E o presidente disse «tudo bem agora.» As novas propostas em cibersegurança da Casa Branca

Joe Biden assinou uma Ordem Executiva para melhorar a segurança cibernética nacional e proteger com mais eficiência as redes do governo federal . O ataque à operadora de oleoduto Colonial Pipeline, notícia que viralizou na mídia em geral, foi a gota d’água. Apesar do fato de que o setor de segurança cibernética pode ter percebido que o ransomware acabaria atacando a infraestrutura crítica e causando o caos, foi necessário que a ameaça se materializasse para que ocorresse uma reação que, esperamos, ter consequências benéficas. O Mundo da cibersegurança já tem em sua história para recordar, outro ataque que mudou as regras do jogo.

Eventos negativos, capazes de mudar as leis, o paradigma ou a consciência coletiva de uma indústria, são contados nos dedos de uma mão. Na segurança cibernética talvez (sem a pretensão de completar com todos os casos) possamos falar do Blaster e do Sasser em 2003, que modificou completamente a percepção de segurança na Microsoft, já bastante tocada. A Stuxnet em 2010 nos alertou sobre as armas cibernéticas e conscientizou o mundo sobre a nova estratégia cibernética e geopolítica. O Wannacry em 2017, um golpe no orgulho da indústria, por ter sido atacado naquele momento por um worm que se aproveitou de uma vulnerabilidade já corrigida. E apesar de anos lidando com ransomware, a ameaça deve se materializar em um impacto com graves consequências para os Estados Unidos, para que as normas sejam endurecidas. Porque se pensarmos bem, foi o próximo avanço lógico na escala: passou de atacar usuários a sequestrar PMEs, de PMEs a grandes empresas, destas a organizações adiante, suspeitava-se, das infraestruturas críticas. Mas o incidente (junto com tantos outros que vêm acontecendo) acabou fazendo o presidente reagir.

Este decreto visa modernizar as defesas, mas sobretudo focar em um problema que, apesar da gravidade da situação, ainda pode ser mitigado. Fundamentalmente, a ordem pretende compartilhar mais informações entre o governo e o setor privado e melhorar a capacidade de resposta. Os pontos de ação básicos são:

• Permite que as empresas privadas (especialmente aquelas que hospedam servidores) compartilhem informações com o governo. Isso agilizará o processo de investigação quando ocorrerem incidentes relacionados a algum acesso a um servidor. Também terão um tempo máximo para relatar esses incidentes.
• Melhorar e adotar os padrões de segurança cibernética no governo federal. É um compromisso (a alto nível, embora sejam mencionadas tecnologias específicas) em adotar os melhores padrões (2FA, criptografia, SDLC …) a partir das próprias infraestruturas do governo.
• Melhorar as redes de fornecimento, como mostrou o ataque à SolarWinds. O software vendido ao governo deve atender aos requisitos mínimos de segurança. Haverá uma espécie de certificado que o credencia, semelhante ao de energia ou emissões.
• Um conselho ou comissão de revisão de segurança cibernética pública e privada. Quando ocorre um acidente, ele é gerenciado e as conclusões são tiradas de maneira coordenada. Esta comissão inspira-se na que a aeronáutica já possui, em que os setores público e privado se reúnem após grandes incidentes aéreos.
• Um sistema padrão de resposta a incidentes interno e externo será criado. As empresas não precisam mais esperar que algo aconteça para descobrir o que precisa ser feito.
• Melhorar a capacidade de defesa da rede federal. Talvez a medida mais genérica, que visa reforçar toda a infraestrutura do governo com as ferramentas de segurança cibernética adequadas.
• Melhorar a capacidade de remediação e investigação. Talvez isso seja basicamente resumido na melhoria dos sistemas de log.

E agora?

Essa ordem executiva significará que as empresas terão que atender a padrões mínimos, com procedimentos e auditorias… E no final das contas, será gerada uma indústria mais saudável, mais monitorada por ela mesma. Mais robusta e unida, esperamos. Algo semelhante ao que as empresas de cartão de débito e crédito fizeram quando lançaram a iniciativa PCI-DSS que exigia que todos que trabalham com esses dados passassem por uma auditoria mínima. Embora não resolva completamente o problema, irá melhorar significativamente. Põe em foco a segurança cibernética no mais alto nível, une forças e, como mencionamos, ataca o problema de um ângulo político e jurídico que complementa a abordagem técnica, insuficiente por si só.

No entanto, ainda faltam leis mais claras contra os invasores que simplifiquem a possibilidade de perseguir, identificar e impor sanções em todo o mundo. Agora existe apoio político e legal para promover a segurança do ponto de vista técnico, mas o ciberespaço também é legal, social, político … e a atividade dos atacantes deve ser estrangulada por todos esses ângulos. Um problema tão grave, embora de natureza técnica, não pode ser resolvido apenas por esse mesmo ângulo. Se nos concentrarmos apenas em corrigir e responder, auditar e certificar, não faremos progresso suficiente. De qualquer forma, essa encomenda é uma ótima notícia e um primeiro passo nessa direção.