A Agência de Segurança de Transporte (TSA) dos Estados Unidos emitiu nesta semana uma nova emenda de Segurança Cibernética em caráter emergencial aos programas de SI de aeroportos e operadores de aeronaves regulamentados pela TSA, seguindo medidas semelhantes anunciadas em outubro de 2022 para transportadoras ferroviárias de passageiros e carga. Isso faz parte dos esforços do Departamento de Segurança Interna para aumentar a resiliência em SI de empresas que atuam com infraestrutura crítica no país.
A medida de emergência é devido às ameaças persistentes de segurança cibernética contra infraestruturas críticas dos Estados Unidos, incluindo o segmento de aviação. A nova emenda exige que as entidades reguladas pela TSA afetadas por ataques cibernéticos desenvolvam um plano de implementação aprovado que descreva as medidas que estão tomando para melhorar sua resiliência de SI e evitar interrupções ou degradação da infraestrutura.
Eles também devem avaliar proativamente a eficácia dessas medidas, que incluem as seguintes ações:
1) Desenvolver políticas e controles de segmentação de rede para garantir que os sistemas de tecnologia operacional continuem operando com segurança caso sejam afetados por um ataque;
2) Criar medidas de controle de acesso e impedir que pessoas não autorizadas acessem sistemas cibernéticos críticos;
3) Implementar políticas e procedimentos contínuos de monitoramento e detecção, detectar e responder a ameaças e anomalias que afetam as operações críticas do sistema cibernético;
4) Reduzir o risco de exploração de sistemas não corrigidos por meio da aplicação de patches de segurança e atualizações para sistemas operacionais, aplicativos, drivers e firmware em sistemas cibernéticos críticos em tempo hábil, usando uma metodologia baseada em risco.
Esse é o mais recente dos esforços da TSA para exigir que os operadores críticos do setor de transporte continuem aprimorando suas capacidades de se defender contra ameaças cibernéticas. Além disso, empresas regulamentadas pelo órgão devem seguir cumprindo requisitos antigos como relatar incidentes significativos à Agência de Segurança Cibernética e Infraestrutura (CISA); estabelecer um ponto de contato de segurança cibernética; desenvolver e adotar um plano de resposta a incidentes; e concluir uma avaliação de vulnerabilidade de Segurança Cibernética.
Estratégia federal de Cibersecurity
Essa não é a primeira movimentação do governo norte-americano neste sentido. No início deste mês, a Casa Branca dos Estados Unidos divulgou o Plano Estratégico Nacional de Cibersegurança, que deve pavimentar o combate dos EUA aos crimes cibernéticos. A proposta apresenta cinco pilares diferentes de atuação, com subtópicos específicos de cada um: defesa de Infraestrutura Crítica; detecção e desmonte de operações criminosas; moldagem das forças de mercado em prol de Segurança e Resiliência; investimentos no futuro resiliente; e criação de parcerias externas na busca de objetivos compartilhados.
Os pilares trazem consigo propostas para desenvolver projetos de defesa dos sistemas cibernéticos, com o fortalecimento das agências reguladoras e de monitoramento, aliadas às parcerias com a iniciativa privada. Além disso, o plano propõe dar mais força às instituições de investigação e coerção para defenderem os ambientes e contra-atacar os criminosos.
Por fim, a carta também chama ao debate as outras instituições públicas para construírem estruturas legais das informações que circulam pelas redes do país. Esse tópico inclusive fala sobre responsabilizar as empresas fornecedoras por produtos inseguros.
*Com informações da Agência de Segurança de Transporte (TSA)