La Administración de Seguridad en el Transporte establecerá mandatos de ciberseguridad a los sectores de transporte ferroviario y aéreo de EE.UU.

(CNN) -- La Administración de Seguridad en el Transporte (TSA, por sus siglas en inglés) impondrá nuevos mandatos de ciberseguridad a los sectores ferroviario y aéreo, incluyendo requisitos de información como parte de un esfuerzo del departamento para forzar el cumplimiento tras los ciberataques de alto perfil en industrias críticas, anunció este miércoles el secretario de Seguridad Nacional de Estados Unidos, Alejandro Mayorkas.
El Dpartamento de Seguridad Nacional (DHS, por sus siglas en inglés) exigirá a un mayor número de empresas de los sectores críticos del transporte que cumplan una normativa básica de ciberseguridad, reduciendo así la notificación voluntaria de incidentes de ciberseguridad.

Como parte de una próxima "directiva de seguridad", el DHS exigirá a las entidades ferroviarias y de tránsito ferroviario de mayor riesgo que informen de los incidentes cibernéticos al Gobierno federal, que identifiquen a los encargados de su ciberseguridad y que elaboren un plan de contingencia y recuperación en caso de que sean víctimas de ciberataques.

• Primero en CNN: Biden convocará a 30 países para combatir la amenaza del ransomware

La directiva se publicará a finales de año, dijo Mayorkas en la cumbre anual de ciberseguridad Billington, donde intervino de forma virtual.

"Reducir el riesgo de ciberseguridad es en beneficio de todas las organizaciones, especialmente teniendo en cuenta la naturaleza indiscriminada del ransomware", dijo Mayorkas.

El Gobierno de Biden impulsó este miércoles varias iniciativas nuevas mientras los funcionarios se desplegaban en actos públicos en el marco del Mes de la Concienciación sobre la Ciberseguridad para promover nuevos esfuerzos e instar a las empresas a protegerse mejor a sí mismas y al público estadounidense, incluido un esfuerzo del Departamento de Justicia para imponer multas a las empresas que no cumplan ciertas normas.

Los miembros de la industria ferroviaria se opusieron inmediatamente al anuncio, argumentando que la directiva de seguridad exigiría a los ferrocarriles emprender acciones que se establecieron desde hace tiempo.

El sector ferroviario solo tenía tres días hábiles para revisar y dar su opinión sobre el proyecto de directiva de seguridad, según un portavoz de la Association of American Railroads (AAR), una agrupación industrial del sector ferroviario de mercancías, que añadió que los ferrocarriles han "informado sistemáticamente a las agencias federales de seguridad sobre la inteligencia y los incidentes de ciberseguridad durante varios años".

"La AAR espera que los comentarios sustanciales proporcionados se consideren a fondo en la decisión sobre si se procede con la directiva y para asegurar que cualquier acción tomada mejore, y no obstaculice, los esfuerzos coordinados de ciberseguridad", añadió el portavoz en un comunicado.

A principios de este año, la TSA emitió dos directivas de seguridad dirigidas a las empresas de oleoductos y gasoductos críticos en los meses posteriores a un ataque de ransomware que provocó el cierre de uno de los oleoductos más importantes de Estados Unidos y que generó escasez de gasolina y largas filas en las gasolineras.

En cuanto al sector aéreo, la TSA exigirá a los operadores de aeropuertos críticos de EE.UU., a los operadores de aviones de pasajeros y a los operadores de aviones de carga que designen coordinadores de ciberseguridad e informen de los incidentes cibernéticos a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras antes de finales de mes.

La agencia ampliará las entidades cubiertas gradualmente y considerará medidas adicionales con el tiempo, dijo Mayorkas.

"En conjunto, estos elementos: un encargado dedicado, la notificación de ciberincidentes y los planes de contingencia, representan el mínimo de las mejores prácticas de ciberseguridad actuales", añadió Mayorkas.

Además de las medidas inmediatas, la TSA está trabajando en un proceso de elaboración de normas a más largo plazo para "reforzar la ciberseguridad y la resiliencia en el sector del transporte", dijo, que incluirá las aportaciones del sector.

Padraic O'Reilly, cofundador de CyberSaint Security, declaró a CNN que para algunos sectores "las normas voluntarias no son suficientes", y señaló que las empresas dedican más recursos a la seguridad básica y a la protección de sus sistemas cuando así lo exige el Gobierno federal.

"Ahora estamos en medio de una vorágine", dijo sobre las amenazas a la ciberseguridad a las que se enfrentan las industrias críticas y la necesidad de protegerlas.

También el miércoles, la vicesecretaria de Justicia, Lisa Monaco, anunció que, por primera vez, el Departamento de Justicia planea imponer multas sustanciales a los contratistas del Gobierno o a las empresas que reciben fondos federales cuando no sigan las normas de ciberseguridad, como el requisito de informar sobre los ataques tipo  ransomware.

• Los senadores presentan un proyecto de ley cibernética para exigir la presentación de informes sobre ataques tipo ransomware y ataques a la infraestructura crítica

En el marco de esta nueva iniciativa, el Departamento de Justicia perseguirá a los contratistas que, a sabiendas, proporcionen productos o servicios de ciberseguridad deficientes, falseen a sabiendas sus prácticas o protocolos de ciberseguridad o incumplan a sabiendas sus obligaciones de supervisar e informar de los incidentes y violaciones de ciberseguridad.

"Cuando aquellos a los que se les confía el dinero del Gobierno, a los que se les confía que trabajen en sistemas gubernamentales sensibles, no sigan las normas de ciberseguridad requeridas, vamos a perseguir ese comportamiento y a imponerles multas muy, muy considerables", dijo Monaco.

-- Jessica Schneider, de CNN, contribuyó con este reportaje.