0
0
Acertar na divulgação de incidentes de segurança cibernética pode significar a diferença entre prisão e liberdade. Mas as regras permanecem lamentavelmente vagas.
Os CISOs (Chief Information Security Officers, diretores de segurança da informação) e suas equipes sabem que há uma certa quantidade de risco intrinsecamente embutido no trabalho. Mas a recente condenação do ex-CISO da Uber Joseph Sullivan por seu papel em encobrir uma violação de dados de 2016 na empresa aumentou significativamente a expectativa.
O CISO da SolarWinds, Tim Brown, sobreviveu a uma das violações de segurança mais espetaculares da história em 2020 em um ataque épico à cadeia de suprimentos e emergiu do outro lado com o negócio – e sua reputação profissional – intactos. Em entrevista ao Dark Reading, ele explicou que os CISOs estão pedindo clareza sobre as regras em torno das divulgações. A Federal Trade Commission (FTC) tem regras e, além disso, há uma vasta e em evolução de regras, regulamentos, ordens executivas e jurisprudência ditando como e quando as divulgações precisam ocorrer, e isso antes que alguém considere o impacto de um incidente no negócio.
“A responsabilidade é algo que preocupa os CISOs”, diz Brown. “É um momento preocupante e cria estresse e angústia para as equipes. Queremos ser cobertos.”
Um tribunal considerou Sullivan, da Uber, culpado de trabalhar para encobrir a violação dos investigadores da FTC, além de tentar manter a violação em segredo de outros executivos da Uber. Brown reconhece que Sullivan cometeu o erro, na visão do tribunal, de tentar tomar decisões de divulgação unilateralmente, sem orientação legal, o que o deixou aberto a processos.
Lei Sarbanes-Oxley para CISOs?
Para evitar cometer tais erros, os CISOs precisam de algo nos moldes da Lei Sarbanes-Oxley de 2002, que detalha as regulamentações de relatórios financeiros para diretores financeiros (CFOs), diz Brown.
Da mesma forma que a Sarbanes-Oxley prescreve medidas que os CFOs devem tomar para evitar fraudes financeiras, Brown diz que gostaria de ver novas regulamentações federais que delineiem os requisitos do CISO para prevenir e responder ao crime cibernético.
As apostas são altas: enquanto Sullivan foi condenado a apenas três anos de liberdade condicional por seu papel na tentativa de enterrar a violação de dados da Uber, o juiz William Orrick usou a audiência de Sullivan como uma oportunidade para enviar um aviso arrepiante ao próximo CISO infeliz o suficiente para se encontrar em seu tribunal.
“Se eu tiver um caso semelhante amanhã, mesmo que o réu tivesse o caráter do papa Francisco, eles iriam para a prisão”, disse o juiz Orrick a Sullivan. “Quando você sai e conversa com seus amigos, com seus CISOs, você diz a eles que teve uma pausa não por causa do que você fez, nem mesmo por causa de quem você é, mas porque isso foi tão incomum.”
Labirinto de Divulgação
A ladainha de regras nebulosas e diretrizes emergentes não fornece aos CISOs e equipes de segurança cibernética um caminho claro para a conformidade, o que significa que advogados internos e consultores jurídicos externos se tornaram essenciais para ajudar as organizações a navegar no labirinto do processo de divulgação.
“As equipes de segurança corporativa não existem no vácuo quando se trata de avaliar a divulgação de violações de dados e incidentes de segurança”, diz Melissa Bischoping, diretora de pesquisa de segurança de endpoint da Tanium, sobre o cenário atual de divulgação. “Suas respostas devem ser coordenadas com as partes interessadas legais e de comunicação para garantir que estejam atendendo aos requisitos regulamentares e legais e fornecendo o nível adequado de informação aos consumidores certos da informação.”
Beth Waller, advogada e presidente de segurança cibernética e privacidade de dados da Woods Rogers Vandeventer Black, diz que os órgãos de supervisão, bem como os consumidores, estão impulsionando a transparência de incidentes de segurança cibernética – e diminuindo as janelas de divulgação aceitáveis.
Waller aponta para uma série de regulamentações que impulsionam as divulgações, como a exigência da Comissão de Segurança e Câmbio de divulgação imediata de incidentes de dados para empresas de capital aberto, bem como regulamentações federais em setores como bancos, saúde e infraestrutura crítica exigindo divulgações poucos dias após sua descoberta. Os contratados do Departamento de Defesa devem notificar o DoD de um incidente dentro de 72 horas, ressalta ela.
“Para empresas internacionais, regulamentações como o Regulamento Geral de Proteção de Dados (GDPR) da Europa conduzem prazos semelhantes”, diz Waller. “Cada vez mais, uma empresa que quer manter um incidente de dados silencioso não pode fazê-lo do ponto de vista regulatório ou legal.”
Perigos da divulgação
À medida que aumenta a pressão sobre as equipes de segurança cibernética das empresas para que divulguem rapidamente, Dave Gerry, CEO da Bugcrowd, reconhece o valor da transparência para a confiança e o fluxo de informações, mas explica que também está preocupado que a divulgação rápida possa roubar às equipes de segurança um tempo inestimável para responder adequadamente a ataques cibernéticos.
“A divulgação de incidentes precisa permitir a oportunidade para a organização de segurança corrigir rapidamente os sistemas, corrigir vulnerabilidades em nível de código, ejetar invasores e, geralmente, mitigar seus sistemas antes de divulgar publicamente os detalhes, garantir que incidentes de segurança adicionais não venham como resultado da divulgação”, acrescenta Gerry. “Identificar a causa raiz e a magnitude do incidente para evitar adicionar medo e confusão adicionais à situação leva tempo, o que é uma consideração adicional.”
Dados ‘Dever de cuidado’ definido
Tornando as coisas mais confusas, os procuradores-gerais estaduais dos EUA estão pressionando por regulamentações mais rígidas em torno das divulgações de incidentes de segurança cibernética, deixando cada estado com seu próprio cenário de divulgação exclusivo repleto de requisitos amplos e mal definidos, como tomar ações “razoáveis” para proteger os dados.
A veterana CISO e estrategista cibernética da VMware, Karen Worstell, observa que Philip Weiser, da Colorado AG, deu um passo importante para esclarecer as obrigações do CISO em janeiro passado, quando ofereceu uma definição das regras de “Dever de Cuidado” sob a Lei de Privacidade do Colorado, exigindo que medidas razoáveis sejam tomadas para proteger os dados pessoais.
De acordo com Weiser, a definição foi informada por casos reais que chegaram por meio de seu escritório, o que significa que refletia como os promotores viam violações de dados específicas sob sua jurisdição.
“Primeiro, avaliaremos se uma empresa identificou os tipos de dados que coleta e estabeleceu um sistema para armazenar e gerenciar esses dados – incluindo garantir o descarte regular de dados de que não precisa mais”, disse Weiser em comentários preparados sobre as regras de violação de dados. “Em segundo lugar, vamos considerar se uma empresa tem uma política de segurança da informação escrita. Para as empresas que não têm tais políticas ou têm aquelas que estão desatualizadas ou existem apenas em teoria, sem nenhuma tentativa de treinar os funcionários ou cumprir a política, veremos com mais ceticismo alegações de que sua conduta é razoável.”
Waller aplaude a decisão de Weiser de esclarecer as regras de divulgação em seu estado. No Colorado, assim como na Virgínia, o procurador-geral tem a única autoridade para responsabilizar alguém por violar as leis estaduais de privacidade.
“Os comentários do procurador-geral do Colorado, Weiser, fornecem informações úteis sobre as considerações de segurança que os procuradores-gerais estaduais considerarão ao analisar a possibilidade de trazer violações sob essas novas leis de privacidade de dados”, diz Waller.
Apesar desses avanços, por enquanto as regras ainda deixam muito espaço para as equipes de segurança cibernética das empresas errarem.
“A atual cacofonia emergente de novas regulamentações estaduais de privacidade, juntamente com uma miscelânea de leis estaduais de violação de dados, significa que podemos esperar que uma lei federal de privacidade acabe abordando a necessidade de orientação uniforme para entidades que sofrem uma violação de dados”, diz Waller.
“Na ausência de orientação federal, o cenário jurídico permanece simplesmente complexo”, acrescenta Waller.
A lentidão de tribunais, órgãos reguladores e legislativos significa que levará tempo para que todas as partes entrem na mesma página. Mas Brown, da SolarWinds, espera que regras mais padronizadas para CISOs e suas organizações provavelmente surjam nos próximos cinco anos. Enquanto isso, ele sugere manter as equipes jurídicas envolvidas em todas as respostas a incidentes cibernéticos.
“Vai evoluir, e vamos ficar mais nítidos”, diz Brown. “Estou esperançoso.”
FONTE: DARK READING