Por Peter Jacobsen. El artículo Cómo contribuyó la normativa al fiasco de CrowdStrike fue publicado originalmente por FEE.
El 19 de julio, algo peculiar golpeó a trabajadores y consumidores de todo el mundo. Un apagón informático mundial paralizó repentinamente muchas industrias. Los empleados de aeropuertos, instituciones financieras y otras empresas se presentaron a trabajar sólo para descubrir que no tenían acceso a los sistemas de la empresa. Las consecuencias del apagón fueron enormes. Los expertos calculan que los costes directos para las empresas ascendieron a 5.000 millones de dólares.
La empresa responsable, CrowdStrike, también se vio gravemente afectada. Los accionistas perdieron unos 25.000 millones de dólares de valor, y algunos han demandado a la empresa. El apagón ha generado expectativas y peticiones de una normativa más estricta en el sector.
Pero, ¿cómo es posible que la metedura de pata de una empresa haya provocado un apagón tan masivo? Resulta que la supuesta solución de la «regulación» puede haber sido una de las principales culpables.
Cumplimiento normativo
CrowdStrike, irónicamente, es una empresa de ciberseguridad. En teoría, protegen las redes empresariales y proporcionan «seguridad en la nube» para sistemas de computación en la nube en línea.
La seguridad en la nube, en sí misma, es probablemente un servicio que las empresas demandarían en el mercado, pero el beneficio de una mayor seguridad no es la única razón por la que las empresas acuden a CrowdStrike. En su propio sitio web, la empresa presume de una de sus características más importantes: el cumplimiento normativo.
Como señala el sitio web, muchos países cuentan con una amplia normativa para las empresas que almacenan datos de consumidores. En la UE, por ejemplo, existe el Reglamento General de Protección de Datos (RGPD). El GDPR «impone medidas estrictas de seguridad de los datos» y se extiende a las empresas de fuera de la UE porque
se aplica a cualquier organización que procese o almacene datos personales sobre residentes del EEE, independientemente de la ubicación de la organización. Las sanciones por incumplimiento son significativas, con multas de hasta 20 millones de euros o el 4% de la facturación global anual, la cantidad que sea mayor.
El impacto de la regulación
Este tipo de normativa también existe en Estados Unidos. Connor Harris, miembro adjunto del Manhattan Institute, detalla ampliamente el impacto de la normativa en la interrupción de CrowdStrike. Destaca que la Orden Ejecutiva 14028 obliga a las agencias federales a utilizar el tipo de software que ofrece CrowdStrike. Pero eso no es todo. Como observa Harris:
Existen cuestiones normativas similares en muchas industrias privadas: por ejemplo, el Centro Federal de Examen de Instituciones Financieras, una agencia federal de Estados Unidos que regula los bancos, tiene una Herramienta de Evaluación de Ciberseguridad que detalla las expectativas de ciberseguridad, incluidas varias disposiciones que requieren una supervisión similar a EDR. Aunque el cumplimiento de la Herramienta de Evaluación de la Ciberseguridad es nominalmente voluntario, los auditores federales exigen cada vez más su cumplimiento.
Las normas antimonopolio también pueden estar influyendo en esta debacle. Craig Hale, redactor de Techradar, ha señalado que un portavoz de Microsoft ha argumentado que una decisión de 2009 de la Comisión Europea podría tener parte de culpa. En 2009, Microsoft intentó limitar hasta qué punto los sistemas de seguridad de terceros podían realizar determinadas funciones.
En aquel momento, muchos reguladores argumentaron que la limitación del acceso de Windows a terceras empresas era contraria a la competencia. La presión resultante hizo que Microsoft cediera, a pesar de que estas limitaciones habrían evitado un apagón de este tipo.
Captura normativa
Pero la perspicacia de Connor Harris no se queda ahí. Harris señala que los reguladores pueden tener preferencia por los líderes del sector en materia de ciberseguridad en lugar de por empresas nuevas y advenedizas. En sus palabras, «incluso las organizaciones dispuestas a crear plataformas de ciberseguridad a medida pueden encontrarse con que los auditores no cooperan: el camino de menor resistencia es utilizar lo que esperan ver».
Harris se basa en una idea formulada por el ingeniero de software Mark Atwood en Twitter, quien sostiene que puede tratarse de un caso de captura reglamentaria.
Pero, ¿qué es la captura reglamentaria? La teoría de la captura normativa ha tenido muchos colaboradores, pero muchos citan al Premio Nobel de Economía George Stigler como principal exponente de la idea.
La mayoría de las normativas requieren una cierta pericia técnica para su elaboración. Los políticos y los burócratas aún más técnicos se ven obligados a recurrir a expertos externos para redactar normativas relacionadas con campos complejos.
El problema es que los principales expertos en un campo suelen ser miembros del propio campo. Así que si, por ejemplo, el Congreso quisiera redactar una ley de ciberseguridad, es posible que tuviera que apoyarse en las relaciones con personas de empresas establecidas como CrowdStrike.
Cuando se recurre a expertos que tienen relaciones con empresas para que ayuden a redactar normativas, es posible que lo hagan de forma favorable a los que están dentro de la industria y no a los de fuera. Así, la regulación es «capturada» por los sujetos de la regulación.
El dominio de CrowdStrike
No podemos decir con certeza que esta interrupción en particular sea el resultado de una captura intencionada de la regulación por parte de CrowdStrike, pero parece claro que el dominio de CrowdStrike es, al menos en parte, el resultado del entorno normativo y, como la mayoría de las grandes empresas tecnológicas, no temen gastar dinero en grupos de presión.
En cualquier caso, sin una normativa engorrosa, es poco probable que la ciberseguridad adoptara una forma tan centralizada. A pesar de ello, como suele ocurrir, los problemas causados por la regulación suelen dar lugar a más peticiones de regulación. Como señaló el economista Ludwig von Mises
La opinión popular atribuye todos estos males al sistema capitalista. Como remedio a los efectos indeseables del intervencionismo, piden aún más intervencionismo. Culpan al capitalismo de los efectos de las acciones de los gobiernos que siguen una política anticapitalista.
Así que, a pesar de la llamada reflexiva a la regulación que se produce después de cualquier catástrofe, quizá la mejor manera de evitar problemas como éste sería argumentar que, en términos de regulación, menos es más.
Ver también
Nodos domésticos: Tecnología anti frágil para nuestra libertad. (Fernando Parrilla).
Aún no hay comentarios, ¡añada su voz abajo!