.
O Departamento de Comércio pode ter um obstáculo legal com sua proposta de exigir que as empresas de nuvem verifiquem as identidades de seus clientes e relatem suas atividades. A regra pendente, parte de um esforço para reprimir o uso indevido de serviços de nuvem por hackers, atraiu críticas da indústria por suposto exagero. Um grande grupo comercial de tecnologia alertou o Departamento de Comércio que seus “regulamentos propostos correm o risco de exceder a autoridade de regulamentação concedida pelo Congresso”. (O Departamento de Comércio se recusou a comentar.)
Os processos judiciais também podem ter como alvo outras regulamentações — incluindo requisitos de relatórios de violação de dados da Comissão Federal de Comércio, da Comissão Federal de Comunicações e de reguladores financeiros — que se baseiam em leis escritas muito antes de os formuladores de políticas pensarem em segurança cibernética.
“Muitos dos desafios em que as agências vão ficar mais nervosas [are] quando eles interpretam algo há 20 anos ou interpretam algo que já tem 30 anos”, diz o advogado cibernético.
A Casa Branca já enfrentou um grande revés. Em outubro passado, a Agência de Proteção Ambiental retirou os requisitos cibernéticos para sistemas de água que grupos da indústria e estados liderados por republicanos haviam contestado no tribunal. Os oponentes disseram que a EPA havia excedido sua autoridade ao interpretar uma lei de 1974 para exigir que os estados adicionassem segurança cibernética às suas inspeções de instalações de água, uma estratégia que um alto funcionário cibernético da Casa Branca havia elogiado anteriormente como “uma abordagem criativa”.
Todos os olhos no Congresso
A iniciativa do governo de regulamentar o ciberespaço provavelmente acabará em um atoleiro judicial.
Juízes federais podem chegar a conclusões diferentes sobre os mesmos regulamentos, estabelecendo recursos para tribunais de circuito regionais que têm históricos muito diferentes. “O judiciário em si não é um monólito”, diz Geiger, do Center for Cybersecurity Policy and Law. Além disso, as agências entendem questões de tecnologia de ponta muito melhor do que os juízes, que podem ter dificuldade para analisar as complexidades dos regulamentos cibernéticos.
Segundo especialistas, há apenas uma solução real para esse problema: se o Congresso quiser que as agências possam exigir melhorias cibernéticas, ele terá que aprovar novas leis que as autorizem a fazer isso.
“Há agora uma responsabilidade maior sobre o Congresso para agir decisivamente para ajudar a garantir a proteção dos serviços essenciais dos quais a sociedade depende”, diz Geiger.
Clareza será a chave, diz Jamil Jaffer, diretor executivo do Instituto de Segurança Nacional da George Mason University e ex-escrivão do Juiz da Suprema Corte Neil Gorsuch. “Quanto mais específico o Congresso for, mais provável que um tribunal o veja da mesma forma que uma agência o vê.”
O Congresso raramente aprova grandes legislações, especialmente com novos poderes regulatórios, mas a segurança cibernética tem sido consistentemente uma exceção.
“O Congresso move-se muito, muito lentamente, mas não é completamente passivo [on] essa frente”, diz Lilley. “Há uma possibilidade de que você veja uma legislação cibernética significativa em setores específicos se os reguladores não forem capazes de seguir adiante.”
Uma questão importante é se esse progresso continuará se os republicanos tomarem o controle unificado do governo nas eleições de novembro. Lilley está otimista, apontando para a invocação da plataforma do GOP de garantir infraestrutura crítica com padrões elevados como “uma prioridade nacional”.
“Há uma sensação em ambos os lados do corredor neste momento de que, certamente em alguns setores, houve alguma medida de falha de mercado”, diz Lilley, “e que alguma medida de ação governamental será apropriada”.
Independentemente de quem controlará o Capitólio em janeiro, a Suprema Corte acaba de dar aos legisladores uma enorme responsabilidade na luta contra os hackers.
“Não vai ser fácil”, diz Geiger, “mas é hora do Congresso agir”.
.
