.
A Equipe Regional de Resposta a Emergências de Computadores da Asean (CERT) foi formalmente estabelecida, operando como um centro virtual composto por analistas e respondentes de incidentes de todos os estados membros. Ele deve desempenhar um papel fundamental no fortalecimento da resiliência cibernética da região em meio a um cenário de ameaças cada vez mais complexo.
Aprofundaria a colaboração entre CERTs entre os estados membros da Asean e impulsionaria a postura de segurança cibernética da região, disse a ministra de Comunicações e Informação Josephine Teo, que falava na conferência ministerial da Asean realizada quinta-feira em Cingapura.
Observando que a região já havia realizado exercícios anuais de incidentes de CERT desde 2006 para aumentar a prontidão dos CERTs nos países individuais, Teo disse que a criação do Asean CERT foi um passo importante na construção da resiliência cibernética regional.
Atualmente, existem 10 estados membros da Asean, incluindo Cingapura, Indonésia, Tailândia, Malásia e Filipinas. Em setembro de 2018, a região concordou com a necessidade de uma estrutura formal para coordenar os esforços de segurança cibernética, delineando questões de diplomacia cibernética, políticas e operacionais.
Analistas e respondentes de incidentes no CERT regional garantiriam a troca de informações em tempo hábil quando um incidente de segurança cibernética, como um ataque à cadeia de suprimentos, ocorresse em qualquer estado membro.
O CERT realizou oito funções, incluindo facilitar a coordenação e compartilhamento de informações entre CERTs nacionais e desenvolver parcerias com atores da indústria e academia. Isso serviu para aumentar a prontidão operacional da Asean para lidar com o cenário cibernético em mudança por meio de uma coordenação regional mais forte de resposta a incidentes e colaboração na proteção da infraestrutura de informações críticas (CII). Este último incluiria CII transfronteiriça, como aviação, marítima e bancária e financeira.
“Os analistas regionais do CERT compartilhariam rapidamente informações de seus próprios países e desenvolveriam em conjunto recomendações quando necessário”, disse Teo. “Estamos tecendo uma rede mais apertada que, esperamos, ajudará a impedir que os ciberataques passem com muita facilidade”.
Ela disse que o CERT regional agora precisaria ser operacionalizado, acrescentando que Cingapura havia distribuído uma estrutura operacional preliminar e estava recebendo feedback dos estados membros.
Este documento detalhou a finalidade, escopo, funções, mecanismo, bem como composição e parceiros do CERT Regional da Asean. O mecanismo deve ser estabelecido até 2024, após a estrutura operacional e o modelo de financiamento terem sido acordados pelos Estados membros.
Para que o Asean CERT seja eficaz, todos os estados membros teriam que estar a bordo e compartilhar informações livremente, disse Alex Lei, vice-presidente sênior da ProofPoint para a Ásia-Pacífico Japão.
Embora ainda seja cedo para avaliar sua eficácia, estabelecer um CERT transnacional foi um passo positivo, disse Lei em entrevista ao Strong The One nos bastidores da conferência, realizada em conjunto com a Semana Cibernética Internacional de Cingapura.
Ele observou que o cenário competitivo no ciberespaço era “desequilibrado”, com os “defensores”, como organizações e nações, muitas vezes trabalhando em silos, enquanto os invasores operavam em um mercado onde não havia divisões nacionais. Os ataques de ransomware também foram oferecidos como serviço e as ferramentas de hacking foram vendidas livremente, disse ele, com os hackers trabalhando juntos.
Os defensores, por outro lado, estavam preocupados com seus dados proprietários, acrescentou, mas observou que isso estava começando a mudar com mais disposição agora para trocar informações sobre ameaças.
“Então, para o Asean CERT funcionar… a livre troca de ideias e informações é importante ou você perderá a vantagem do que está vendo. [in the threat landscape],” ele disse.
Teo também apontou para a necessidade de implementar “regras, normas e princípios” de comportamento estatal responsável no ciberespaço. A Asean, disse ela, continua sendo o primeiro e único grupo regional a ter subscrito, em princípio, as 11 normas voluntárias e não vinculativas de comportamento estatal responsável no uso das TICs.
“Todos nós da Asean apreciamos a importância de um ciberespaço aberto, seguro, estável e interoperável, baseado na confiança mútua”, disse ela. “Desenvolver as ‘regras do caminho’ para o ciberespaço requer um esforço deliberado e consistente. Precisamos implementar ativamente as 11 normas voluntárias e não vinculativas.”
Ela observou que um plano de ação para colocar esses princípios em prática foi endossado no ano passado, descrevendo medidas concretas que os membros da Asean poderiam tomar, bem como áreas específicas nas quais poderiam se concentrar para impulsionar a capacitação.
Importância da clareza, prontidão na resposta a incidentes
Detalhar as etapas claras a serem tomadas foi especialmente importante para orientar melhor as empresas na mitigação de riscos e incidentes de segurança, disse o CTO da Imperva, Kunal Anand, em entrevista ao Strong The One.
Ele observou que as empresas ficaram sobrecarregadas com a enxurrada de ferramentas, conceitos e estruturas lançadas por fornecedores de segurança. Os participantes do mercado também estavam divulgando mensagens diferentes sobre maneiras de lidar com os riscos de segurança, tornando ainda mais confuso para as organizações, disse Anand.
Pode ser difícil para as empresas realmente entender seus riscos, saber em que investir e quem contratar, disse ele, observando que isso deve ser abordado fornecendo às empresas manuais que oferecem medidas claras a serem seguidas para se proteger.
Apontando para o guia da cadeia de suprimentos CII de Cingapura, ele observou que o documento atualmente não era prescritivo e oferecia pouco como um manual construtivo para as empresas implementarem caso sofressem um ataque à cadeia de suprimentos.
Lançado pela Agência de Segurança Cibernética (CSA), o Documento do Programa da Cadeia de Suprimentos da CII visava mitigar os riscos da cadeia de suprimentos por meio de cinco áreas principais, incluindo um kit de ferramentas para os proprietários de CII identificar e classificar os riscos da cadeia de suprimentos.
Se houvesse outro Log4j, por exemplo, os operadores de CII precisavam saber como responder a uma vulnerabilidade da cadeia de suprimentos, as etapas a serem seguidas e como deveriam se comunicar e conversar sobre isso com seu ecossistema, disse Anand.
O documento, em vez disso, adotou uma visão de alto nível e não entrou em detalhes sobre as etapas concretas que as empresas devem adotar para mitigar e abordar os riscos da cadeia de suprimentos. Ele também apontou para a necessidade de conectar riscos de segurança cibernética com riscos financeiros. “Precisamos ser mais prescritivos para que as empresas saibam por onde começar e o que fazer”, disse ele, acrescentando que Cingapura poderia codificar princípios e ações fundamentais nesses manuais.
Dito isso, ele observou que o país asiático estava entre os mais avançados na preparação de segurança cibernética, com a CSA aproveitando muitas garantias e diretrizes, como o documento da cadeia de suprimentos para apoiar a indústria local.
O chefe geek da SolarWinds, Sascha Giese, também destacou a necessidade de as empresas saberem exatamente o que fazer em caso de violação.
Questionado sobre as lacunas que precisavam ser tapadas. Giese disse que as empresas ainda carecem de preparação para os piores cenários, com seus funcionários insuficientemente treinados sobre o que devem fazer no caso de uma violação.
A execução de simulações de resposta a incidentes, por exemplo, permitiria que as organizações ajustassem as políticas e as etapas que seus funcionários deveriam tomar, incluindo declarações públicas que a empresa deveria fazer quando ocorresse uma violação.
“Preparação é tudo. Você não coloca um extintor de incêndio na porta apenas quando começa um incêndio”, disse ele. “Isso é o que ainda falta até nas grandes empresas de hoje.”
COBERTURA RELACIONADA
.
