*Por Pablo Galvez
O ataque ocorrido na Colinial Pipeline, o qual comentei nessa publicação é apenas mais uma investida em um universo significativo de ataques que assolam o ambiente cibernético e causam impactos negativos.
A grande preocupação de muitos países ao tema vem sendo transcrita por meio de regulações que deverão ser atendidas sob pena de sanções.
As ameaças cibernéticas põem em risco a privacidade de dados e este assunto também está em franca expansão regulatória. Vale frisar que na Europa as multas por descumprimento à GDPR já ultrapassaram 330 milhões de euros.
No dia 12 de maio de 2021, o governo americano publicou uma ordem executiva com intuito de evoluir a segurança cibernética americana.
A ordem é bastante ambiciosa, abrangente e visa, com base nos eventos recentes, minimizar a recorrência dos ataques e seus respectivos impactos. Demandará também expressivos esforços das empresas para o atendimento da ordem.
São 7 as iniciativas definidas para alcançar a evolução almejada, as quais elenco a seguir:
1) Remoção de barreiras para o compartilhamento de informações sobre ameaças entre o governo e o setor privado. Objetiva garantir que provedores de serviços de TI compartilhem informações com o governo com obrigatoriedade para as informações relativas à violações.
2) Modernização e implementação de padrões de segurança cibernética “mais fortes” no governo federal. Proteção dos serviços em nuvem e orientação à arquitetura de confiança zero (zero-trust), com implantação de múltiplo fator de autenticação e criptografia.
3) Melhoria da segurança na cadeia de suprimentos de software. Provavelmente impactada pelo evento da SolarWinds, a ordem endereça a preocupação com a definição de padrões básicos de segurança para o desenvolvimento de software que seja vendido ao governo, demandando que os desenvolvedores avancem em aspectos de segurança. A exemplo dos selos de consumo de energia para eletrodomésticos, será desenvolvido um selo de qualidade para que o governo e público em geral possa identificar quais softwares foram desenvolvidos dentro dos padrões de segurança esperados.
4) Estabelecimento de um Conselho de Revisão de Segurança Cibernética. O conselho será composto por membros do governo e setor privado, o qual poderá ser acionado após um incidente cibernético significativo para analisar o evento e emitir recomendações concretas para evolução da segurança cibernética. De forma análoga esse processo é realizado no âmbito da aviação para que acidentes não se repitam.
5) Criação de um manual padrão para resposta a incidentes de segurança cibernéticos. A ordem cria um manual padronizado para a resposta aos incidentes cibernéticos por departamentos e agências federais. Esse manual visa garantir que todas as agências federais americanas estejam preparadas para tomar medidas uniformes para identificar e mitigar uma ameaça, bem como responder. Esse manual servirá de modelo para o setor privado.
6) Melhoria da detecção de incidentes de segurança cibernética em redes do governo federal. Objetiva melhorar a capacidade de detecção de atividades cibernéticas nas rederes federais, permitindo um sistema de detecção e resposta em todo o governo (EDR) e o compartilhamento de informações entre o próprio governo. Dessa forma o governo federal deverá liderar a evolução da segurança cibernética.
7) Melhoria da capacidade de investigação e correção. A ordem cria requisitos de registros de eventos de segurança cibernética para departamentos e agências federais. Nesse item há o reconhecimento de que a deficiência em registros (logs) prejudica a capacidade das organizações na detecção, mitigação e compreensão das investidas criminosas, sejam as ocorridas ou as em curso.
É perceptível que a pauta da segurança cibernética está sendo levada cada vez mais com seriedade e que o governo americano reconhece a necessidade de evolução, tanto em agências governamentais quanto no setor privado.
A ordem demandará do estado que dê o exemplo e evolua suas capacidades de segurança, bem como resultará na evolução do setor privado.
Mas não será uma tarefa fácil. A ordem prevê diversos prazos (46) para implementação das ações e objetivos, no entanto há grande desequilíbrio na maturidade tanto no governo quanto no setor privado, o que poderá refletir no descumprimento de boa parte dos órgãos e instituições.
Também há uma zona cinzenta no conceito de violação de segurança. Sem uma definição clara e objetiva de quais eventos devam ou não serem considerados nesse conceito, os provedores de serviços de TI podem não informar ou informar em demasia ocorrências, o que pode impactar o objetivo da multiplicação de conhecimento no âmbito da segurança cibernética.
Embora existam grandes desafios para sua implementação, a ordem explícita a preocupação e comprometimento do estado americano na busca da melhoria da segurança cibernética e traz maior enfoque aos riscos que se concretizam repetidamente. Além disso servirá de exemplo para o setor privado e deixa claro que o estado estará mais presente e observando o assunto.
Seria muito positivo em solo brasileiro que o governo desse o exemplo e objetivasse também a evolução de sua segurança cibernética.
*Pablo V. R. Galvez atua em segurança e TI a mais de 18 anos na indústria financeira. É Auditor Sênior de Segurança Cibernética do Banco do Brasil, bem como de Segurança da Informação e Tecnologia da Informação. Pablo é pós-graduado em Governança de TI e Tecnologia para Negócios com uso de IA, Data Science e Big Data pela Unieuro e PUC-RS, respectivamente.
