0
0
A Casa Branca lançou sua Estratégia Nacional de Segurança Cibernética , buscando transferir a responsabilidade pelo gerenciamento do risco cibernético de indivíduos e pequenas empresas para empresas de tecnologia, ao mesmo tempo em que adota uma abordagem mais ofensiva para lidar com os agentes de ameaças.
A estratégia se concentra em cinco pilares: defender a infraestrutura crítica, interromper e desmantelar grupos de ameaças, moldar as forças do mercado para impulsionar a segurança e a resiliência, investir em um futuro resiliente e formar parcerias internacionais para buscar objetivos compartilhados.
Os profissionais do setor comentaram vários aspectos da nova estratégia de segurança cibernética, seu impacto e implicações.
E o feedback começa…
Brandon Valeriano, ilustre membro sênior da Marine Corp. University e ex-conselheiro sênior da Comissão do Cyberspace Solarium do governo federal:
“Há muito o que gostar aqui. Só falta muitos detalhes”, comentou Valeriano . “Eles produzem um documento que fala muito sobre regulamentação em um momento em que os Estados Unidos são muito contra a regulamentação.”
Ilia Kolochenko, fundador, CEO, ImmuniWeb:
“Mesmo em meio ao aumento do crime cibernético, transferir a carga de segurança cibernética para desenvolvedores de software e provedores de soluções tecnológicas pode parecer uma medida excessivamente dura, no entanto, economicamente falando, faz todo o sentido.
Os fornecedores de software certamente argumentarão que serão obrigados a aumentar seus preços, acabando por prejudicar os usuários finais e os consumidores inocentes. Isso é, no entanto, comparável às montadoras reclamando sobre sistemas de airbag e cintos de segurança “desnecessariamente caros”, argumentando que cada fabricante deveria ter a liberdade de construir carros como bem entender.
A maioria das indústrias – além do software – já está amplamente regulamentada na maioria dos países desenvolvidos: você não pode simplesmente fabricar o que deseja sem uma licença ou sem seguir os padrões prescritos de segurança, qualidade e confiabilidade. Soluções de software e SaaS não devem ser exceção a isso.
That being said, overregulation or bureaucracy will certainly be harmful and rather produce a counterproductive effect. The technical scope, timing of implementation and niche-specific requirements for tech vendors will be paramount for the eventual success or failure of the proposed legislation. Unnecessarily burdensome or, contrariwise, formalistic and lenient security requirements will definitely bring more harm than good. Therefore, the new legislation shall derive from the intensive and open collaboration of independent experts coming from industry, academia and specialized organizations to ensure a properly balanced regulation that would consider legitimate interests of all concerned parties.”
Szilveszter Szebeni, CISO, Tresorit:
“Would you consent to undergoing a surgical procedure performed by a newly graduated individual who possesses exceptional proficiency in performing surgeries on cats? Furthermore, why would you entrust the same individual with the task of developing software for your pacemaker? While the answer to the former question will be negative, as a society, we permit the latter to occur. The IT industry has demonstrated remarkable adeptness in evading warranties on their products and offering them for sale ‘as is.’ This apparent lack of accountability is unprecedented in other industries, such as healthcare and construction.”
Moty Kanias, VP cyber strategy and alliances, NanoLock:
“The newly released National Cyber Strategy is a huge step in the right direction for the world in the fight against cybercrime and state-driven adversaries. We commend the work done by the agencies involved and hope that they will continue to prioritize the security of the nation’s critical infrastructure. It is crucial for allied countries to work together towards cyber supremacy, to fight cyber criminals and to create new cyber security solutions that will tilt the equation.
Os adversários no ciberespaço estão evoluindo em um ritmo alarmante e estão sempre procurando novos mercados para atacar. Na verdade, a manufatura tornou-se o alvo número um no ano passado, de acordo com relatórios de empresas líderes. Proteger a infraestrutura crítica e as linhas de produção no nível do dispositivo industrial é um próximo passo essencial além dos requisitos atuais para soluções comuns de detecção, monitoramento e segmentação para resolver um problema que está se tornando cada vez mais complexo.
Também reconhecemos os esforços feitos por outros países, como Cingapura, na implementação de regulamentações que podem servir de base para os EUA. Por exemplo, em julho de 2022, Cingapura deu o importante passo de aprofundar os regulamentos para infraestrutura crítica e agora exige que a infraestrutura crítica evite ataques cibernéticos em controladores de campo, como PLCs, RTUs, computadores industriais e muito mais. Outros países, incluindo os EUA, devem seguir esse caminho para proteger a infraestrutura crítica de ataques cibernéticos maciços.”
David Lindner, CISO, segurança de contraste:
“A atual administração do governo federal dos EUA está realmente impulsionando a necessidade de reforçar as capacidades defensivas e ofensivas coletivas nos setores público e privado. Tudo começou com a Ordem Executiva (EO) do presidente Biden sobre a melhoria da segurança cibernética da nação. Essa EO rapidamente se transformou em muitas outras iniciativas importantes e diretrizes operacionais, como a Diretiva Operacional 22-01 e a OMB 22-18. As Diretivas Operacionais 22-01 e 22-18, juntamente com esta nova estratégia nacional de segurança cibernética, têm uma coisa distinta em comum; precisamos fazer um trabalho muito melhor para entender, expor e corrigir os problemas de segurança em nosso software.
Essa nova estratégia declara: “Muitos fornecedores ignoram as práticas recomendadas para desenvolvimento seguro, enviam produtos com configurações padrão inseguras ou vulnerabilidades conhecidas e integram software de terceiros de procedência não verificada ou desconhecida”. Nós do setor de tecnologia sabemos disso há muito tempo. A partir de hoje, o número médio de novas vulnerabilidades e exposições comuns lançadas por dia em 2023 é de 76,9 (por CVE.icu) e isso não inclui o fato de que, em média, um aplicativo de software tem 25 vulnerabilidades em seu código personalizado (dados fonte: Contraste Segurança).
Ansiei pelo dia da regulamentação e responsabilidade quando se trata da segurança do software que o mundo está produzindo e, pelo menos nos Estados Unidos, parece que vou realizar meu desejo.”
Cody Cornell, cofundador e diretor de estratégia da Swimlane:
“A Casa Branca está pedindo uma nova regulamentação que não seja apenas para infraestrutura crítica, mas também para estruturas regulatórias específicas do setor. Embora a ideia de estruturas específicas do setor seja boa, essas estruturas não são de tamanho único e têm orientação e controles específicos que podem ser muito benéficos. Há muito trabalho a ser feito para definir os setores, as estruturas, obter adesão e fornecer orientação não apenas sobre a implementação, mas também sobre como serão medidos e aplicados, porque uma estrutura sem aplicação é totalmente voluntária e contrária com o objetivo de reequilibrar a responsabilidade de defender o ciberespaço. Como vimos como indústria, construir um padrão, especialmente um colaborativo, pode ser extremamente demorado,
Um elemento interessante do primeiro pilar da estratégia é criar e instituir incentivos que garantam que os setores de baixa margem ou desincentivados possam ter o apoio econômico para implementar ou, em nível setorial, podem se tornar obrigatórios em todos os provedores de um setor, reduzindo a briga frequente entre fazer o que é certo do ponto de vista da segurança, com a preocupação de que um concorrente possa abrir mão desses mesmos custos e conseguir um custo menor para o mercado ou margens maiores. Cada um desses objetivos exige a colaboração da indústria e do governo, juntamente com a ajuda do Congresso, para fechar quaisquer lacunas estatutárias, o que, novamente, é pedir a um governo dividido que cumpra a tarefa impopular de fornecer orientação regulatória adicional”.
“A Estratégia Nacional de Segurança Cibernética apresenta muitas ideias de alto nível com o objetivo de modernizar a estratégia de segurança cibernética do governo federal com o entendimento de que precisa de ajuda de todo o governo e do setor privado, mas deixa algumas perguntas sem resposta sobre a velocidade e capacidade de executar dentro das janelas de uma administração executiva e suas inevitáveis mudanças na liderança que ocorrem no ciclo mais longo de oito anos. Como quase tudo em segurança cibernética, o progresso real não é feito apenas com estratégia, mas com trabalho prático detalhado.”
Debbie Gordon, fundadora, CEO, Cloud Range:
“Embora aplaudamos a meta do governo de formar nossa força de trabalho cibernética nacional sob o Objetivo Estratégico 4.6 e desenvolver a próxima geração de talentos cibernéticos de nosso país, infelizmente não adianta o que precisa ser feito para fortalecer a força de trabalho que temos hoje. Em qualquer tipo de campo de segurança de vida – e é exatamente isso que a segurança cibernética de infraestrutura crítica representa – a necessidade de treinamento e prontidão contínuos é integral.
O cenário de ameaças cibernéticas muda diariamente, com setores críticos de infraestrutura sendo os alvos dos APTs mais avançados apoiados pelo estado-nação, portanto, não podemos depender de um certificado de treinamento anual para ter certeza de que nossa infraestrutura está sendo protegida. Os requisitos de treinamento contínuo que podem ser medidos em relação às estruturas padrão do setor para validar sua eficácia podem não apenas ajudar as organizações a garantir que tenham as pessoas certas com as habilidades certas para prevenir e responder a ataques no local, mas também fornecer aos profissionais de segurança cibernética um caminho claro para expandam suas carreiras com as habilidades cibernéticas exclusivas da segurança cibernética OT.”
Jacob Berry, campo CISO, Clumio:
“Estamos entusiasmados em ver mais investimentos do governo federal dos EUA em iniciativas de segurança cibernética. Com a publicação da nova Estratégia Nacional de Segurança Cibernética, várias das iniciativas federais se destacam como propensas a promover mudanças no setor de segurança cibernética. A nova estratégia entrega cinco pilares estratégicos e dentro desses pilares, há três áreas que nos chamaram a atenção.
A estratégia delineou uma iniciativa para aumentar a carga sobre as empresas de tecnologia para fornecer software e serviços seguros. Isso provavelmente levará a uma legislação que criará novas penalidades, ou aumentará as penalidades, para empresas que não seguem as melhores práticas de segurança alinhadas aos padrões do NIST. Isso significa que o investimento e a auditoria precisarão aumentar em todos os domínios. A Clumio continuará a aumentar nossos investimentos em novas tecnologias para garantir que os parceiros possam oferecer ambientes operacionais seguros que atendam e ultrapassem os requisitos do NIST.
Em segundo lugar, o governo federal planeja “moldar as forças do mercado”. Isso virá não apenas na forma de regulamentação, mas também em subsídios e investimentos monetários em pesquisa de segurança cibernética. Para nós, que pregamos a necessidade de investimento contínuo neste setor, é com grande satisfação que vemos o empenho em parcerias públicas e privadas.
Finalmente, podemos ver a legislação federal sobre privacidade e governança de dados introduzida no futuro. Com muitos estados implementando sua própria legislação de privacidade, isso pode trazer uma mudança bem-vinda para uma estratégia mais centralizada na lei de privacidade de dados dos EUA”.
Amit Shaked, CEO e cofundador da Laminar:
“A Estratégia Nacional de Segurança Cibernética de 2023 reconhece os benefícios dos serviços baseados em nuvem, como resiliência operacional para infraestrutura crítica e habilitação de práticas de segurança cibernética escaláveis e mais acessíveis – ao mesmo tempo em que reconhece que existem lacunas na segurança da nuvem no nível federal. Ele também observa que uma parte fundamental da estratégia de arquitetura de confiança zero do Office of Management and Budget (OMB) está ganhando visibilidade nas superfícies de ataque das agências do Poder Executivo Federal Civil (FCEB) e adotando ferramentas de segurança na nuvem.
Aplaudimos isso, pois a visibilidade e a compreensão de toda a amplitude de sua infraestrutura de nuvem e os dados que residem nela são uma das principais lacunas que muitas agências governamentais enfrentam ao fazer a transição para a nuvem. No auge da pandemia, quando outras organizações estavam realizando iniciativas semelhantes, uma em cada duas empresas sofreu uma violação devido a dados desconhecidos ou ‘sombra’, falta de visibilidade na rede e desconexão geral entre desenvolvedores e equipes de TI e segurança.
Incentivamos todas as empresas – incluindo o governo federal – a usar ferramentas ágeis de segurança de dados que permitem o monitoramento contínuo automatizado de ativos de dados – especialmente após a conclusão da mudança para a nuvem. Ter total observabilidade permitirá que eles automatizem a descoberta de dados em nuvem e a aplicação de políticas de segurança de dados, controlem a exposição de dados e habilitem o segmento de ambiente centrado em dados. Simplesmente não é bom o suficiente para proteger a infraestrutura de nuvem – os dados também devem ser protegidos.”
Jim Richberg, CISO do setor público, vice-presidente de segurança da informação, Fortinet:
“Parte do foco da nova estratégia nacional é transferir grande parte da responsabilidade pela mitigação do risco cibernético para longe dos usuários finais, como indivíduos, pequenas empresas e pequenos operadores de infraestrutura crítica, como serviços públicos locais. Esses grupos geralmente têm poucos recursos e poucos conhecimentos cibernéticos em comparação com organizações como provedores de tecnologia e grandes corporações ou agências governamentais, que são mais capazes de lidar com os riscos cibernéticos de forma sistêmica. À medida que o governo dos EUA trabalha para implementar essa estratégia, a parceria e a colaboração contínuas entre organizações privadas e públicas devem ser integradas a esses esforços.
A cibersegurança é uma preocupação de todos. Nossa estratégia cibernética nacional ajudará a definir metas e papéis para as partes interessadas, desde o governo até os indivíduos. A segurança cibernética perfeita é inatingível, mas o objetivo pelo qual nos empenhamos deve ser focado na construção de resiliência cibernética, na maximização da segurança cibernética, ao mesmo tempo em que tomamos medidas para minimizar as consequências das falhas inevitáveis que podem ocorrer na segurança. Como nação, precisamos planejar para ter sucesso, mas também estar preparados para lidar com o fracasso”.
Joshua Corman, ex-chefe estrategista da CISA e atual vice-presidente de segurança cibernética da Claroty :
“A escolha de colocar a infraestrutura crítica em primeiro plano no Pilar 1 é importante e deliberada. É crucial, à medida que a estratégia é implementada, que finalmente comecemos a estratificar nossas funções críticas de infraestrutura. Encorajo o Congresso, a Casa Branca, a CISA e outras partes do governo a se concentrarem nas 55 Funções Críticas Nacionais – as funções sensíveis à latência que, se interrompidas por 24 a 48 horas, podem contribuir para a perda de vidas ou uma crise de confiança do público. Isso inclui: fornecer água, fornecer assistência médica, gerar eletricidade, produzir e fornecer alimentos etc. estão entre os alvos mais atraentes para os agentes de ameaças.
FONTE: SECURITYWEEK