Ordem executiva do governo americano propõe avanços na segurança cibernética

Em resposta aos eventos recentes, governo apresenta 7 iniciativas definidas para evolução da segurança cibernética, exigindo que o setor privado evolua também

Compartilhar:

*Por Pablo Galvez 

 

O ataque ocorrido na Colinial Pipeline, o qual comentei nessa publicação é apenas mais uma investida em um universo significativo de ataques que assolam o ambiente cibernético e causam impactos negativos.

 

A grande preocupação de muitos países ao tema vem sendo transcrita por meio de regulações que deverão ser atendidas sob pena de sanções.

 

As ameaças cibernéticas põem em risco a privacidade de dados e este assunto também está em franca expansão regulatória. Vale frisar que na Europa as multas por descumprimento à GDPR já ultrapassaram 330 milhões de euros.

 

No dia 12 de maio de 2021, o governo americano publicou uma ordem executiva com intuito de evoluir a segurança cibernética americana.

 

A ordem é bastante ambiciosa, abrangente e visa, com base nos eventos recentes, minimizar a recorrência dos ataques e seus respectivos impactos. Demandará também expressivos esforços das empresas para o atendimento da ordem.

 

São 7 as iniciativas definidas para alcançar a evolução almejada, as quais elenco a seguir:

 

1) Remoção de barreiras para o compartilhamento de informações sobre ameaças entre o governo e o setor privado. Objetiva garantir que provedores de serviços de TI compartilhem informações com o governo com obrigatoriedade para as informações relativas à violações.

 

2) Modernização e implementação de padrões de segurança cibernética “mais fortes” no governo federal. Proteção dos serviços em nuvem e orientação à arquitetura de confiança zero (zero-trust), com implantação de múltiplo fator de autenticação e criptografia.

 

3) Melhoria da segurança na cadeia de suprimentos de software. Provavelmente impactada pelo evento da SolarWinds, a ordem endereça a preocupação com a definição de padrões básicos de segurança para o desenvolvimento de software que seja vendido ao governo, demandando que os desenvolvedores avancem em aspectos de segurança. A exemplo dos selos de consumo de energia para eletrodomésticos, será desenvolvido um selo de qualidade para que o governo e público em geral possa identificar quais softwares foram desenvolvidos dentro dos padrões de segurança esperados.

 

4) Estabelecimento de um Conselho de Revisão de Segurança Cibernética. O conselho será composto por membros do governo e setor privado, o qual poderá ser acionado após um incidente cibernético significativo para analisar o evento e emitir recomendações concretas para evolução da segurança cibernética. De forma análoga esse processo é realizado no âmbito da aviação para que acidentes não se repitam.

 

5) Criação de um manual padrão para resposta a incidentes de segurança cibernéticos. A ordem cria um manual padronizado para a resposta aos incidentes cibernéticos por departamentos e agências federais. Esse manual visa garantir que todas as agências federais americanas estejam preparadas para tomar medidas uniformes para identificar e mitigar uma ameaça, bem como responder. Esse manual servirá de modelo para o setor privado.

 

6) Melhoria da detecção de incidentes de segurança cibernética em redes do governo federal. Objetiva melhorar a capacidade de detecção de atividades cibernéticas nas rederes federais, permitindo um sistema de detecção e resposta em todo o governo (EDR) e o compartilhamento de informações entre o próprio governo. Dessa forma o governo federal deverá liderar a evolução da segurança cibernética.

 

7) Melhoria da capacidade de investigação e correção. A ordem cria requisitos de registros de eventos de segurança cibernética para departamentos e agências federais. Nesse item há o reconhecimento de que a deficiência em registros (logs) prejudica a capacidade das organizações na detecção, mitigação e compreensão das investidas criminosas, sejam as ocorridas ou as em curso.

 

É perceptível que a pauta da segurança cibernética está sendo levada cada vez mais com seriedade e que o governo americano reconhece a necessidade de evolução, tanto em agências governamentais quanto no setor privado.

 

A ordem demandará do estado que dê o exemplo e evolua suas capacidades de segurança, bem como resultará na evolução do setor privado.

 

Mas não será uma tarefa fácil. A ordem prevê diversos prazos (46) para implementação das ações e objetivos, no entanto há grande desequilíbrio na maturidade tanto no governo quanto no setor privado, o que poderá refletir no descumprimento de boa parte dos órgãos e instituições.

 

Também há uma zona cinzenta no conceito de violação de segurança. Sem uma definição clara e objetiva de quais eventos devam ou não serem considerados nesse conceito, os provedores de serviços de TI podem não informar ou informar em demasia ocorrências, o que pode impactar o objetivo da multiplicação de conhecimento no âmbito da segurança cibernética.

 

Embora existam grandes desafios para sua implementação, a ordem explícita a preocupação e comprometimento do estado americano na busca da melhoria da segurança cibernética e traz maior enfoque aos riscos que se concretizam repetidamente. Além disso servirá de exemplo para o setor privado e deixa claro que o estado estará mais presente e observando o assunto.

 

Seria muito positivo em solo brasileiro que o governo desse o exemplo e objetivasse também a evolução de sua segurança cibernética.

 

*Pablo V. R. Galvez atua em segurança e TI a mais de 18 anos na indústria financeira. É Auditor Sênior de Segurança Cibernética do Banco do Brasil, bem como de Segurança da Informação e Tecnologia da Informação. Pablo é pós-graduado em Governança de TI e Tecnologia para Negócios com uso de IA, Data Science e Big Data pela Unieuro e PUC-RS, respectivamente.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Toyota Brasil apura possível vazamento de documentos internos

Desde o último fim de semana, grupos de threat intel presentes na Dark Web apontaram que a gangue de ransomware...
Security Report | Destaques

Soft skills são próximos passos na evolução da confiança em Cyber, avaliam CISOs

Pesquisa da consultoria Kroll aponta que os gestores corporativos confiam integralmente nas pessoas de Segurança para responder aos riscos Cibernéticos....
Security Report | Destaques

Insegurança cibernética e IA são destaques do Security Leaders em BH

O Congresso será realizado no dia 23 deste mês com discussões pautadas na imaturidade em Cyber Security e o quanto...
Security Report | Destaques

Polícia Civil do DF prende suspeitos de roubar 76 milhões de senhas pessoais e governamentais

De acordo com a corporação, os hackers chegaram a incluir todas as credenciais comprometidas em um banco de dados, visando...