.
no infinito lutam para melhorar a segurança cibernética e incentivar o investimento em defesas digitais, alguns especialistas têm uma sugestão controversa. Eles dizem que a única maneira de fazer as empresas levarem isso a sério é criar incentivos econômicos reais – tornando-as legalmente responsáveis se não tomarem medidas adequadas para proteger seus produtos e infraestrutura. A última coisa que alguém quer é mais responsabilidade, então a ideia nunca explodiu em popularidade, mas uma estratégia nacional de segurança cibernética da Casa Branca esta semana está dando ao conceito um impulso proeminente.
O documento há muito aguardado propõe proteções e regulamentos de segurança cibernética mais fortes para infraestrutura crítica, um programa expandido para interromper a atividade cibercriminosa e um foco na cooperação global. Muitas dessas prioridades são amplamente aceitas e baseiam-se em estratégias nacionais elaboradas por administrações americanas anteriores. Mas a estratégia de Biden expande significativamente a questão da responsabilidade.
“Devemos começar a transferir a responsabilidade para as entidades que falham em tomar precauções razoáveis para proteger seu software, reconhecendo que mesmo os programas de segurança de software mais avançados não podem evitar todas as vulnerabilidades”, diz. “As empresas que fabricam software devem ter a liberdade de inovar, mas também devem ser responsabilizadas quando não cumprem o dever de cuidado que devem aos consumidores, empresas ou provedores de infraestrutura crítica.”
Divulgar a estratégia é uma forma de deixar claras as prioridades da Casa Branca, mas não significa por si só que o Congresso aprovará legislação para promulgar políticas específicas. Com o lançamento do documento, o governo Biden parece focado em promover a discussão sobre como lidar melhor com a responsabilidade, bem como aumentar a conscientização sobre os riscos para os americanos individualmente.
“Hoje, nos setores público e privado, tendemos a delegar a responsabilidade pelo risco cibernético para baixo. Pedimos aos indivíduos, pequenas empresas e governos locais que assumam um fardo significativo para defender a todos nós. Isso não é apenas injusto, é ineficaz”, disse o diretor cibernético nacional em exercício, Kemba Walden, a repórteres na quinta-feira. “Os atores maiores, mais capazes e mais bem posicionados em nosso ecossistema digital podem e devem arcar com uma parcela maior do fardo de gerenciar o risco cibernético e manter todos nós seguros. Essa estratégia exige mais da indústria, mas também compromete mais do governo federal.”
Jen Easterly, diretora da Agência de Segurança Cibernética e Infraestrutura dos EUA, teve um sentimento semelhante para uma audiência na Carnegie Mellon University no início desta semana. “Muitas vezes culpamos uma empresa hoje que tem uma violação de segurança porque não corrigiu uma vulnerabilidade conhecida”, disse ela. “E o fabricante que produziu a tecnologia que exigia muitos patches em primeiro lugar?”
O objetivo de transferir a responsabilidade para as grandes empresas certamente iniciou uma conversa, mas todos os olhos estão voltados para a questão de saber se isso realmente resultará em mudança. Chris Wysopal, fundador e CTO da empresa de segurança de aplicativos Veracode, forneceu informações ao Gabinete do Diretor Cibernético Nacional para a estratégia da Casa Branca.
“A regulamentação nessa área será complicada e traiçoeira, mas pode ser poderosa se for feita de maneira adequada”, diz ele. A Wysopal compara o conceito de leis de responsabilidade de segurança com regulamentações ambientais. “Você não pode simplesmente poluir e ir embora; as empresas precisarão estar preparadas para limpar sua bagunça.”
.
