0
0
Uma ordem executiva planejada da administração Biden exigirá que muitos fornecedores de software notifiquem seus clientes do governo federal quando as empresas tiverem uma violação de segurança cibernética, de acordo com um rascunho visto pela Reuters.
Um porta-voz do Conselho de Segurança Nacional disse que nenhuma decisão foi tomada sobre o conteúdo final da ordem executiva. A ordem pode ser liberada já na próxima semana.
O hack da SolarWinds Corp, que veio à tona em dezembro, mostrou que “o governo federal precisa ser capaz de investigar e remediar ameaças aos serviços que presta ao povo americano cedo e rapidamente. Simplificando, você não pode consertar o que não sabe”, disse o porta-voz.
No caso SolarWinds, hackers suspeitos de trabalhar para o governo russo se infiltraram em seu software de gerenciamento de rede e adicionaram código que permitia aos hackers espionar usuários finais.
Os hackers penetraram em nove agências federais e 100 empresas, incluindo a Microsoft Corp e outras grandes empresas de tecnologia.
A ordem proposta adotaria medidas há muito procuradas por especialistas em segurança, incluindo a necessidade de autenticação multifatorial e criptografia de dados dentro de agências federais.
A ordem imporia regras adicionais a programas considerados críticos, como exigir uma “conta de software de materiais” que explicite o que está dentro. Uma quantidade crescente de software ativa outros programas, expandindo o risco de vulnerabilidades ocultas.
A exigência de notificação terá o impacto mais imediato. A regra visa anular acordos de não divulgação, que os fornecedores disseram que o compartilhamento limitado de informações e permitir que os funcionários visualizem mais invasões.
A ordem também obrigaria os fornecedores a preservar mais registros digitais e trabalhar com o FBI e a Agência de Segurança Cibernética e Segurança de Infraestrutura do Departamento de Segurança Interna, conhecida como CISA, ao responder a incidentes.
Na prática, as mudanças ocorrerão por meio de atualizações das regras federais de aquisição. As principais empresas de software que vendem para o governo, como a Microsoft e a SalesForce, serão afetadas pela mudança, disseram pessoas familiarizadas com os planos.
No passado, o Congresso tentou estabelecer uma lei nacional de notificação de violação de dados, mas falhou por causa da resistência do setor. Tal projeto de lei teria obrigado empresas que experimentam hacks a divulgá-los publicamente através de agências governamentais.
Se finalizada de acordo com o formulário de rascunho, a ordem executiva atingiria parcialmente o objetivo de divulgação ampla. Uma nova lei sobre divulgação pública também pode ser introduzida.
O projeto de ordem também criaria um conselho de resposta a incidentes de segurança cibernética, com representantes de agências federais e empresas de cibersegurança. O fórum incentivaria fornecedores e vítimas a compartilhar informações, talvez com uma combinação de incentivos e proteções de responsabilidade.
FONTE: REUTERS