WASHINGTON – Los senadores John Cornyn (republicano de Texas) y Gary Peters (demócrata de Michigan) y los representantes Pat Fallon (Texas-04) y Ro Khanna (California-17) han presentado hoy su Ley de Seguridad del Equipo Federal Estadounidense (SAFE) en las Cadenas de Suministro, que protegería la ciberseguridad de Estados Unidos garantizando que el Departamento de Defensa no adquiera involuntariamente productos electrónicos falsificados o de vendedores no autorizados:

“A medida que el mundo depende cada vez más de la tecnología, debemos tomar medidas para defendernos de un posible ciberataque reforzando nuestras vulnerables cadenas de suministro nacionales”, dijo el Senador Cornyn. “Esta legislación impediría que el Departamento de Defensa comprara involuntariamente productos electrónicos falsificados para reforzar la seguridad nacional y garantizar la integridad de la infraestructura digital de nuestro ejército.”

“Asegurar las cadenas de suministro de tecnología de la información del Departamento de Defensa es un paso fundamental para protegerse contra las amenazas de ciberseguridad que ponen en peligro nuestra seguridad nacional”, dijo el Senador Peters. “Los adversarios de nuestra nación se centran cada vez más en las vulnerabilidades de todas las tecnologías, que pueden interrumpir las operaciones y robar datos confidenciales. Esta legislación bipartidista ayuda a reforzar nuestra defensa nacional garantizando que el Departamento de Defensa adquiere tecnologías fiables, como software y servicios de computación en la nube, de vendedores de confianza.”

“La proliferación de la inteligencia artificial ha permitido a los adversarios de EE.UU. llevar a cabo operaciones cibernéticas ofensivas con una velocidad y un impacto alarmantes, creando la posibilidad de un ataque devastador contra las redes más sensibles de nuestra nación”, dijo el diputado Fallon. “Simultáneamente, nuestros adversarios han estado atacando nuestros sistemas de hardware y software vendiendo al gobierno estadounidense productos falsificados a través de lo que se conoce como vendedores del ‘mercado gris’. Estos productos, aunque se comercializan como hardware auténtico, permiten a nuestros adversarios acceder a los sistemas del gobierno estadounidense, lo que facilita enormemente la realización de ciberataques posteriores. Esto es inaceptable”.

“Es vital que trabajemos para proteger los datos estadounidenses de la recopilación por parte de nuestros adversarios Rusia, China e Irán” , dijo el diputado Khanna. “Nuestro proyecto de ley exigirá al gobierno federal que adquiera hardware tecnológico exclusivamente de fuentes fiables, protegiendo el acceso a nuestra red de telecomunicaciones e impidiendo la explotación de datos estadounidenses.”

Antecedentes:

Debido al aumento de los ciberataques contra cadenas de suministro vulnerables y organismos federales, incluido el Departamento de Defensa (DoD), es vital que, al adquirir productos de tecnología de la información, el DoD sólo compre estos productos electrónicos a fabricantes de equipos originales (OEM) o a sus distribuidores autorizados. Según la Normativa Federal de Adquisiciones de Defensa (DFAR, por sus siglas en inglés), para que las empresas puedan contratar con el ejército de EE.UU., están obligadas a adquirir productos electrónicos únicamente a estos fabricantes de equipos originales o vendedores autorizados. Sin embargo, sigue habiendo muchos casos de empleados del gobierno federal que compran tecnología a vendedores del mercado gris y no a vendedores autorizados. Los vendedores del mercado gris pueden eludir las cadenas de suministro de confianza y proporcionar tecnología falsificada que podría dañar las redes de seguridad dentro del DoD. Estos dispositivos falsificados suelen ser antiguos y pueden contener componentes inseguros y poco fiables, que hacen que la tecnología funcione mal o falle por completo, provocando daños importantes en las redes y las operaciones.

La Ley para Asegurar el Equipamiento Federal Estadounidense (SAFE) en las Cadenas de Suministro :

• Prohibir al DoD utilizar un producto cubierto de una entidad que no sea un fabricante de equipos originales o un vendedor autorizado;
• Permitir que el Secretario de Defensa renuncie a la prohibición de un producto cubierto, previa notificación por escrito a las Comisiones de Defensa del Congreso, si éstas determinan que la renuncia es necesaria en interés de la seguridad nacional;
• Exigir una notificación por escrito sobre la justificación de las exenciones y las medidas de mitigación de la seguridad que se hayan aplicado, así como un plan de acción para evitar futuras exenciones en compras futuras similares; y
• Exigir al Departamento de Defensa que presente un informe al Congreso que enumere el número y los tipos de productos cubiertos para los que se concedió una exención y por qué.