0
0
O governo dos EUA, preocupado com o crescimento contínuo da cibercriminalidade, dos resgates, e de países como a Rússia, o Irão, e a Coreia do Norte a invadirem redes governamentais e privadas, está no meio de uma mudança drástica na sua estratégia de cibersegurança. Já não dependerá em grande medida de empresas de tecnologia para tomar voluntariamente medidas básicas de segurança, tais como a aplicação de patches em sistemas vulneráveis para os manter atualizados.
Em vez disso, pretende agora estabelecer requisitos básicos de segurança para as empresas de tecnologia e multar aquelas que não os cumpram.
Não são apenas as empresas que utilizam os sistemas que poderão eventualmente ter de cumprir os regulamentos. As empresas que os fabricam e vendem, tais como a Microsoft, Apple, e outras, também poderiam ser responsabilizadas. As primeiras indicações são que os federais já têm a Microsoft na sua mira – avisaram a empresa que, neste momento, não parece estar à altura da tarefa.
Em primeiro lugar, vamos mergulhar na estratégia emergente do governo.
A nova Estratégia Nacional de Segurança Cibernética
No início de março, a Administração Biden lançou uma nova Estratégia Nacional de Segurança Cibernética; coloca mais responsabilidade na indústria privada e nas empresas tecnológicas para seguir as melhores práticas de segurança, tais como a aplicação de patches em sistemas para combater vulnerabilidades recentemente encontradas e a utilização de autenticação multifator sempre que possível.
Os reguladores dos EUA há muito que recomendam que as empresas de tecnologia o façam. A diferença agora, segundo o New York Times, é que “a nova Estratégia Nacional de Segurança Cibernética conclui que tais esforços de boa fé são úteis, mas insuficientes num mundo de constantes tentativas de hackers sofisticados, frequentemente apoiados pela Rússia, China, Irão ou Coreia do Norte, para entrar em redes críticas governamentais e privadas. Em vez disso, as empresas devem ser obrigadas a cumprir normas mínimas de cibersegurança”.
Em teoria, se essas normas não forem cumpridas, acabariam por ser impostas multas. Glenn S. Gerstell, antigo conselheiro geral da Agência Nacional de Segurança, explicou-o desta forma ao NY Times: “No mundo cibernético, estamos finalmente a dizer que a Ford é responsável pelos Pintos que irromperam em chamas, porque não gastaram dinheiro em segurança”. Esta é uma referência ao Ford Pinto que irrompia frequentemente em chamas, quando se encontrava na retaguarda nos anos 70. Isso levou a uma série de processos judiciais e a um aumento dos regulamentos federais de segurança automóvel.
Mas os requisitos de cibersegurança apoiados por multas ainda não estão aqui. Escave no novo documento e verá que, como a nova estratégia é apenas um documento político, não tem a medida da lei por detrás disso. Para que entre plenamente em vigor, duas coisas têm de acontecer. O Presidente Biden tem de emitir uma ordem executiva para fazer cumprir alguns dos requisitos. E o Congresso precisa de aprovar leis para o resto.
Não é claro quando é que os legisladores poderão, se é que alguma vez o farão, avançar com a questão, embora Biden possa emitir uma ordem executiva para partes da mesma.
Tudo isto pode soar como se a nova estratégia fosse coxa. Mas não é bem esse o caso. O governo dos EUA é o maior púlpito do mundo. Pode exercer uma tremenda pressão sobre as empresas tecnológicas para seguirem a estratégia, criticando-as publicamente. Isso, por sua vez, pode levar os clientes a afastarem-se dos produtos e serviços de algumas empresas. E, claro, o governo pode exigir que as empresas cumpram práticas básicas de cibersegurança se quiserem contratos governamentais.
O que isto significa para a Microsoft
Então, o que é que tudo isto tem a ver com a Microsoft? Muita coisa. Os federais deixaram claro que acreditam que a Microsoft tem um longo caminho a percorrer antes de cumprir as recomendações básicas de segurança cibernética. Pelo menos um alto funcionário da segurança governamental já apelou publicamente à Microsoft por práticas de segurança deficientes.
A diretora da Agência de Segurança Cibernética e Infraestrutura. Jen Easterly. criticou recentemente a Microsoft durante um discurso na Carnegie Mellon University. Ela disse que apenas cerca de um quarto dos clientes empresariais da Microsoft utilizam autenticação multifator, um número que ela chamou de “dececionante”. Isso pode não parecer uma grande condenação, mas estamos a falar do governo federal. Ela analisa as suas palavras com muito cuidado. “Dececionante” para eles é o equivalente a “trabalho terrível” em qualquer outro lugar.
Easterly também picou a Microsoft ao elogiar a Apple, salientando que 95% dos utilizadores de iCloud têm a autenticação multifatores ligada porque é ativada por defeito. “A Apple está a tomar posse dos resultados de segurança dos seus utilizadores”, disse ela. A crítica implícita é que a Microsoft não o está a fazer.
Eventualmente, a nova estratégia governamental de cibersegurança poderia ser um problema sério para a Microsoft, a menos que siga as normas recomendadas. Se forem emitidas ordens executivas e aprovadas leis, a empresa poderá eventualmente ser responsabilizada se não fizer mais para garantir que o software dos seus clientes é regularmente corrigido, ou que os seus clientes utilizam autenticação multifator. O ónus recairá sobre a Microsoft de conceber sistemas que possam ser mais facilmente remendados, sejam talvez até auto-remendados, ou que utilizem a autenticação multifatores por defeito.
Mesmo sem leis e ordens executivas, a empresa poderia estar em apuros. O governo dos EUA gasta milhares de milhões de dólares em sistemas e serviços Microsoft todos os anos, um fluxo de receitas que pode ser ameaçado se a Microsoft não aderir às normas.
Alguns no Congresso já veem a empresa com um olhar de gimlet por causa de deficiências de segurança cibernética do passado. Há dois anos, a Cybersecurity Infrastructure Security Agency incluiu 150 milhões de dólares no seu orçamento para pagar à Microsoft para melhorar a segurança na cloud. Essa despesa veio depois de “dois enormes ciberataques terem aproveitado as fraquezas dos produtos Microsoft para chegar às redes informáticas das agências federais e locais e a dezenas de milhares de empresas”, segundo a Reuters.
A ironia de dar à Microsoft 150 milhões de dólares porque o seu software é inseguro não foi perdido no Congresso. O Sen. Ron Wyden (D-OR), que está no comité de inteligência, advertiu: “Se a única solução para uma grande brecha na qual os hackers exploraram uma falha de design há muito ignorada pela Microsoft é dar mais dinheiro à Microsoft, o governo precisa de reavaliar a sua dependência da Microsoft. O governo não deve recompensar uma empresa que lhe vendeu software inseguro com contratos governamentais ainda maiores”.
Há dois anos, a Microsoft recebeu dinheiro extra. Mas se a nova Estratégia Nacional de Segurança Cibernética do governo tiver alguma força, isso não voltará a acontecer.
FONTE: COMPUTERWORLD