.
Getty Images
O governo Biden pressionou na quinta-feira para que novos regulamentos e responsabilidades obrigatórios sejam impostos aos fabricantes de software e provedores de serviços, em uma tentativa de transferir o fardo de defender o ciberespaço dos EUA para longe de pequenas organizações e indivíduos.
“Os atores mais capazes e mais bem posicionados no ciberespaço devem ser melhores administradores do ecossistema digital”, escreveram os funcionários do governo em um documento altamente esperado de uma Estratégia Nacional de Segurança Cibernética atualizada. “Hoje, os usuários finais carregam um fardo muito grande para mitigar os riscos cibernéticos. Indivíduos, pequenas empresas, governos estaduais e locais e operadores de infraestrutura têm recursos limitados e prioridades concorrentes, mas as escolhas desses atores podem ter um impacto significativo em nossa segurança cibernética nacional.”
Aumento de regulamentos e responsabilidades
O documento de 39 páginas citou ataques recentes de ransomware que interromperam hospitais, escolas, serviços governamentais, operações de oleodutos e outras infraestruturas críticas e serviços essenciais. Um dos ataques mais visíveis ocorreu em 2021 com um ataque de ransomware no oleoduto colonial, que fornece gasolina e combustível de aviação para grande parte do sudeste dos Estados Unidos. O ataque fechou o vasto oleoduto por vários dias, provocando escassez de combustível em alguns estados.
Na sequência desse ataque, a administração impôs novos regulamentos sobre os oleodutos de energia. O documento de estratégia de quinta-feira sinalizou que estruturas semelhantes provavelmente chegarão a outros setores.
“Nosso ambiente estratégico requer estruturas regulatórias modernas e ágeis para segurança cibernética adaptadas ao perfil de risco de cada setor, harmonizadas para reduzir a duplicação, complementares à colaboração público-privada e conscientes do custo de implementação”, afirma o documento. “Regulamentos novos e atualizados de segurança cibernética devem ser calibrados para atender às necessidades de segurança nacional e pública, além da segurança e proteção de indivíduos, entidades regulamentadas e seus funcionários, clientes, operações e dados.”
Outro foco importante da estratégia é favorecer investimentos de longo prazo, “encontrando um equilíbrio cuidadoso entre nos defendermos contra ameaças urgentes hoje e, simultaneamente, planejar estrategicamente e investir em um futuro resiliente.
Uma das iniciativas que provavelmente estará entre as mais controversas para a indústria de tecnologia é o esforço para responsabilizar as empresas por vulnerabilidades em seus softwares ou serviços. Sob as estruturas legais existentes, essas empresas geralmente enfrentam poucas ou nenhumas consequências legais quando seus produtos ou serviços são explorados, mesmo quando as vulnerabilidades resultam de configurações padrão inseguras ou pontos fracos conhecidos.
“Devemos começar a transferir a responsabilidade para as entidades que falham em tomar precauções razoáveis para proteger seu software, reconhecendo que mesmo os programas de segurança de software mais avançados não podem evitar todas as vulnerabilidades”, afirmou o documento. “As empresas que fabricam software devem ter a liberdade de inovar, mas também devem ser responsabilizadas quando não cumprirem o dever de cuidado que devem aos consumidores, empresas ou provedores de infraestrutura crítica.”
cinco pilares
O documento elenca cinco “pilares” para esses objetivos. Eles são:
1. Defendendo a infraestrutura crítica. Além de expandir os regulamentos em setores críticos, o plano prevê a colaboração público-privada na defesa de infraestrutura crítica e segurança pública e na defesa e modernização de redes federais e respostas a incidentes federais.
2. Interromper e desmantelar agentes de ameaças para atenuar sua ameaça à segurança nacional e à segurança pública. Os meios para alcançar isso incluem o emprego de “todas as ferramentas do poder nacional” para impedir os agentes de ameaças, envolvendo o setor privado para fazer o mesmo e abordando a ameaça de ransomware por meio de uma abordagem federal abrangente coordenada com parceiros internacionais.
3. Moldar as forças do mercado para aumentar a segurança e a resiliência. Isso inclui atribuir responsabilidade àqueles dentro do ecossistema digital na melhor posição para reduzir o risco. Este pilar enfatiza a promoção da privacidade e segurança de dados privados, transferindo a responsabilidade sobre software e serviços e garantindo que os programas de subsídios federais promovam investimentos em infraestrutura nova e mais segura.
4. Investir em um futuro resiliente por meio de “investimentos estratégicos e ação coordenada e colaborativa”. Isso incluiria a redução de vulnerabilidades em todo o ecossistema digital, tornando-o mais resiliente contra a repressão transnacional, priorizando a pesquisa e o desenvolvimento de segurança cibernética e criando uma força de trabalho nacional de segurança cibernética mais robusta.
5. Forjar parcerias internacionais para alcançar objetivos comuns. Alguns dos meios para atingir esse objetivo são implementar ou alavancar coalizões e parcerias internacionais para combater ameaças, aumentar as capacidades de defesa de segurança cibernética dos parceiros e trabalhar com aliados.
A última vez que um presidente apresentou um plano nacional de segurança cibernética foi em 2018 sob o presidente Donald Trump. Nos cinco anos desde então, os EUA experimentaram uma enxurrada de ataques cibernéticos prejudiciais. Além do pipeline colonial, eles incluem o ataque à cadeia de suprimentos Solar Winds que veio à tona em dezembro de 2020. Ao comprometer o sistema de distribuição de software da SolarWinds, os agentes de ameaças que trabalham em nome do Kremlin enviaram malware para cerca de 18.000 clientes que usaram o produto de gerenciamento de rede. Os hackers enviaram cargas úteis de acompanhamento para cerca de 10 agências federais dos EUA e cerca de 100 organizações privadas.
Os ataques de ransomware agora são mais comuns do que há cinco anos. Na estratégia, os funcionários do governo escreveram:
Dado o impacto do ransomware nos principais serviços de infraestrutura crítica, os Estados Unidos empregarão todos os elementos do poder nacional para combater a ameaça em quatro linhas de esforço: (1) alavancar a cooperação internacional para interromper o ecossistema do ransomware e isolar os países que fornecem refúgios seguros para criminosos ; (2) investigar crimes de ransomware e usar a aplicação da lei e outras autoridades para interromper a infraestrutura e os atores do ransomware; (3) reforçar a resiliência da infraestrutura crítica para resistir a ataques de ransomware; e (4) abordando o abuso de moeda virtual para lavagem de pagamentos de resgate.
O documento também reclassifica o ransomware como uma ameaça à segurança nacional, enquanto anteriormente era visto como uma ameaça criminosa.
O plano será coordenado pelo Conselho de Segurança Nacional, pelo Gabinete de Gestão e Orçamento da Casa Branca e pelo Gabinete do Diretor Nacional Cibernético. Esses órgãos fornecem relatórios anuais ao presidente e ao Congresso dos EUA para atualizar a implementação e eficácia do plano. Esses órgãos também darão orientações a cada ano às agências federais. A Casa Branca forneceu esta ficha informativa resumindo o plano.
.
