.
As organizações que vendem serviços de TI ao Tio Sam estão irritadas com as alterações propostas às regras de aquisição que exigiriam que permitissem às agências governamentais dos EUA acesso total aos seus sistemas no caso de um incidente de segurança.
As regras foram reveladas em um projeto de atualização do Regulamento de Aquisição Federal (FAR) que atualiza os padrões de relatórios de segurança para contratantes do governo, em linha com a ordem executiva de 2021 do presidente Biden sobre o tema.
Entre os potenciais requisitos de entrada estão:
- Os contratantes teriam apenas oito horas para relatar um incidente detectado à Agência de Segurança Cibernética e de Infraestrutura (CISA), que teria que ser atualizado a cada 72 horas a partir de então;
- Uma lista de materiais de software (SBOM) precisaria ser mantida;
- Após um incidente, os empreiteiros forneceriam “acesso total” aos sistemas de TI e ao pessoal da CISA e das agências federais de aplicação da lei.
As ideias acima – desenvolvidas pelo Departamento de Defesa (DoD), pela Administração de Serviços Gerais (GSA) e pela NASA – foram sugeridas à luz das muitas ameaças à segurança da informação que os EUA enfrentam.
“SolarWinds, Microsoft Exchange e o incidente do Colonial Pipeline são um lembrete preocupante de que as entidades dos setores público e privado dos EUA enfrentam cada vez mais atividades cibernéticas maliciosas sofisticadas, tanto de atores do Estado-nação quanto de criminosos cibernéticos”, diz a atualização das três agências.
As absurdas regras de relatórios de segurança da informação da Índia obtêm apenas 15 seguidores
CONSULTE MAIS INFORMAÇÃO
“Estes incidentes partilham pontos em comum, incluindo defesas de segurança cibernética insuficientes que deixam as entidades dos setores público e privado mais vulneráveis a incidentes”, acrescentou o trio. “Esta regra proposta sublinha que o cumprimento dos requisitos de partilha de informações e de notificação de incidentes é essencial para a elegibilidade e o pagamento ao abrigo de contratos governamentais.”
As mudanças propostas estão MUITO longe do que a indústria deseja
Embora se possa pensar que regras para melhorar a segurança governamental seriam bem-vindas, os entrevistados da indústria não estão satisfeitos.
Embora tenham sido propostos pela primeira vez em Outubro do ano passado, o período de comentários sobre os requisitos de reporte do FAR terminou após ter sido prorrogado por dois meses. Com mais de 80 respostas, é evidente que muitas partes interessadas queriam dar a sua opinião – e todas as disposições acima mencionadas foram questionadas.
O Conselho Consultivo de Provedores de Serviços de Nuvem (CSP-AB), que conta com várias grandes empresas de serviços de nuvem dos EUA entre seus membros, descreveu as novas regras como “onerosas… para empresas de tecnologia da informação que já atendem a altos padrões de segurança e conformidade em todo o governo federal”. Mercado.”
O CSP-AB ficou particularmente ofendido com os requisitos SBOM da atualização do FAR, argumentando que os provedores de serviços em nuvem não deveriam ser obrigados a enviá-los, uma vez que estão frequentemente sujeitos a alterações – às vezes “até centenas de vezes” por dia.
O Conselho da Indústria de Tecnologia da Informação (ITIC), que representa uma longa lista de pesos pesados, expressou insatisfação com as regras de relatórios propostas, descrevendo-as como acrescentando “outro tom de cor ao caleidoscópio de regimes de relatórios de incidentes” que estão sendo aprovados pelo governo federal dos EUA tarde.
O ITIC disse que o requisito de relatório de oito horas era “indevidamente oneroso e inconsistente” com outras regras de relatório, acrescentando que o período de atualização de 72 horas “não reflete a mudança de urgência ao longo de uma resposta a incidente”.
Até mesmo o bug bounty biz HackerOne opinou, argumentando, entre outras coisas, que a disposição que exige acesso aos sistemas do contratante pelas autoridades federais após um incidente de segurança “tem o potencial de expor dados e informações dos clientes não federais do contratante”.
“Os clientes não federais podem estar relutantes em continuar trabalhando com empreiteiros federais, potencialmente forçando os empreiteiros federais a escolher entre vender para clientes não federais ou para o governo”, alertou HackerOne.
As regras de relatórios são inúmeras e inconsistentes
Há espaço para debater algumas das reclamações levantadas pelos comentadores, mas uma coisa é certa: as regras de comunicação de incidentes cibernéticos do Tio Sam estão a aumentar em número – e cada conjunto de regulamentos é diferente.
A Comissão de Valores Mobiliários (SEC) implementou uma regra no verão passado exigindo que as vítimas reportassem ataques cibernéticos dentro de quatro dias, quando o incidente pudesse ter um impacto “material” nos negócios ou nos investidores. A Comissão Federal de Comércio (FTC) seguiu o exemplo no outono com a sua própria regra de comunicação de incidentes, dando às organizações financeiras não bancárias 30 dias para informar a comissão de uma invasão bem sucedida dos seus sistemas.
Volt Typhoon não é a única tripulação chinesa à espreita na energia dos EUA, redes críticas
CONSULTE MAIS INFORMAÇÃO
A CISA, entretanto, planeia seguir o exemplo com as suas próprias regras delineadas pela Lei de Relatórios de Incidentes Cibernéticos para Infraestruturas Críticas (CIRCIA), sancionada pelo Presidente Biden em março de 2022, com um prazo de dois anos para propor uma regra. Com vencimento no próximo mês, o CIRCIA dará às empresas em setores de infraestrutura crítica três dias para relatar um incidente.
Os representantes do Congresso manifestaram descontentamento com as regras de comunicação de informações da SEC e apresentaram um projeto de lei para eliminar a sua exigência de comunicação – citando um prazo demasiado curto e o facto de a comunicação de incidentes dever ser da competência da CISA. As atualizações propostas do FAR, conforme mencionado, duram apenas oito horas.
Todos estes vários requisitos de relatórios provavelmente levarão ao que o ITIC descreve como “desalinhamento” entre os requisitos de relatórios, com o conselho apelando ao “estabelecimento de um processo oficial de notificação de incidentes em todo o governo federal e sectores regulamentados”.
“Vários regimes de notificação de incidentes são candidatos potencialmente adequados”, escreveu o vice-presidente executivo de política do setor público do ITIC, Gordon Bitko, na submissão da organização, sugerindo regras estabelecidas pela CIRCIA e pela SEC como alternativas adequadas.
“A regra deve identificar uma agência coordenadora, de preferência CISA [which] deve ser o ponto focal para todos os relatórios e investigações subsequentes”, acrescentou Bitko, ecoando apelos de outros comentaristas e do representante Andrew Garbarino (R-NY), que apresentou um projeto de lei da Câmara para eliminar os requisitos de relatórios da SEC.
Pedimos comentários à NASA, ao GSA e ao DoD e não recebemos resposta no momento da publicação. ®
.
