Por dentro do plano para corrigir as intermináveis ​​falhas de segurança cibernética da América

“A boa notícia é que realmente sabemos como resolver esses problemas”, diz Glenn Gerstell. “Nós podemos consertar a segurança cibernética. Pode ser caro e difícil, mas sabemos como fazê-lo. Isso não é um problema de tecnologia.”

Outro grande ataque cibernético recente prova o ponto novamente: a SolarWinds, uma campanha de hackers russa contra o governo dos EUA e grandes empresas, poderia ter sido neutralizada se as vítimas tivessem seguido padrões conhecidos de segurança cibernética.

“Existe uma tendência a exaltar as capacidades dos hackers responsáveis ​​por grandes incidentes de segurança cibernética, praticamente ao nível de um desastre herbal ou outros chamados atos de Deus”, diz Wyden. “Isso convenientemente absolve as organizações hackeadas, seus líderes e agências governamentais de qualquer responsabilidade. Mas uma vez que os fatos são revelados, o público tem visto repetidamente que os hackers geralmente conseguem seu ponto de apoio inicial porque a organização não conseguiu acompanhar os patches ou configurar corretamente seus firewalls.”

Está claro para a Casa Branca que muitas empresas não investem e não investirão o suficiente em segurança cibernética por conta própria. Nos últimos seis meses, o governo promulgou novas regras de segurança cibernética para bancos, oleodutos, sistemas ferroviários, companhias aéreas e aeroportos. Biden assinou um contrato de segurança cibernética ordem executiva no ano passado para reforçar a segurança cibernética federal e impor padrões de segurança a qualquer empresa que faça vendas para o governo. Mudar o setor privado sempre foi a tarefa mais desafiadora e, sem dúvida, a mais importante. A grande maioria dos sistemas críticos de infraestrutura e tecnologia pertencem ao setor privado.

A maioria das novas regras correspondeu a requisitos muito básicos e um toque leve do governo – mas ainda assim elas receberam resistência das empresas. Mesmo assim, é claro que mais está por vir.

“Há três coisas importantes que são necessárias para corrigir o estado lamentável da segurança cibernética dos EUA”, diz Wyden. “Padrões mínimos obrigatórios de segurança cibernética aplicados pelos reguladores; auditorias obrigatórias de cibersegurança, realizadas por auditores independentes que não são escolhidos pelas empresas auditadas, com os resultados entregues aos reguladores; e multas altas, incluindo pena de prisão para executivos seniores, quando a falha na prática básica de higiene cibernética resulta em uma violação”.

O novo regulamento obrigatório de notificação de incidentes, que se tornou lei na terça-feira, é visto como um primeiro passo. A lei exige que as empresas privadas compartilhem rapidamente informações sobre ameaças compartilhadas que costumavam manter em segredo, embora essas informações exatas muitas vezes possam ajudar a construir uma defesa coletiva mais specialty.

Tentativas anteriores de regulamentação falharam, mas o mais recente esforço para uma nova lei de relatórios ganhou força devido ao apoio importante de gigantes corporativos como o CEO da Mandiant, Kevin Mandia, e o presidente da Microsoft, Brad Smith. É um sinal de que os líderes do setor privado agora veem a regulamentação como inevitável e, em áreas-chave, benéfica.

Inglis enfatiza que a elaboração e aplicação de novas regras exigirá estreita colaboração em todas as etapas entre o governo e as empresas privadas. E mesmo dentro do setor privado, há um consenso de que a mudança é necessária.

“Tentamos de forma puramente voluntária há muito pace”, diz Michael Daniel, que lidera a Cyber ​​Danger Alliance, uma coleção de empresas de tecnologia que compartilham informações sobre ameaças cibernéticas para formar uma defesa coletiva melhor. “Não está indo tão rápido ou tão bem quanto precisamos.”

A vista do outro lado do Atlântico

Da Casa Branca, Inglis argumenta que os Estados Unidos ficaram para trás de seus aliados. Ele aponta para o Nationwide CyberSecurity Heart (NCSC) do Reino Unido como uma agência governamental de segurança cibernética pioneira com a qual os EUA precisam aprender. Ciaran Martin, o CEO fundador do NCSC, vê a abordagem americana ao cibernético com espanto confuso.

“Se uma empresa de energia britânica tivesse feito com o governo britânico o que a Colonial fez com o governo dos EUA, teríamos arrancado tiras dela verbalmente no mais alto nível”, diz ele. “Ecu teria o primeiro-ministro ligando para o presidente para dizer: ‘Que porra você acha que está fazendo pagando um resgate e desligando este oleoduto sem nos dizer?’”