A Casa Branca divulgou na quinta-feira seu tão esperado Estratégia Nacional de Cibersegurança. A nova política federal atribui grande parte da responsabilidade de segurança digital a empresas de tecnologia, em vez de regulamentações federais.
O documento de política exige mais mandatos para as empresas que controlam a maior parte da infraestrutura digital do país. Também prega um papel ampliado do governo para interromper hackers e entidades patrocinadas pelo estado.
Mas essa estratégia cria um roteiro de segurança cibernética para novas leis e regulamentos nos próximos anos, com o objetivo de ajudar os EUA a se preparar e lutar contra ameaças cibernéticas emergentes. Ele define o ritmo para as ações do governo no longo prazo que irão:
- Explorar um backstop de seguro nacional no caso de um ataque cibernético catastrófico para complementar o mercado de seguro cibernético existente;
- Foco na defesa da infraestrutura crítica, expandindo os requisitos mínimos de segurança em setores específicos e simplificando as regulamentações;
- Trate o ransomware como uma ameaça à segurança nacional, não apenas como uma questão criminal.
Isso desencadeia uma mudança direcional fundamental na visão de segurança cibernética do governo. A mudança de foco reflete como os Estados Unidos alocam funções, responsabilidades e recursos no ciberespaço.
Também reequilibra a responsabilidade de defender o ciberespaço, transferindo o fardo da segurança cibernética para longe de indivíduos, pequenas empresas e governos locais. Em vez disso, o ônus recai sobre as organizações mais capazes e bem posicionadas para reduzir os riscos para todos nós, de acordo com as declarações de política.
“A Estratégia reconhece que o governo deve usar todas as ferramentas do poder nacional de maneira coordenada para proteger nossa segurança nacional, segurança pública e prosperidade econômica”, disse a Casa Branca em seu anúncio.
A Nova Abordagem
A estratégia Biden-Harris busca construir e aprimorar a colaboração em torno de cinco pilares:
- Defender a infraestrutura crítica;
- Interromper e desmantelar os agentes de ameaças;
- Forme as forças do mercado para impulsionar a segurança e a resiliência;
- Investir em um futuro resiliente por meio de investimentos estratégicos e ação coordenada e colaborativa para liderar o mundo na inovação de tecnologias e infraestrutura seguras e resilientes de próxima geração;
- Forme parcerias internacionais para buscar objetivos compartilhados
Com esses padrões em vigor, os novos aliados e parceiros globais tornarão o ecossistema digital dos Estados Unidos defensável, resiliente e alinhado com os valores, de acordo com a declaração de política.
Requisitos federais de segurança cibernética, aplicação
O governo federal está se comprometendo de forma visível e significativa em expandir os requisitos mínimos obrigatórios de segurança cibernética em setores críticos, oferecidos CyberSheathName CEO Eric Noonan.
Ele acrescentou que este é um reconhecimento revigorante do papel do governo federal e um abandono completo da estratégia original de 2003, que afirmava que a regulamentação federal não seria o principal meio de proteger o ciberespaço.
“Pode ter levado 20 anos, mas o governo federal agora está dizendo a parte silenciosa em voz alta. A falta de mínimos obrigatórios de segurança cibernética falhou e os mandatos regulatórios estão chegando, então coloque sua casa em ordem”, disse Noonan ao TechNewsWorld.
ANÚNCIO
A estratégia também deixa claro que onde o governo não tem autoridade para impor padrões mínimos, o governo trabalhará com o Congresso para fechar essas lacunas e regulamentar o que não é regulamentado, observou ele.
Noonan previu que uma mudança radical está chegando em nossa capacidade de detectar e se defender contra ameaças cibernéticas. Mas isso só acontece se agências como DOD, SEC, FCC e o restante do governo federal usarem todo o peso de seus poderes regulatórios para estabelecer e aplicar mínimos obrigatórios de segurança cibernética em seus respectivos contratados e fornecedores.
“Essa é a coisa mais impactante que o governo federal pode fazer pela defesa cibernética de nosso país, e essa estratégia faz isso”, disse ele.
Apoio positivo da UE
Martin Riley, diretor de serviços gerenciados de segurança da empresa cibernética Brideweltem o prazer de ver a mudança de atitude dos Estados Unidos em relação à segurança cibernética.
“É ótimo ver essas medidas entrando em vigor. Nós, na Europa, nos encontramos em uma posição de liderança em muitas dessas áreas, com regulamentações como NIS e GDPR conduzindo a agenda há anos”, disse Riley ao TechNewsWorld.
Isso coloca a União Europeia em uma ótima posição para ajudar seus aliados dos EUA e liderá-los no objetivo da resiliência cibernética, acrescentou. “Estou ansioso para investigar os detalhes para ver os incentivos que o governo dos EUA aplicará para que essas práticas sejam adotadas igualmente em todos os estados e setores relevantes”.
Empregar tecnologia atualizada é crucial
O relatório enfatiza a modernização da segurança federal. Uma parte crucial disso deve ser acelerar a capacidade do governo de incorporar tecnologias de segurança modernas e de próxima geração, aconselhou Marcus Fowler, CEO da Dark Trace Federal.
“As agências governamentais devem ser capazes de testar tecnologias com eficiência em ambientes dinâmicos que reflitam, tanto em escala quanto em complexidade, o ambiente que se espera que defendam”, disse Fowler ao TechNewsWorld.
Ele disse que as autoridades americanas também se beneficiariam ao mover soluções de segurança validadas para a linha de frente e acelerar os cronogramas de auditoria obrigatória. Em última análise, quando o governo federal obtém acesso a soluções de segurança avançadas mais rapidamente, pode forçar os invasores a se adaptarem rapidamente para tentar manter o ritmo.
“É positivo ver que a nova estratégia enfatiza a importância de exigir ‘segurança por design’, bem como o foco em tecnologias robustas e na criação de uma força de trabalho cibernética melhor”, disse Fowler.
Elemento crítico de tecnologia
A tecnologia também será fundamental para melhorar a velocidade e a escala do compartilhamento de inteligência contra ameaças, conforme o relatório exige. A inteligência de ameaças é vital, mas o cenário de ameaças é vasto e crescente.
“As organizações precisam de tecnologia que atravesse a inteligência e identifique como uma vulnerabilidade específica afeta seu ambiente exclusivo. Eles precisam dessa informação rapidamente”, recomendou Fowler.
Destilar essas informações e traduzi-las em uma estratégia baseada no risco organizacional sob medida é um trabalho para a tecnologia. Não podemos mais colocar o ônus nos humanos porque eles precisam ser liberados para estratégia e remediação, disse ele.
ANÚNCIO
O futuro é onde uma abordagem híbrida de IA humana para o ciberespaço é essencial. A busca é encontrar uma força de trabalho cibernética mais forte, mais robusta e mais capacitada, observou Fowler.
“Isso deve ser executado com programas inovadores e acessíveis que estejam crescendo e investindo na próxima geração de profissionais de segurança e ampliando-os para obter mais rapidez e aumentar a eficiência da carga de trabalho e acelerar os tempos de resposta”, disse ele.
Treinamento Contínuo, Prontidão Necessária
Os novos esforços de segurança cibernética do governo, infelizmente, não movem a agulha sobre o que precisa ser feito para fortalecer a força de trabalho de segurança que temos hoje, alertou Debbie Gordon, fundadora e CEO da Faixa de Nuvensuma empresa de treinamento de simulação de ataque cibernético OT/ICS.
“Em qualquer tipo de campo de segurança de vida – e é exatamente isso que a segurança cibernética da infraestrutura crítica representa – a necessidade de treinamento e prontidão contínuos é integral”, disse Gordon ao TechNewsWorld.
O cenário de ameaças cibernéticas muda diariamente, com setores de infraestrutura crítica sendo os alvos das ameaças persistentes avançadas (APTs) mais avançadas apoiadas por estados-nação. Não podemos depender de um certificado de treinamento anual para ter certeza de que nossa infraestrutura está protegida, ela aconselhou.
“Os requisitos de treinamento contínuo que podem ser medidos em relação às estruturas padrão do setor para validar sua eficácia podem não apenas ajudar as organizações a garantir que tenham as pessoas certas com as habilidades certas para prevenir e responder a ataques no local. Eles também podem fornecer aos profissionais de segurança cibernética um caminho claro para expandir suas carreiras com as habilidades cibernéticas exclusivas da segurança cibernética de tecnologia operacional (OT)”, disse Gordon.
