Algunos de los bancos más grandes del país ahora están trabajando con el Departamento del Tesoro, participando en juegos de roles y compartiendo información que habrían guardado de cerca en el pasado..
Antilavadodedinero / Law
Con el aumento de las tensiones globales por Ucrania, la competitividad despiadada del sector financiero de EE. UU. está cediendo ante la convicción de que un ataque cibernético incluso contra un grupo de bancos menores o un proveedor de servicios externo podría poner en peligro a todos en un sistema altamente conectado.
“Eres tan bueno como tu eslabón más débil”, dijo Ron O’Hanley, director ejecutivo de State Street Corp., uno de los administradores de dinero y bancos de custodia más grandes de EE. UU. “Las redes se crean no solo por lo que haces, sino también por los proveedores en los que confías, las contrapartes con las que tratas, incluso los reguladores con los que tratas”, dijo en una entrevista.
Como parte de un movimiento más amplio destinado a fortalecer las defensas, los funcionarios del Tesoro reunieron a fines del mes pasado a ejecutivos de varios de los principales bancos y practicaron cómo se comunicarían entre sí y cómo trabajarían juntos en una variedad de escenarios de ataques cibernéticos.
Ese ejercicio de simulación, del que no se ha informado antes, incluyó a JPMorgan Chase & Co., Bank of America Corp. y Morgan Stanley. Pasó por cinco niveles hipotéticos de amenaza, que iban desde ataques menores hasta un ataque a gran escala en múltiples bancos y sistemas de pago críticos.
“Puedes invertir en defensas, pero ese aspecto de practicar una y otra vez y la mejora continua es el elemento crítico para responder a la próxima amenaza”, dijo JF Legault, director global de ciberseguridad de JPMorgan Chase en una entrevista telefónica.
Los funcionarios del Tesoro también se han movido para desclasificar más inteligencia para ponerla frente a los ejecutivos financieros y para extender la autorización de seguridad a más empleados dentro de los grandes bancos.
La invasión rusa de Ucrania y las posteriores sanciones contra Moscú han alterado un frágil equilibrio en la seguridad financiera. Los gobiernos expertos en la guerra cibernética, como China y Rusia, solían ser considerados partes interesadas en el mercado de activos globales en dólares, lo que les daba un incentivo para dejar en paz la infraestructura financiera.
“Lo que era diferente en Rusia-Ucrania era que las amenazas potenciales no solo eran obvias, sino que tenías un jugador que tenía la reputación de ser el mejor del mundo en términos de amenazas cibernéticas”, dijo O’Hanley de State Street. “Tomamos en serio todas las amenazas cibernéticas, pero empiezas a pensar en ellas de manera diferente cuando se trata de un estado-nación y, en particular, en relación con un conflicto armado”.
El Tesoro también sabía que el panorama de amenazas estaba cambiando a fines del año pasado. Mientras trazaban las sanciones que se aplicarían en caso de una invasión de Ucrania, los funcionarios concluyeron que era necesario intensificar la preparación para un ciberataque.
“Una vez que supimos dónde íbamos a aterrizar con algunos de los paquetes de sanciones iniciales para fines de 2021 y qué tan severos iban a ser, supimos que teníamos que actualizar nuestros libros de jugadas de respuesta a incidentes y trabajar con el sector para aumentar la información. compartir”, dijo Todd Conklin, consejero del segundo funcionario del Tesoro, el subsecretario Wally Adeyemo, en una entrevista.
Es parte de una expansión constante de una asociación público-privada en torno a la respuesta a los ataques cibernéticos.
La Agencia de Seguridad de Infraestructura de Ciberseguridad, CISA, parte del Departamento de Seguridad Nacional, se fundó en 2018 como la agencia líder para la protección cibernética. Sin embargo, Adeyemo dijo que la secretaria del Tesoro, Janet Yellen, le indicó en su primer día que hiciera de la ciberseguridad una prioridad.
Adeyemo se basó en crisis financieras pasadas, lo que dejó en claro cómo la interconexión de los bancos los hace vulnerables.
“Decirles ‘protegerse’ sin brindar apoyo adicional y compartir información no es tan útil”, dijo Conklin. “Es asegurarse de que, si algo sucede, tengamos un plan para una respuesta colectiva”.
Cuando cualquier punto del sistema financiero es atacado, la información sobre el evento debe enviarse a través de la red de empresas, reguladores y agencias de inteligencia lo más rápido posible, dicen los funcionarios. En lugar de acumular información para obtener una ventaja competitiva y silenciar cualquier desarrollo desafortunado, las empresas deben pensar en forma cooperativa, compartiendo inteligencia.
“Es compartir información tan pronto como sea posible para garantizar que, si hay un ataque en algún lugar, se está protegiendo el resto del sistema”, dijo Adeyemo.
Los bancos más grandes lo saben desde hace algunos años, pero van más allá que en el pasado.
En 2016, los ocho jugadores más grandes, encabezados por JPMorgan y Bank of America, formaron el Centro de análisis y resiliencia para riesgos sistémicos (ARC), con el objetivo de aumentar la colaboración en el monitoreo y la protección de sistemas críticos expuestos a Internet, con un enfoque en los primeros – Capacidades de alerta. Desde entonces, ha crecido para incluir bolsas y cámaras de compensación, así como varias grandes empresas de energía.
El grupo instaló su sede en las afueras de Washington porque los ejecutivos bancarios querían que ARC trabajara en estrecha colaboración con el gobierno, según Scott DePasquale, presidente y director ejecutivo de ARC. Un funcionario del Tesoro copreside el comité de riesgo del grupo.
También hay una contraparte más amplia del ARC, el Centro de Análisis e Intercambio de Información de Servicios Financieros, cuyos miembros incluyen una amplia gama de empresas que van desde bancos y aseguradoras hasta fintechs, de más de 70 países.
Persisten las preocupaciones, especialmente sobre los proveedores de servicios de terceros.
En el ataque a SolarWinds de 2020, según funcionarios estadounidenses, los piratas informáticos rusos utilizaron una pieza de software comprometida para obtener acceso a casi 18,000 sistemas informáticos en más de 100 empresas y nueve agencias del gobierno federal, incluidos el Tesoro, Seguridad Nacional y el Departamento de Estado. .
Pero no es necesario que los objetivos sean de un perfil tan alto para causar daños. En 2021, Kaseya, una empresa estadounidense que brinda servicios de software de seguridad y administración de TI, con una base de clientes que incluía muchos bancos pequeños, se convirtió en el objetivo de un ataque de ransomware.
El problema, que luego se atribuyó al grupo REvil con sede en Rusia, se resolvió en cuestión de días y sin pago de rescate. Pero obligó a los funcionarios a reflexionar sobre lo que sucedería si se paralizaran miles de pequeños bancos en todo el país, y a preguntarse qué tan extenso debía ser un ataque antes de que pudiera provocar una corrida mayor en los depósitos bancarios y una crisis de liquidez más amplia en todo el sistema financiero.
“Una de las razones por las que esta comunidad está por delante de las demás es que los delincuentes cibernéticos los investigan constantemente”, dijo James Andrew Lewis, director del programa de tecnologías estratégicas del Centro de Estudios Estratégicos e Internacionales en Washington.
“Los 20 principales bancos: estoy bastante seguro de que son un objetivo realmente difícil”, agregó. “Si tuviera que elegir las 20 instituciones financieras más bajas e incluso algunos de los proveedores de servicios de plomería, no sé si estaría tan seguro”.
También hay preocupaciones sobre el propio gobierno. El Tesoro y otras agencias no son solo supervisores regulatorios. El Tesoro emite deuda del gobierno de EE. UU. y la Reserva Federal es un proveedor de pagos interbancarios, y sus sistemas pueden estar sujetos a ataques.
Después de SolarWinds, el Tesoro comenzó a reforzar sus propias defensas. Desde entonces, ha invertido significativamente para modernizar su TI, avanzar en la tecnología de encriptación y reconstruir todo su sistema de correo electrónico, dijeron los funcionarios. La preparación de Rusia para invadir Ucrania impulsó el proyecto a una velocidad superior, convirtiendo un cronograma de tres años en un sprint de seis meses.
Para el próximo año fiscal, el Tesoro ha solicitado un aumento de $135 millones para inversiones en seguridad cibernética en todo el departamento.
La fatiga del personal ha surgido como un desafío. Al igual que otros empleadores, el Departamento del Tesoro ha tenido problemas para encontrar y contratar tantos profesionales de TI calificados como quisiera, y la tensión no hace más que crecer.
Hasta ahora, Rusia no ha respondido a las sanciones con un ataque concertado contra EE. UU., sino que ha optado por centrarse en las empresas y operaciones gubernamentales en Ucrania.
Adeyemo advierte que los riesgos siempre están presentes.
“Hay, todos los días, actores de todo tipo que están tratando de penetrar o tratando de aprovechar nuestro sistema financiero, o el sistema regulatorio”, dijo. “Independientemente de lo que sucedió ayer, tenemos que estar tan atentos como el día anterior”.
