Cada vez más alarmados por la piratería informática extranjera, el Departamento de Defensa y los servicios de inteligencia se apresuran a informar a los contratistas militares y a la misma defensa.
El Pentágono está advirtiendo a los militares y a sus contratistas de que no usen software que consideren que tenga conexiones rusas y chinas, según el jefe de adquisiciones del Departamento de Defensa.
Los responsables han comenzado a circular una lista de «No comprar» de software que no cumple con los «estándares de seguridad nacional», dijo el viernes Ellen Lord, subsecretaria de Defensa para la adquisición y el mantenimiento. «Tuvimos problemas que nos hicieron centrarnos en esto», dijo Lord a los periodistas del Pentágono.
«Lo que estamos haciendo es asegurarnos de que no compramos software de origen ruso o chino», dijo. «A menudo eso es difícil de decir a primera vista debido a los holdings.»
El Pentágono empezó a compilar la lista hace unos seis meses. Las empresas sospechosas figuran en una lista que se distribuye a los compradores de software de las Fuerzas Armadas. Ahora el Pentágono está trabajando con las tres principales asociaciones comerciales de la industria de defensa: la Asociación de Industrias Aeroespaciales, la Asociación Industrial de Defensa Nacional y el Consejo de Servicios Profesionales, para alertar a los contratistas pequeños y grandes.
Lord dijo que los funcionarios de defensa también han estado trabajando con la red de inteligencia para identificar «ciertas compañías que no operan de una manera consistente con lo que consideramos como estándar de defensa». Al preguntarle si los programas y las armas estaban comprometidos por el uso de software extranjero, Lord dijo: «Estos son temas están muy extendidos. No nos estamos enfocados en un sistema en particular.»
China sigue robando los secretos comerciales de Estados Unidos, según funcionarios de EE.UU.
El IC se ha preocupado cada vez más por las entidades extranjeras que comprometen el software estadounidense. Esta actividad comprometedora puede tomar varias formas, como se describe en un nuevo informe del Centro Nacional de Contrainteligencia y Seguridad, cuya versión no clasificada se publicó el jueves. Por ejemplo, las empresas chinas han estado invirtiendo con entusiasmo en nuevas empresas estadounidenses que trabajan en inteligencia artificial.
El informe también señala que las empresas estadounidenses que quieren vender software en el extranjero, a menudo deben permitir que los servicios de inteligencia extranjeros examinen su código fuente. Esto puede facilitar a los gobiernos extranjeros descubrir vulnerabilidades que pueden ser explotadas más adelante. «Las recientes leyes chinas, incluidas las de seguridad nacional y ciberseguridad, proporcionan a Pekín una base legal para obligar a las empresas de tecnología que operan en China a cooperar con los servicios de seguridad chinos», señala el nuevo informe.
Rusia tiene leyes similares. El pasado mes de junio, Reuters informó que IBM, Cisco y SAP de Alemania habían permitido al FSB, un servicio de inteligencia ruso, examinar el código fuente clave en varios productos de software. En octubre, Reuters dijo que el escrutinio se había extendido a un producto de HP Enterprise llamado ArcSight, descrito como un «centro neurálgico de ciberseguridad para gran parte del Ejército estadounidense, alertando a los analistas cuando detecta que los sistemas informáticos pueden haber sido atacados».
«Si una empresa estadounidense quiere entrar en China y facilitar y ampliar su negocio desde una perspectiva global, tiene que entregar el código fuente, pero cuando se conecta a Internet, resulta que están trabajando no sólo con esa empresa en China, sino también con el PLA y el MSS», dijo William Evanina, director del Centro Nacional de Contrainteligencia y Seguridad.
«Así que es una regla de juego injusta, y la metáfora que yo usaría es: ¿se imaginan si una compañía que viene a hacer negocios en Estados Unidos tuviera que tratar no sólo con nuestro gobierno, sino también con la CIA, la NSA, el Departamento de Comercio, el Tesoro, así como tal vez con algunos oligarcas con sede en Estados Unidos? Es simplemente extraño para nosotros, pero eso es parte del entendimiento que necesitamos tener, el entendimiento de que cuando globalizamos bienes y servicios, estamos en una situación injusta en esos países», dijo Evanina.
En octubre pasado, un portavoz del Pentágono dijo a Defensa One, que no había una prohibición específica para impedir que el Departamento comprara el software que el servicio de inteligencia ruso había revisado.
Dijo Lord: «Realmente nos referimos a la ciberseguridad en gran escala… Es una de nuestras mayores preocupaciones en este momento. Este es un reto para nosotros en términos de cómo tratar con la base industrial, en particular a las pequeñas empresas que no siempre tienen los recursos. Es más, tenemos que asegurarnos de que disponen de sistemas seguros para nuestros datos e información».
El Pentágono ha tomado varias medidas en los últimos años para asegurarse de que las empresas de defensa tengan las defensas cibernéticas adecuadas no sólo para sí mismas, sino para todos sus proveedores. Se suponía que todos los suministros, grandes y pequeños, cumplían con nuevos y más estrictos estándares para enero pasado. Pero cuando los contratistas dijeron que no podrían cumplir con esas pautas, el Pentágono les exigió que presentaran un plan para cumplir con esos parámetros para enero.
«Hay una expectativa de que los estándares se cumplirán en la industria y a tiempo. Ha habido realmente auto-informe que dice: ‘Este es mi proceso y aquí está cómo estamos cumpliendo y aquí están los problemas que tenemos'», dijo Lord el viernes.
En respuesta, el Pentágono ha «suavizado algunos de sus requisitos», dijo Lord. «No creo que podamos seguir haciéndolo y, de hecho, probablemente tendremos que endurecer algunos de ellos».
La semana pasada en el Salón Aeronáutico de Farnborough en el Reino Unido, el diputado Kevin Fahey, advirtió que el Pentágono podría dejar de adjudicar contratos a las empresas si considera que sus armas y productos no están protegidos cibernéticamente.
Lord dijo el viernes que el Pentágono pronto comenzará a marcar compañías como «equipo rojo» para «que se vea cuán robustos son sus sistemas».
«La realidad del mundo en el que vivimos significa que la seguridad cibernética se convertirá cada vez más en un discriminador cuando observamos a nuestra base industrial», dijo.
Fte. Defense One