Orden ejecutiva de Obama autoriza sanciones financieras a atacantes
El presidente Barack Obama ha anunciado un nuevo programa de sanciones que autoriza la sanción de ciber actores maliciosos cuyas acciones amenacen la seguridad nacional, la política exterior o la salud económica o la estabilidad financiera de los Estados Unidos.
Al afirmar que las amenazas cibernéticas están en la parte superior de la lista de preocupaciones de seguridad del presidente y «en un momento de transformación» en la forma en que abordamos la seguridad cibernética, el declaración de Lisa Monaco, asistente del presidente de Seguridad Nacional y Contraterrorismo, dijo que entre las muchas acciones en el ámbito cibernético, esto permitirá congelar los activos de aquellos sujetos a sanciones y dificultarles el hacer negocios con entidades estadounidenses. y estar sujeto a costos.
Monaco dijo: “Esta nueva orden ejecutiva está diseñada específicamente para perseguir a los ciber actores maliciosos más importantes a los que nos enfrentamos. No es una herramienta que usaremos todos los días. Las empresas que respetan la ley no tienen absolutamente nada de qué preocuparse; para ellos, es un negocio como de costumbre «.
Dijo que la herramienta está diseñada para usarse junto con las fuerzas del orden y los esfuerzos diplomáticos para ayudar a disuadir e interrumpir las peores amenazas cibernéticas que enfrentamos, y dijo que no se utilizará para tratar de silenciar la libertad de expresión en línea o frenar la Internet libertad. “Tampoco se utilizará esta autoridad para perseguir a investigadores legítimos de seguridad cibernética o víctimas inocentes cuyas computadoras estén comprometidas”, dijo.
El orden ejecutiva firmado por el Presidente pasa la autorización al Secretario del Tesoro, en consulta con el Fiscal General y el Secretario de Estado, para tomar tales acciones, incluyendo la promulgación de reglas y regulaciones y para emplear todos los poderes otorgados al Presidente por IEEPA según sea posible. sea necesario para llevar a cabo los fines de este pedido.
“El Secretario del Tesoro puede reasignar cualquiera de estas funciones a otros funcionarios y agencias del Gobierno de los Estados Unidos de conformidad con la ley aplicable”, dijo Obama. «Se ordena a todas las agencias del gobierno de los Estados Unidos que tomen todas las medidas apropiadas dentro de su autoridad para llevar a cabo las disposiciones de esta orden».
Corey Thomas, presidente y director ejecutivo de Rapid7, dijo: “La orden ejecutiva del presidente tiene como objetivo proporcionar un medio para que el gobierno de los EE. UU. Penalice y disuada los actos delictivos que no se pueden abordar de manera significativa de otra manera. Solo el tiempo dirá si es capaz de hacer esto con éxito, pero a primera vista, el marco parece bastante razonable.
“Aplaudimos particularmente los umbrales de daño. Es clave que los actos deben causar un impacto negativo significativo, por ejemplo, en la seguridad nacional o la salud económica, Y que esto debe manifestarse a través de actos específicamente identificados, como el robo generalizado de secretos comerciales o la interrupción de la disponibilidad de los sistemas informáticos. También es fundamental que el Departamento del Tesoro haya declarado que no tiene la intención de perseguir a los investigadores de seguridad bajo esta orden.
“La investigación de seguridad es esencial para comprender cómo operan los ciberatacantes e identificar problemas que les brindan oportunidades de explotación. Los hallazgos ayudan a las empresas y los consumidores a protegerse a sí mismos, sin embargo, para hacer esto, los investigadores deben comportarse como atacantes, y esto puede generar complicaciones legales e incertidumbre «.
Bob West, director de fideicomisos de CipherCloud, dijo: “La última orden ejecutiva del presidente Obama tiene sentido común. Va hacia lo comercialmente responsable y traza una línea en la arena. Si podemos descubrir quiénes son las personas o grupos detrás de los ciberataques, ahora tenemos el derecho legal de tomar medidas.
“Si bien la atribución es un desafío, la tecnología evoluciona a un ritmo rápido. Deberíamos tener herramientas forenses mucho más avanzadas en un futuro próximo que nos permitan determinar con certeza quién es el responsable de un ataque específico. Por más desafiante que sea la atribución, debe haber un equilibrio entre llevar a los delincuentes ante la justicia y proteger el derecho de los ciudadanos a la privacidad.
“La protección de la información requiere un enfoque concertado y coordinado entre el sector público y el privado. Los proveedores de tecnología deben diseñar sus productos con seguridad incorporada y las empresas deben practicar una buena higiene de seguridad. Finalmente, el Congreso debe hacer su parte para proteger al público con una legislación sólida ”.