“Los grandes proveedores no van a tener 5.000 contratos diferentes con 5.000 clientes diferentes”, afirma. “En algunos casos, podemos presionar con las cláusulas del contrato y decir: ‘Nos enviarás un informe SOC 2 cada año y certificarás que tienes todos estos controles’. Y puede que firmen y digan que sí, pero no lo sabrás realmente. La diligencia debida tiene sus límites”.
Lo que ha hecho el incidente de CrowdStrike es poner de relieve la necesidad de una mejor asistencia gubernamental, afirma.
La Association for Computing Machinery afirma que ya existe una organización que parece estar en una posición única para llevar a cabo una investigación sobre el incidente y publicar los resultados: la Junta de Revisión de Seguridad Cibernética de la CISA. En su declaración, la ACM instó al gobierno de EE. UU. a proporcionar a la CSRB los recursos necesarios para llevar a cabo esta investigación. Eso habría estado bien, pero en su lugar, el Departamento de Seguridad Nacional la disolvió, alegando “mal uso de los recursos”. La Junta de Seguridad y Protección de la IA también fue disuelta. Esto es un problema particular porque, al igual que con CrowdStrike, existe una creciente dependencia de un pequeño número de proveedores. ChatGPT de OpenAI, Claude de Anthropic, Gemini de Google y Llama de Meta son la base de casi todas las aplicaciones empresariales de IA, dice Chuck Herrin, CISO de campo en la empresa de seguridad F5.
“Nuestra prisa por adoptar la IA sin la correspondiente inversión en seguridad y resiliencia sugiere que nos estamos exponiendo a fallos potencialmente catastróficos que podrían hacer que el incidente de CrowdStrike parezca menor en retrospectiva”, afirma. “El incidente de CrowdStrike requirió acceso físico a los sistemas afectados para su recuperación, pero las organizaciones están creando ahora dependencias de IA tan profundas que la intervención manual puede llegar a ser imposible”.
