CISA quer responsabilizar fabricantes por softwares inseguros

Em pronunciamento emitido no começo da semana, a diretora Jen Easterly disse que o órgão está pronto para retomar as discussões para responsabilizar fornecedores pela venda de produtos inseguros. Especialistas alertam dificuldades em avançar no tema, debatido há mais de duas décadas

Compartilhar:

Durante um discurso na Carnegie Mellon University na última segunda-feira (28), a diretora da Cybersecurity and Infrastructure Security Agency (CISA), Jen Easterly, afirmou que o Congresso norte-americano deve promover uma legislação que possibilite a responsabilização legal dos fabricantes de software pela eventual insegurança dos seus produtos. Além disso, esse novo marco deve proteger as empresas que desenvolvem soluções de forma segura.

 

A proposta de Jen surge em meio a uma pressão da CISA para que as empresas de tecnologia ofereçam produtos que são “seguros por concepção”, para fazer da Cibersegurança algo introduzido no desenvolvimento desde o início, ampliando assim o conceito de Security by Design. A ideia é estabelecer soluções que sejam “seguras por padrão”, se referindo a produtos que chegam com configurações robustas sem custos adicionais.

 

A executiva vê com preocupação a prática dos fornecedores definirem em seus termos de uso que é função do usuário preservar a atualização do software. Segundo ela, uma vez que nenhum usuário ou empresa lê atentamente esses termos, eles acabam aceitando automaticamente as condições sem perceber que estão também contratando a responsabilidade pelos riscos.

 

“O governo pode avançar a legislação para impedir que os fabricantes de tecnologia renunciem à responsabilidade em contrato, estabelecendo padrões mais elevados de cuidados com o software em entidades específicas de infraestruturas críticas”, comentou Jen durante o discurso.

 

Em contrapartida, nos casos em que as empresas são alvos de incidentes cibernéticos de grande porte patrocinados por nações estrangeiras, essa legislação consideraria os cuidados tomados na proteção dos ativos, criando assim um “porto seguro” para  o comprometimento com a SI. “Se as empresas estão fazendo todas as coisas certas e ainda assim são violadas, isso deve ser considerado na análise final”, disse ela.

 

A CISA ainda não chegou a consultar oficialmente o Congresso nem a Indústria sobre o interesse na proposta legislativa. A diretora disse esperar ver algumas das ideias discutidas já na “National Cyber Startegy”, um dos mais aguardados projetos do governo Biden. Jen observou que o Gabinete do National Cyber Director já trabalha com a indústria sobre o documento.

 

“Obviamente, queremos trabalhar em estreita colaboração com o Congresso. A Segurança Cibernética é uma questão importante com apoio bipartidário que queremos preservar. A indústria também percebe a importância do tema, por isso estou ansiosa para ter conversas profundas com ambos”.

 

Obstáculos da proposta

Contudo, os desafios para a aprovação do projeto são grandes. A Cyberspace Solarium Comission (CSC 2.0), corpo formado por representantes de ambos os partidos norte-americanos, considera essa como uma das propostas mais difíceis de prosperar.

 

Na visão da direção executiva da comissão, a proposta é importante para o mercado Cyber, mas o cabo de guerra entre representantes legais dos usuários e as empresas de software pode complicar qualquer tentativa de acordo. As dificuldades em definir responsabilidades de ambos os lados é o que deve gerar mais calor nos debates.

 

Além disso, o fundador e CTO da Veracode, Chris Wysopal, cita que a proposta terá que pacificar os argumentos contrários à ideia de responsabilização. Wysopal fala em especial da dificuldade de se culpar apenas um vendor envolvido em um incidente e do nível de complexidade do assunto para ser tratado em apenas uma lei.

 

*Com informações do The Washington Post

 

Conteúdos Relacionados

Security Report | Destaques

Plenário do Senado aprova PL de regulamentação da IA

A decisão se deu em votação simbólica e, agora, o texto seguirá para análise da Câmara dos Deputados. Apesar de...
Security Report | Destaques

Credenciais comprometidas protagonizam 66% dos ataques cibernéticos

Na edição mais recente do relatório Incident Response Trends, a Cisco Talos ressalta o impacto crescente de ameaças baseadas em...
Security Report | Destaques

“Para combater IA como vilã, a Segurança deve transformá-la em heroína”

Durante Painel de Debates no segundo dia do Security Leaders Nacional, os CISOs do Banco Mercantil, Hospital Sírio Libanês, LM...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo as prefeituras municipais de Uruguaiana e Pirajuí; o CEMIG; Polícia Militar...