0
0
Todos os dias, os atacantes têm como alvo pequenas empresas dos EUA, escritórios eleitorais, agências governamentais locais, hospitais e sistemas escolares K-12, mas a maioria dessas organizações não tem o financiamento – ou os recursos dedicados – para se defender ou mesmo para saber se estão sendo atacadas.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) visa ajudar esses lugares “pobres cibernéticos” a reforçar suas defesas e responder mais rapidamente a ataques, disse Jen Easterly, diretora da CISA, aos participantes do sexto evento anual Hack the Capitol em McLean, Virgínia, em 10 de maio. Enquanto a agência continua a trabalhar com governo, grandes empresas e fornecedores de tecnologia para melhorar a segurança, a CISA visa ver o quanto pode ajudar organizações menores a se defenderem de ameaças cibernéticas também.
O objetivo é entender suas necessidades, o que eles precisam para poder investir em segurança e onde a CISA pode ajudá-los a defender suas capacidades, disse Easterly.
“Como podemos ajudar um distrito escolar, podemos ajudar um pequeno hospital ou ajudar uma instalação de água usando … serviços gratuitos, usando avaliações, usando coisas como nossa higiene cibernética, [e] varredura de vulnerabilidades?”, disse ela. “Podemos ajudá-los a reduzir as ameaças? Então, estamos tentando passar um ano inteiro fazendo isso e, no final do ano, veremos se conseguimos fazer alguma diferença.”
O foco em organizações menores reconhece que muitas vezes PMEs, agências governamentais locais e escolas foram negligenciadas e não incluídas no esforço para criar organizações mais resilientes. Os esforços do governo para criar parcerias público-privadas normalmente se concentraram em grandes empresas e indústrias críticas, mas os invasores – especialmente gangues de ransomware – caçaram grupos menores que não têm recursos profundos de segurança cibernética. Esses grupos são numerosos – 99% de todas as empresas nos EUA têm 250 funcionários ou menos, de acordo com dados do Censo dos EUA.
“Nós realmente tentamos mudar o paradigma de décadas de parcerias público-privadas, que, francamente, eram episódicas e unidirecionais e não necessariamente o tipo certo de mecanismo que precisávamos para defender o país”, disse Easterly. A ideia é que “o setor privado, com parceiros internacionais, com parceiros estaduais e locais, se una para criar uma tapeçaria de visibilidade que nos permita entender melhor as ameaças e reduzir os riscos para a nação”.
Hora de uma estrutura de segurança cibernética mais simples e fácil
Embora o Quadro de Cibersegurança publicado pelo Instituto Nacional de Padrões e Tecnologia (NIST) seja considerado o padrão-ouro para criar um plano de segurança cibernética para uma empresa, o documento é difícil de entender e a implementação é difícil, disse Easterly. Assim, a CISA introduziu as Metas de Desempenho de Cibersegurança (CPGs), que visam ser metas de menor custo e menor esforço que as organizações podem tomar para melhorar a postura de segurança cibernética.
“Você não sabe como usar o NIST Cybersecurity Framework e, portanto, [se] quiser um guia muito mais simples, você pode realmente pegar os CPGs em um formato de lista de verificação e, em seguida, caracterizá-los por complexidade de custo e velocidade”, disse ela. “Os CPGs realmente ajudaram em termos de, novamente, uma métrica mais fácil e simples que essas entidades podem usar para ajudar a reduzir os riscos.”
Ransomware é um foco particular, já que muitas pequenas organizações foram atingidas por ransomware nos últimos cinco anos. A CISA já criou um piloto de alerta de vulnerabilidade que permite à agência verificar sistemas privados e fornecer ao proprietário informações sobre as vulnerabilidades nesses sistemas.
“Recebemos essas dicas e nós… deixe-os saber: ‘Ei… você tem esse ransomware, você tem essas coisas ruins na sua rede'”, disse ela. “‘Você precisa fazer algo sobre isso o mais rápido possível’.”
Ameaças reais ainda nubladas
No geral, qual é o nível da ameaça aos pobres cibernéticos? Talvez, surpreendentemente, o governo não tenha a resposta. A estrutura balcanizada da Internet – uma mistura de redes privadas, educacionais e governamentais – significa que a visibilidade é limitada e ninguém tem uma imagem completa, disse Easterly.
“A grande questão é como você realmente mede a redução de risco, o que é difícil porque… não entendemos o universo de quantos eventos existem”, disse. “É tudo anedótico – quaisquer que sejam os números disponíveis, quaisquer que sejam os estudos disponíveis, qualquer que seja o fornecedor – tudo é realmente apenas um palpite.”
À medida que corremos para um mundo onde a inteligência artificial é usada como uma forma de consumir e filtrar dados, o nível de informação pode piorar, por causa das alucinações de IA – declarações feitas por sistemas de aprendizado de máquina, como modelos de linguagem grande (LLMs) e ChatGPT, que parecem autoritários, mas estão errados.
Easterly apontou que o design da Internet nunca foi responsável pela maioria das ameaças que temos hoje, e que nossa abordagem à IA precisa ser melhor.
“Então você tinha uma internet cheia de vírus, tinha redes sociais cheias de desinformação, e agora temos IA, que é como um tenente de infantaria – muitas vezes errado, nunca em dúvida”, disse ela. “Então, acho que precisamos estar muito, muito atentos para cometer alguns dos erros com inteligência artificial que cometemos com outras tecnologias.”
FONTE: DARK READING