».
Esto incluirá «un mayor compromiso diplomático, colaboración operativa, intercambio de información y ejercicio conjunto».
El documento de estrategia también promete «un mayor entendimiento mutuo entre las fuerzas cibernéticas clave de los países aliados y socios e integrar mejor las operaciones cibernéticas en las operaciones aliadas en todos los dominios: tierra, mar, aire, espacio y ciberespacio … incluido el apoyo a los procesos para integrar los efectos cibernéticos soberanos proporcionados voluntariamente por el Reino Unido y algunos otros aliados, en las operaciones y misiones de la OTAN».
Informar a los guardianes de la moneda
La palabra «KPI» no aparece ni una sola vez en el informe. Y en términos de informar sobre estas aspiraciones, los parlamentarios que esperan una mayor supervisión no tienen suerte.
(El Comité de Cuentas Públicas del Parlamento y la Oficina Nacional de Auditoría pusieron el arranque en la presentación de informes de los KPI de la estrategia anterior, y la OAN que «el programa había hecho muy poco para medir su funcionamiento o cómo se asignaba el dinero para individuos» y agregó, condenatoriamente, «la Estrategia estableció 48 medidas de éxito, pero en julio de 2018 solo se estaban midiendo 17»).
La Estrategia Nacional de Seguridad Cibernética del Reino Unido de 2022 se «regirá por un marco de rendimiento en continua evolución que informa a los altos funcionarios responsables y al NSC», señala.
«De acuerdo con el enfoque de la Estrategia Nacional de Seguridad Cibernética 2016-2021, no será un documento público debido a la información confidencial contenida, pero el gobierno publicará informes anuales de progreso».
La industria responde
El informe obtuvo respuestas positivas de la industria.
Paul Baird, CTSO UK, Qualys fue uno de los que envió comentarios más reflexivos, señalando: «El mandato de ‘desafiar, apoyar e informar el enfoque del Gobierno hacia el ciberespacio’ en el NCAB es interesante: esta organización tendrá que ser una donde se apoyen discusiones francas, para que todos podamos mejorar la seguridad. Esto tiene que ser escuchado, en lugar de ser una organización que existe para reflejar el pensamiento del gobierno».
Añadió: «Me gusta mucho la idea de centrarme en las escuelas para desarrollar la próxima generación de profesionales de la seguridad cibernética. Necesitamos desesperadamente más talento en torno a la seguridad de TI, y definitivamente también podemos beneficiarnos de una mayor diversidad de puntos de vista y experiencia. He visto demasiados equipos del Centro de Operaciones de Seguridad «cortadores de galletas» donde tener ese enfoque más diverso ayudaría a mejorar los resultados. Los equipos SOC maduros más exitosos tienen una amplia gama de personas con diferentes antecedentes, enfoques y formas de pensar y trabajar en ellos, para que puedan contrarrestar más problemas potenciales. Necesitamos más de esto en su lugar …»
El ex director del GCHQ Robert Hannigan. Ahora presidente de BlueVoyant, agregó: «[Es] bueno ver la nueva Estrategia Cibernética Nacional del Reino Unido que destaca la seguridad de la cadena de suministro y el desarrollo de habilidades, con el compromiso de «aprovechar la experiencia en el mercado y garantizar que todos desempeñen un papel en la seguridad de las cadenas de suministro digitales del Reino Unido». Un enfoque muy fuerte en la incorporación del programa de Defensa Cibernética Activa en todo el gobierno y más ampliamente».