.
Análise Os provedores de tecnologia podem esperar mais regulamentações, enquanto os criminosos cibernéticos podem procurar a aplicação da lei dos EUA para intensificar seus esforços para interromper gangues de ransomware e outras atividades ilícitas, de acordo com o plano de segurança de computadores do governo Biden anunciado na quinta-feira.
A tão esperada Estratégia Nacional de Segurança Cibernética exige a adoção de padrões mínimos de segurança para proprietários e operadores de infraestrutura crítica e responsabiliza as empresas de software por falhas de segurança em seus produtos. Ele também diz que os EUA planejam usar “todos os instrumentos do poder nacional para interromper e desmantelar os atores de ameaças” que ameaçam os EUA e a segurança pública.
O plano [PDF] é construído em torno de cinco “pilares”, o primeiro dos quais é focado na defesa da infra-estrutura crítica dos EUA, que é principalmente de propriedade comercial. Isso inclui a aplicação de requisitos mínimos de segurança cibernética em setores críticos e a melhoria da colaboração público-privada em torno de ameaças e defesas.
Ele também pede ao governo federal que modernize suas próprias redes e atualize sua política de resposta a incidentes para servir como exemplo de melhores práticas para empresas do setor privado.
“Ao tornar suas próprias redes mais defensáveis e resilientes, o Governo Federal será um modelo para a emulação do setor privado”, diz a estratégia.
Espera-se que isso acelere algumas das melhores práticas exigidas no mandato anterior de Biden ordem executiva de segurança cibernética de maio de 2021, disse o vice-presidente de privacidade e segurança cibernética da CrowdStrike, Drew Bagley Strong The One.
“Quando voltamos à Ordem Executiva 14028, vemos o pedido do presidente para a implementação de detecção e resposta de endpoint, caça a ameaças, gerenciamento de log centralizado, resposta coordenada a incidentes e arquitetura de confiança zero”, disse ele.
Bagley disse que a nova estratégia sinaliza a intenção do governo de adotar um “esforço unificado” para implementar esses controles e arquiteturas de segurança, em vez de uma abordagem agência por agência.
E isso também afetará as organizações do setor privado, acrescentou.
“A Estratégia Nacional de Segurança Cibernética exige a modernização da TI. Especificamente, a estratégia observou todas as vulnerabilidades inerentes em muitos softwares legados onipresentes dos quais o governo federal depende”, disse Bagley.
“E assim o governo federal tem a oportunidade de modernizar sua TI e mostrar o que é um novo padrão de razoabilidade e o que é uma boa segurança cibernética.”
Transferir a responsabilidade para os fornecedores de software
Outro pilar do plano exige que os fornecedores de software e empresas de tecnologia sejam responsáveis pelos produtos que vendem e pelas práticas de privacidade de dados que empregam. Especificamente, diz que o governo trabalhará com o Congresso e o setor privado para desenvolver uma legislação que responsabilize os fornecedores de software por falhas de segurança em seus produtos e serviços.
A chefe da CISA, Jen Easterly, foi apenas fazendo esse ponto esta semana, se isso soa familiar.
Transferir a responsabilidade para os fornecedores de software e para longe dos usuários finais é um exemplo que mostra que “essa estratégia realmente tem substância”, disse o ex-chefe cibernético da Casa Branca Michael Daniel Strong The One.
“Que outro produto em nossa sociedade o fabricante dele não assume nenhuma responsabilidade por como ele opera ou por problemas com ele? E você nem consegue comprá-lo – você licencia o software”, Daniel, que agora é CEO da Cyber Threat Aliança, acrescentou. “Então isso é importante.”
Isso também ajuda as empresas, exigindo essencialmente que os fornecedores de software enviem produtos mais seguros, de acordo com Tom Kellermann, vice-presidente sênior de estratégia cibernética da Contrast Security.
“Enquanto as infraestruturas críticas finalmente terão que cumprir os requisitos mínimos de segurança cibernética, as empresas tradicionais se beneficiarão mais dos esforços do governo para proteger a cadeia de suprimentos de software”, disse ele. Strong The One.
“Para uma perspectiva, 77 CVEs são descobertos todos os dias e o aplicativo médio tem 25 vulnerabilidades”, acrescentou Kellermann. “Esses números vão diminuir. Espero que o Congresso se envolva e estabeleça um crédito fiscal para investimentos em segurança cibernética.”
(Se você está se perguntando onde o código-fonte aberto se encaixa nessa abordagem planejada de responsabilidade, a estratégia diz o seguinte: “A responsabilidade deve ser colocada nas partes interessadas mais capazes de tomar medidas para evitar resultados ruins, não nos usuários finais que muitas vezes arcam com as consequências de software inseguro nem no desenvolvedor de código aberto de um componente integrado a um produto comercial.”)
Impulsionar uma lei federal de privacidade de dados?
Este pilar de responsabilidade também diz que “proteger dados pessoais é um aspecto fundamental para proteger a privacidade do consumidor”.
“Isso é bastante significativo porque está ocorrendo logo após o discurso do Estado da União, onde o presidente pediu legislação federal de privacidade”, opinou Bagley.
A estratégia de segurança cibernética chama a China de “ameaça mais ampla, mais ativa e mais persistente às redes do governo e do setor privado” e também aponta Rússia, Irã e Coréia do Norte como estados cujas atividades cibernéticas representam um risco à segurança nacional dos Estados Unidos.
E durante uma ligação com repórteres sobre a Estratégia Nacional de Segurança Cibernética, Anne Neuberger, vice-conselheira de segurança nacional para tecnologias cibernéticas e emergentes, observou que o governo agora ransomware rotulado “uma ameaça à segurança nacional em vez de apenas um desafio criminal.”
Outros pilares da estratégia exortam os EUA a “usar todos os instrumentos do poder nacional para interromper e desmantelar os atores das ameaças” e aumentar a cooperação com parceiros internacionais sobre ameaças cibernéticas, entre outras coisas.
Colocando agentes de ransomware em alerta
Isso sinaliza que os EUA pretendem atacar os criminosos cibernéticos e “aponta para a necessidade de aumentar a cadência das operações de interrupção contra o bandido”, disse Daniel.
Ele espera que isso inclua operações mais importantes, como o Remoção de gangue de ransomware Hive mês passado. “E algumas dessas atividades nunca serão vistas porque acontecerão discretamente nos bastidores”, disse Daniel. “Você quer que eles estejam acontecendo com frequência.”
Isso também representa uma área para mais colaboração entre os setores público e privado, acrescentou Daniel.
E mais do que ter dentes, isso mostra que a estratégia “tem presas”, disse Kellermann.
“A NSA e o FBI vão agora interromper e degradar os fóruns e o C2 dos cartéis do crime cibernético”, disse ele. “Isso forçará o adversário a jogar na defesa pela primeira vez. Através do SIGNET e de ataques cibernéticos proporcionais, os espiões cibernéticos da Rússia e da China serão confrontados. Um acerto de contas começou.” ®
.
