Por qué las empresas no deben tratar de hackear a sus hackers
Por Corey E. Thomas
Harvard Business Review
Seguridad y Privacidad
Durante una competición reciente de ciberseguridad, equipos de estudiantes que realizaron un simulacro de ejercicio involuntariamente causaron que los Estados Unidos iniciaran una guerra (falsa). Los estudiantes recibieron una variedad de opciones, incluyendo las diplomáticas, por responder a un ciberataque de China. La mayoría de ellos tomó un enfoque agresivo, conocido como "hack back", con consecuencias desastrosas. El simulacro de ejercicio muestra lo tentador que es lanzar un contraataque en respuesta a un ciberataque - y el potencial de importantes consecuencias no deseadas.
Como el CEO de una empresa de valores que cotiza en bolsa, me gustaría instar a las empresas y las personas a tener cuidado con los mismos peligros. En los Estados Unidos, la Ley de Fraude y Abuso de Computadoras (CFAA) prohíbe que las partes privadas accedan o dañen los sistemas informáticos, incluso si están siendo utilizados para atacar a usted oa su negocio.
Pero la legislación del Congreso cambiaría eso, dando a las empresas del sector privado y las personas el derecho de atacar de nuevo y hackear a sus hackers. La idea detrás de la propuesta es capacitar a las personas para "defenderse en línea, como tienen la autoridad legal para hacer durante un asalto físico". Creo que la medida haría más daño que bien. Este es el por qué.
Agujeros en la defensa de autodefensa
Puede parecer razonable que el mismo principio que permite a los propietarios defenderse de intrusos, incluso si implica causar daño a los atacantes, debe ser válido para los ciberataques. Pero la realidad es, por desgracia, que sería similar a lanzar granadas de su jardín, con la esperanza de tener suerte y golpear a un atacante que no han visto como huyen de la escena del crimen. Incluso si logras herir a tu atacante, probablemente herirás a otras personas también. En el hack back, es casi imposible asegurar que una acción dirigida a un actor o grupo de actores específicos afectará sólo a los objetivos previstos. Después de todo, Internet está diseñado específicamente para el propósito de sistemas de interacción y comunicación. La tecnología y los usuarios están cada vez más interconectados.
Es difícil identificar a su atacante
Otro desafío significativo es que los ataques cibernéticos, que a veces se descubren años después de una violación de seguridad, son difíciles de atribuir al actor correcto. Los piratas informáticos están evolucionando constantemente sus técnicas para mantenerse un paso por delante de los defensores y la aplicación de la ley. A veces usan técnicas de engaño para plantar indicadores que apuntan a algún otro perpetrador, ya sea para rechazar la sospecha o para incriminar a otra parte.
Esto es aún más problemático cuando se considera que los dispositivos que funcionan como partes no deseadas de una botnet se pueden utilizar para llevar a cabo un ataque. Estos dispositivos infectados - y sus propietarios - son víctimas tanto del atacante como el objetivo principal, sin embargo, cualquier intento de hack back podría causarles daño. Incluso los gobiernos, que poseen los programas de recopilación de inteligencia a gran escala y sofisticados necesarios para atribuir con precisión ataques cibernéticos, pueden tomar mucho tiempo para hacerlo. Las organizaciones del sector privado típicamente no tienen estos recursos.
Corrupción de la Ley de Proporcionalidad
A raíz de un ciberataque, incluso si el atacante ha sido identificado, es difícil juzgar la motivación con precisión y determinar una respuesta adecuada. ¿Recuerdan a los estudiantes que compiten en el simulacro de ciberseguridad, los que terminaron en guerra? Pensaron que su respuesta era proporcional, pero la situación rápidamente salió de control.
A veces la necesidad de información se utiliza como argumento para hackear. El argumento es que puede ayudar con la reunión de inteligencia. Sin embargo, la reunión de inteligencia no es lo mismo que montar un contraataque digital. Hay una serie de medidas de recolección de inteligencia que las organizaciones estadounidenses pueden tomar que no afectan a la CFAA. Por ejemplo, las organizaciones pueden desplegar honeypots en sus propias redes para capturar información sobre el atacante y sus métodos.
Esencialmente, la legislación de hack back pondría la capacidad de lanzar ataques cibernéticos, decidir respuestas proporcionales, e infiltrar sistemas en manos de compañías e individuos. Si el hack back está legalizado y las empresas del sector privado lo tienen en sus arsenales, me temo que podría convertirse en la respuesta de facto - en lugar de considerar la amplia gama de opciones que no implican hacking back.
Nueva presión sobre los recursos de la empresa
Claramente, hackear de nuevo eficazmente requeriría habilidades especializadas y costosas inversiones. Si se legalizó con un marco de autorización que no es suficientemente riguroso, temo que muchas organizaciones puedan intentar participar sin las herramientas y conocimientos necesarios para llevarlo a cabo. Es probable que sea ineficaz, perjudicial, o ambos.
Otras empresas no pueden permitirse una gran cantidad de conocimientos y tecnologías de seguridad interna para protegerse hoy en día. Hack back capacidad es un no starter para ellos. Eso los hará aún más vulnerables si hack back está legalizado. Los atacantes motivados por el beneficio pueden tratar de evitar empresas que amenazan con atacar de nuevo. En lugar de eso, apuntarán a las desafortunadas organizaciones por debajo de esta línea de pobreza de seguridad.
Minas legales en una "tierra sin ley"
Si bien Internet es un espacio sin fronteras que se accede desde todos los países del mundo, cada uno de esos países tiene su propio sistema legal y espera que sus ciudadanos lo respeten. Sería muy arriesgado para las empresas y las personas que hackear de nuevo para evitar la violación de las leyes de otro país y el derecho internacional.
Cuando los gobiernos nacionales hacen esto, tiende a ocurrir dentro de los marcos legales internacionales existentes y bajo alguna supervisión reguladora. Debe cumplir con una estricta carga de la prueba para la atribución. Hay parámetros que determinan los tipos de objetivos que se pueden perseguir y qué acciones se pueden tomar. Cualquier autorización de regreso requeriría una supervisión gubernamental considerable para evitar el abuso por parte del sector privado y minimizar los daños colaterales.
Por ejemplo, ¿qué sucede si una empresa hackea y daña accidentalmente a otra empresa o individuo? La empresa podría incurrir en costosos procesos legales, daños en la reputación y pérdida de confianza. Hacer que las organizaciones estén exentas de este tipo de acción legal en torno a las consecuencias no deseadas es problemática. ¿Cómo podemos detectar y detener abusos accidentales o intencionales del sistema? Dar al sector privado la capacidad de hack back requeriría un marco legal complejo y un sistema de supervisión. ¿Quién lo dirigiría? ¿Cómo se financiaría? Esto parece poco práctico y costoso.
Es difícil culpar a las compañías por sentirse impotentes a raíz de ataques cibernéticos que han cerrado fábricas, hospitales paralizados y publicaron datos corporativos de propiedad. Desde las estafas de phishing hasta las vulnerabilidades en los dispositivos médicos, la electrónica conectada, e incluso toda la red eléctrica, a nadie le gusta sentir que están constantemente en el final perdedor de una guerra sombría contra ciberataqueos clandestinos, sin esperanza a la vista. Ese sentimiento de impotencia está detrás de un llamamiento creciente para que las empresas puedan hackear.
Sin embargo, los costos potenciales de un paso en falso y las consecuencias imprevistas deberían disuadir a los líderes empresariales de realizar ese esfuerzo. En lugar de eso, debemos trabajar juntos para encontrar soluciones a nuestros complejos problemas de ciberseguridad que son mejores que legitimar el vigilantismo, particularmente dadas sus riesgos significativos y sus dudosos beneficios. Una cosa es que los estudiantes desencadenen involuntariamente un desastre en los confines seguros de un escenario de simulacro competitivo. Es otra cosa enteramente para ser un líder de negocios que lo hace en el mundo real.
Corey E. Thomas es el presidente y CEO de Rapid7. También es miembro de la Junta de Asesores de Economía Digital del Departamento de Comercio de los Estados Unidos. Él es un graduado de Harvard Business School y anteriormente trabajó para Parallels, Microsoft y Deloitte.
Harvard Business Review
Seguridad y Privacidad
Durante una competición reciente de ciberseguridad, equipos de estudiantes que realizaron un simulacro de ejercicio involuntariamente causaron que los Estados Unidos iniciaran una guerra (falsa). Los estudiantes recibieron una variedad de opciones, incluyendo las diplomáticas, por responder a un ciberataque de China. La mayoría de ellos tomó un enfoque agresivo, conocido como "hack back", con consecuencias desastrosas. El simulacro de ejercicio muestra lo tentador que es lanzar un contraataque en respuesta a un ciberataque - y el potencial de importantes consecuencias no deseadas.
Como el CEO de una empresa de valores que cotiza en bolsa, me gustaría instar a las empresas y las personas a tener cuidado con los mismos peligros. En los Estados Unidos, la Ley de Fraude y Abuso de Computadoras (CFAA) prohíbe que las partes privadas accedan o dañen los sistemas informáticos, incluso si están siendo utilizados para atacar a usted oa su negocio.
Pero la legislación del Congreso cambiaría eso, dando a las empresas del sector privado y las personas el derecho de atacar de nuevo y hackear a sus hackers. La idea detrás de la propuesta es capacitar a las personas para "defenderse en línea, como tienen la autoridad legal para hacer durante un asalto físico". Creo que la medida haría más daño que bien. Este es el por qué.
Agujeros en la defensa de autodefensa
Puede parecer razonable que el mismo principio que permite a los propietarios defenderse de intrusos, incluso si implica causar daño a los atacantes, debe ser válido para los ciberataques. Pero la realidad es, por desgracia, que sería similar a lanzar granadas de su jardín, con la esperanza de tener suerte y golpear a un atacante que no han visto como huyen de la escena del crimen. Incluso si logras herir a tu atacante, probablemente herirás a otras personas también. En el hack back, es casi imposible asegurar que una acción dirigida a un actor o grupo de actores específicos afectará sólo a los objetivos previstos. Después de todo, Internet está diseñado específicamente para el propósito de sistemas de interacción y comunicación. La tecnología y los usuarios están cada vez más interconectados.
Es difícil identificar a su atacante
Otro desafío significativo es que los ataques cibernéticos, que a veces se descubren años después de una violación de seguridad, son difíciles de atribuir al actor correcto. Los piratas informáticos están evolucionando constantemente sus técnicas para mantenerse un paso por delante de los defensores y la aplicación de la ley. A veces usan técnicas de engaño para plantar indicadores que apuntan a algún otro perpetrador, ya sea para rechazar la sospecha o para incriminar a otra parte.
Esto es aún más problemático cuando se considera que los dispositivos que funcionan como partes no deseadas de una botnet se pueden utilizar para llevar a cabo un ataque. Estos dispositivos infectados - y sus propietarios - son víctimas tanto del atacante como el objetivo principal, sin embargo, cualquier intento de hack back podría causarles daño. Incluso los gobiernos, que poseen los programas de recopilación de inteligencia a gran escala y sofisticados necesarios para atribuir con precisión ataques cibernéticos, pueden tomar mucho tiempo para hacerlo. Las organizaciones del sector privado típicamente no tienen estos recursos.
Corrupción de la Ley de Proporcionalidad
A raíz de un ciberataque, incluso si el atacante ha sido identificado, es difícil juzgar la motivación con precisión y determinar una respuesta adecuada. ¿Recuerdan a los estudiantes que compiten en el simulacro de ciberseguridad, los que terminaron en guerra? Pensaron que su respuesta era proporcional, pero la situación rápidamente salió de control.
A veces la necesidad de información se utiliza como argumento para hackear. El argumento es que puede ayudar con la reunión de inteligencia. Sin embargo, la reunión de inteligencia no es lo mismo que montar un contraataque digital. Hay una serie de medidas de recolección de inteligencia que las organizaciones estadounidenses pueden tomar que no afectan a la CFAA. Por ejemplo, las organizaciones pueden desplegar honeypots en sus propias redes para capturar información sobre el atacante y sus métodos.
Esencialmente, la legislación de hack back pondría la capacidad de lanzar ataques cibernéticos, decidir respuestas proporcionales, e infiltrar sistemas en manos de compañías e individuos. Si el hack back está legalizado y las empresas del sector privado lo tienen en sus arsenales, me temo que podría convertirse en la respuesta de facto - en lugar de considerar la amplia gama de opciones que no implican hacking back.
Nueva presión sobre los recursos de la empresa
Claramente, hackear de nuevo eficazmente requeriría habilidades especializadas y costosas inversiones. Si se legalizó con un marco de autorización que no es suficientemente riguroso, temo que muchas organizaciones puedan intentar participar sin las herramientas y conocimientos necesarios para llevarlo a cabo. Es probable que sea ineficaz, perjudicial, o ambos.
Otras empresas no pueden permitirse una gran cantidad de conocimientos y tecnologías de seguridad interna para protegerse hoy en día. Hack back capacidad es un no starter para ellos. Eso los hará aún más vulnerables si hack back está legalizado. Los atacantes motivados por el beneficio pueden tratar de evitar empresas que amenazan con atacar de nuevo. En lugar de eso, apuntarán a las desafortunadas organizaciones por debajo de esta línea de pobreza de seguridad.
Minas legales en una "tierra sin ley"
Si bien Internet es un espacio sin fronteras que se accede desde todos los países del mundo, cada uno de esos países tiene su propio sistema legal y espera que sus ciudadanos lo respeten. Sería muy arriesgado para las empresas y las personas que hackear de nuevo para evitar la violación de las leyes de otro país y el derecho internacional.
Cuando los gobiernos nacionales hacen esto, tiende a ocurrir dentro de los marcos legales internacionales existentes y bajo alguna supervisión reguladora. Debe cumplir con una estricta carga de la prueba para la atribución. Hay parámetros que determinan los tipos de objetivos que se pueden perseguir y qué acciones se pueden tomar. Cualquier autorización de regreso requeriría una supervisión gubernamental considerable para evitar el abuso por parte del sector privado y minimizar los daños colaterales.
Por ejemplo, ¿qué sucede si una empresa hackea y daña accidentalmente a otra empresa o individuo? La empresa podría incurrir en costosos procesos legales, daños en la reputación y pérdida de confianza. Hacer que las organizaciones estén exentas de este tipo de acción legal en torno a las consecuencias no deseadas es problemática. ¿Cómo podemos detectar y detener abusos accidentales o intencionales del sistema? Dar al sector privado la capacidad de hack back requeriría un marco legal complejo y un sistema de supervisión. ¿Quién lo dirigiría? ¿Cómo se financiaría? Esto parece poco práctico y costoso.
Es difícil culpar a las compañías por sentirse impotentes a raíz de ataques cibernéticos que han cerrado fábricas, hospitales paralizados y publicaron datos corporativos de propiedad. Desde las estafas de phishing hasta las vulnerabilidades en los dispositivos médicos, la electrónica conectada, e incluso toda la red eléctrica, a nadie le gusta sentir que están constantemente en el final perdedor de una guerra sombría contra ciberataqueos clandestinos, sin esperanza a la vista. Ese sentimiento de impotencia está detrás de un llamamiento creciente para que las empresas puedan hackear.
Sin embargo, los costos potenciales de un paso en falso y las consecuencias imprevistas deberían disuadir a los líderes empresariales de realizar ese esfuerzo. En lugar de eso, debemos trabajar juntos para encontrar soluciones a nuestros complejos problemas de ciberseguridad que son mejores que legitimar el vigilantismo, particularmente dadas sus riesgos significativos y sus dudosos beneficios. Una cosa es que los estudiantes desencadenen involuntariamente un desastre en los confines seguros de un escenario de simulacro competitivo. Es otra cosa enteramente para ser un líder de negocios que lo hace en el mundo real.
Corey E. Thomas es el presidente y CEO de Rapid7. También es miembro de la Junta de Asesores de Economía Digital del Departamento de Comercio de los Estados Unidos. Él es un graduado de Harvard Business School y anteriormente trabajó para Parallels, Microsoft y Deloitte.
Editores originales conservan todos los derechos.
No hay comentarios:
Publicar un comentario