Las vulnerabilidades de la cadena de suministro han saltado a la atención mundial gracias a las preocupaciones sobre las compañías chinas Huawei y ZTE, la subsiguiente prohibición del uso de sus productos por parte del gobierno federal, y la incorporación de Huawei a la lista de entidades con las que las compañías de Estados Unidos tienen prohibido hacer negocios.
Si bien esas medidas abordan algunos de los riesgos en la cadena de suministro de algunas empresas, las prohibiciones puntuales de empresas problemáticas no serán suficientes para proteger al país. Como señala Grant Schneider, Director Federal de Seguridad de la Información, se trata simplemente de “soluciones extraordinarias a un desafío para el que necesitamos un enfoque mucho más sistémico”.
La buena noticia es que los funcionarios del gobierno finalmente están empezando a prestar atención a la vulnerabilidad de sus cadenas de suministro. El año pasado, el Departamento de Seguridad Nacional creó un grupo de trabajo sobre la cadena de suministro de tecnología de la información y las comunicaciones integrado por representantes de los sectores público y privado. Una ley aprobada en diciembre pasado condujo a la creación del nuevo Consejo Federal de Seguridad para las Adquisiciones, que celebró su primera reunión el mes pasado. Y la Casa Blanca recientemente emitió una orden ejecutiva que prohíbe la adquisición o el uso de cualquier tecnología o servicio de información y comunicaciones que provenga de una compañía considerada una amenaza a la seguridad nacional.
La repentina preocupación no es exagerada. En marzo, la empresa de ciberseguridad Carbon Black publicó un informe que revela que alrededor de la mitad de todas las actividades cibernéticas maliciosas explotan las vulnerabilidades de la cadena de suministro al “saltar de isla en isla” a través de los proveedores en busca de un objetivo más lucrativo. Para reforzar la seguridad de Estados Unidos, los funcionarios deben abordar el riesgo cibernético de la cadena de suministro de forma sistemática. Para minimizar los saltos de isla, el gobierno y otras organizaciones deben analizar no solo su propia ciberseguridad, sino también la seguridad de las empresas cuyos bienes y servicios compran y utilizan.
El primer paso para evaluar el riesgo de la cadena de suministro es averiguar quiénes son exactamente los que forman parte de la cadena de suministro de una entidad. Los contratistas del gobierno son escalonados, y las grandes compañías en la cima pueden no ser conscientes de las identidades y perfiles de riesgo de todos los subcontratistas en los que confían para entregar sistemas complejos. Como dijo Mike Gordon, subdirector de seguridad de la información del contratista de defensa Lockheed Martin, el año pasado, “Debido a la privacidad del contrato y a la ventaja competitiva, el nivel uno no necesariamente sabe quién en el nivel cuatro está trabajando en un programa en particular, y el gobierno tampoco lo sabe necesariamente”.
Una vez que las agencias gubernamentales y las corporaciones han identificado quién está en su cadena de suministro, el siguiente paso es distinguir qué compañías en su cadena de suministro representan una amenaza. ¿Cómo se puede hacer esto?
Al evaluar los riesgos planteados por un proveedor específico, hay cuatro factores clave a considerar: La sensibilidad de la información en cuestión; la criticidad y la omnipresencia de la infraestructura en riesgo; la historia y la estructura legal del país de origen del proveedor; y la historia y la estructura del proveedor, incluyendo casos anteriores de espionaje cibernético y vínculos estrechos con entidades o figuras gubernamentales extranjeras hostiles.
Algunos de estos factores son más fáciles de evaluar que otros. Por ejemplo, las acusaciones de espionaje previo o de vínculos con otros países pueden ser difíciles de probar, especialmente cuando la información clave se mantiene clasificada. Este fue el caso de un informe de 2016 de la Dirección de Inteligencia J-2 del Departamento de Defensa que advertía contra el uso de productos Lenovo en el Pentágono.
En última instancia, para mejorar la seguridad de la cadena de suministro, el Departamento de Defensa y las agencias federales de inteligencia necesitan ser más transparentes sobre qué compañías plantean riesgos y cuánto dependen de ellas. Es casi seguro que los funcionarios de los gobiernos estatales y locales, así como muchas empresas privadas, están menos informados que las agencias federales sobre estos asuntos. Retener innecesariamente información que podría ayudarles a evaluar sus propios riesgos en la cadena de suministro es dejar a los ciudadanos estadounidenses más vulnerables de lo que deberían ser.
La eliminación de los riesgos de la cadena de suministro puede ser especialmente problemática para los contratistas más pequeños que carecen de experiencia y recursos en materia de ciberseguridad. Dana Deasy, directora de información del Departamento de Defensa, espera que las tecnologías emergentes puedan ayudar a aliviar la carga de muchos contratistas. “Definitivamente va a ser de gran valor ver cómo se toma toda la base de suministros, los estándares del [Instituto Nacional de Estándares y Tecnología], los problemas de higiene que vemos, y se puede aplicar la inteligencia artificial a este problema para empezar a identificar dónde es más probable que se van a experimentar problemas dentro de su cadena de suministro”.
Desenredar la cadena de suministro federal puede parecer una tarea imposible. Pero mejorar la ciberseguridad requiere no solo una ciberseguridad adecuada en los niveles superiores de la cadena de suministro, sino también un cuidado similar en los niveles inferiores. Para auditar una red tan enorme se necesitarán recursos y energía significativos. Pero es mucho mejor utilizar estos recursos para prevenir acciones cibernéticas maliciosas que para protegerse.