Durante um discurso na Carnegie Mellon University na última segunda-feira (28), a diretora da Cybersecurity and Infrastructure Security Agency (CISA), Jen Easterly, afirmou que o Congresso norte-americano deve promover uma legislação que possibilite a responsabilização legal dos fabricantes de software pela eventual insegurança dos seus produtos. Além disso, esse novo marco deve proteger as empresas que desenvolvem soluções de forma segura.
A proposta de Jen surge em meio a uma pressão da CISA para que as empresas de tecnologia ofereçam produtos que são “seguros por concepção”, para fazer da Cibersegurança algo introduzido no desenvolvimento desde o início, ampliando assim o conceito de Security by Design. A ideia é estabelecer soluções que sejam “seguras por padrão”, se referindo a produtos que chegam com configurações robustas sem custos adicionais.
A executiva vê com preocupação a prática dos fornecedores definirem em seus termos de uso que é função do usuário preservar a atualização do software. Segundo ela, uma vez que nenhum usuário ou empresa lê atentamente esses termos, eles acabam aceitando automaticamente as condições sem perceber que estão também contratando a responsabilidade pelos riscos.
“O governo pode avançar a legislação para impedir que os fabricantes de tecnologia renunciem à responsabilidade em contrato, estabelecendo padrões mais elevados de cuidados com o software em entidades específicas de infraestruturas críticas”, comentou Jen durante o discurso.
Em contrapartida, nos casos em que as empresas são alvos de incidentes cibernéticos de grande porte patrocinados por nações estrangeiras, essa legislação consideraria os cuidados tomados na proteção dos ativos, criando assim um “porto seguro” para o comprometimento com a SI. “Se as empresas estão fazendo todas as coisas certas e ainda assim são violadas, isso deve ser considerado na análise final”, disse ela.
A CISA ainda não chegou a consultar oficialmente o Congresso nem a Indústria sobre o interesse na proposta legislativa. A diretora disse esperar ver algumas das ideias discutidas já na “National Cyber Startegy”, um dos mais aguardados projetos do governo Biden. Jen observou que o Gabinete do National Cyber Director já trabalha com a indústria sobre o documento.
“Obviamente, queremos trabalhar em estreita colaboração com o Congresso. A Segurança Cibernética é uma questão importante com apoio bipartidário que queremos preservar. A indústria também percebe a importância do tema, por isso estou ansiosa para ter conversas profundas com ambos”.
Obstáculos da proposta
Contudo, os desafios para a aprovação do projeto são grandes. A Cyberspace Solarium Comission (CSC 2.0), corpo formado por representantes de ambos os partidos norte-americanos, considera essa como uma das propostas mais difíceis de prosperar.
Na visão da direção executiva da comissão, a proposta é importante para o mercado Cyber, mas o cabo de guerra entre representantes legais dos usuários e as empresas de software pode complicar qualquer tentativa de acordo. As dificuldades em definir responsabilidades de ambos os lados é o que deve gerar mais calor nos debates.
Além disso, o fundador e CTO da Veracode, Chris Wysopal, cita que a proposta terá que pacificar os argumentos contrários à ideia de responsabilização. Wysopal fala em especial da dificuldade de se culpar apenas um vendor envolvido em um incidente e do nível de complexidade do assunto para ser tratado em apenas uma lei.
*Com informações do The Washington Post