Os mandatos de relatórios de segurança cibernética podem nos tornar mais vulneráveis, não menos

Em 17 de março, o presidente Biden sancionou a Lei de Fortalecimento da Segurança Cibernética Americana. A lei exige que as empresas dos 16 setores que compõem a infraestrutura crítica de nosso país (incluindo energia, hospitais, bancos e transporte) relatem toda e qualquer violação de segurança cibernética em 72 horas e qualquer pagamento de ransomware em 24 horas.

Os mandatos de relatórios têm sido debatidos por mais de uma década, mas a tríade de SolarWindsa série do ano passado de ataques de ransomware e o conflito Rússia-Ucrânia deu ao novo regime de segurança cibernética do governo e seus aliados no Congresso o capital político para finalmente forçá-los (e apressar) a lei.

Embora a intenção seja tornar a infraestrutura crítica mais resiliente a ataques cibernéticos, a lei é míope e pode ter impactos desastrosos no setor privado e no governo. A única coisa que fortalece é o desincentivo para as empresas realmente procurarem por violações.

A implicação de longo prazo é que isso tornará a segurança cibernética americana mais fraca. As boas notícias? A lei não entrará em vigor por pelo menos dois anos. O governo e a indústria precisam trabalhar juntos para definir as regras que realmente resolverão o problema.

Denúncias obrigatórias aumentam o risco para as vítimas

Aqueles que exigem relatórios obrigatórios têm a intenção correta, mas se não forem implementados da maneira correta, causarão mais danos do que benefícios.

Os relatórios obrigatórios quase sempre colocam as empresas em risco, seja legalmente ou por meio de penalidades financeiras. Penalizar uma organização por não relatar uma violação a pace a coloca em uma postura de segurança cibernética pior porque é um uniqueness incentivo para fechar os olhos aos ataques. Alternativamente, se uma empresa souber de uma violação, ela encontrará maneiras de “classificá-la” de uma maneira que caia em uma brecha de relatório.

Os prazos de denúncia na lei são arbitrários e não se baseiam na realidade da resposta efetiva a incidentes. As primeiras horas e dias após uma violação são parte integrante do processo actual de relatório de incidentes, mas são caóticas e as equipes são privadas de sono. Trabalhar com advogados para determinar como relatar e descobrir as evidências de que as empresas querem e não querem “ver” apenas torna o processo mais difícil.

Isso forçará as empresas a relatar uma violação antes mesmo de entendê-la completamente, o que pode levar a confusão, suposições erradas e notícias imprecisas sobre a violação que podem prejudicar uma empresa do ponto de vista de advertising ou avaliação.

Outra questão é que não há oferta de ajuda do governo, exceto a afirmação do diretor do FBI, Christopher Wray, em depoimento recente de que o Bureau teria um agente tecnicamente treinado na porta de uma empresa dentro de uma hora.

UMA relatório emitido pelo senador Rob Portman (R-OH) em 24 de março detalhou as experiências de empresas atacadas pelo grupo de ransomware REvil no ano passado. Citou o fato de que duas empresas relataram os ataques ao Governo Federal, mas receberam “pouca ajuda” para proteger seus dados e mitigar os danos. De acordo com o relatório, essas empresas “indicaram que não receberam conselhos sobre as melhores práticas para responder a um ataque de ransomware ou outras orientações úteis do Governo Federal”.

Os relatórios obrigatórios podem funcionar?

Embora a lei agora seja lei, a organização responsável por executá-la, a Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) do Departamento de Segurança Interna, tem dois anos para implementá-la completamente por meio de um processo de criação de regras.

Para que qualquer tipo de regime de relatórios realmente faça o que se pretende, ele precisa estar repleto de proteções para as empresas que o cumprem, protegendo-as da divulgação de informações, ações judiciais, ações governamentais negativas e muito mais. Mas, considerando quanta proteção uma empresa precisaria receber, isso pode ser repleto de abusos, e as empresas usarão isso para se esconder da culpa quando realmente fizeram as coisas erradas.

No ultimate, é melhor não exigir nenhum tipo de relatório obrigatório e, em vez disso, criar um regime que encoraje as empresas a relatar e as incentive com benefícios de relatórios, como assistência gratuita na resposta a incidentes e caça aos adversários para recuperar dados roubados, dinheiro e propriedade intelectual. Tal regime dependeria de fortes parcerias público-privadas.

Além disso, uma solução bem-sucedida precisa incluir uma atualização das leis atuais, como a Lei de Fraude e Abuso de Computadores de 36 anos. A lei foi alterada várias vezes ao longo dos anos, mais recentemente em 2008, mas o atual regime felony sobre ciberataques tem cerca de 25 anos, datando de uma época em que ninguém imaginava um mundo onde todos e tudo estivessem conectados.

Do jeito que está agora, a lei proíbe o acesso não autorizado a sistemas de computadores e deixa a resposta cibernética para o Governo Federal. No futuro, ele precisa incluir dar às empresas privadas um caminho para responder efetivamente a ataques cibernéticos por empresas privadas treinadas e licenciadas em parceria com o governo e as autoridades.

Estamos em uma guerra cibernética que nenhum país, governo ou organização privada pode vencer sozinho. Será necessário que todos trabalhem juntos para resolver o problema. Com tudo o que é necessário para ter sucesso aqui, estamos melhor sem relatórios obrigatórios. Precisamos trabalhar juntos para implementar um esquema de incentivos para incentivar a denúncia por meio de ofertas de resposta gratuita a incidentes, recuperação de dados perdidos e propriedade intelectual e o apoio a todas as organizações para colocar em prática a defesa em nível de estado-nação.

Max Kelly é fundador e CEO da Redigido.