Biden assina ordem executiva para fortalecer a segurança cibernética do governo federal
WASHINGTON – Enquanto a Costa Leste sofria com um ataque de ransomware a um grande oleoduto, o presidente Biden assinou uma ordem executiva na quarta-feira que definiu novos padrões estritos sobre a segurança cibernética de qualquer software vendido ao governo federal.
A mudança faz parte de um amplo esforço para fortalecer as defesas dos Estados Unidos, incentivando as empresas privadas a praticar melhor a segurança cibernética, sob o risco de serem excluídas dos contratos federais. Mas o maior efeito pode vir do que, com o tempo, poderá se tornar uma classificação do governo para a segurança de produtos de software. da mesma forma que os carros recebem uma classificação de segurança ou Restaurantes de Nova York ganham uma classificação de segurança da saúde.
O pedido surge em meio a uma onda de novos ataques cibernéticos, mais sofisticados e de longo alcance do que nunca. No ano passado, aproximadamente 2.400 ataques de ransomware visaram escritórios corporativos, locais e federais em esquemas de extorsão que bloqueiam os dados das vítimas ou os publicam, a menos que paguem um resgate.
O medo mais urgente é um ataque à infraestrutura crítica, um ponto deixado claro esta semana para os americanos, que estavam pânico comprando gasolina. Um ataque de ransomware aos sistemas de informação da Colonial Pipeline forçou a empresa a fechar um gasoduto crítico que fornecia 45% da gasolina, diesel e combustível de aviação da Costa Leste por vários dias.
Embora todos os presidentes desde George W. Bush tenham emitido novas diretrizes para reforçar as defesas digitais do país, a ordem de Biden visa atingir mais profundamente o setor privado. E é muito mais detalhado do que os esforços anteriores.
Pela primeira vez, os Estados Unidos exigirão que todos os softwares adquiridos pelo governo federal estejam em conformidade, em seis meses, com uma série de novos padrões de segurança cibernética. Embora as empresas precisassem “autocertificar”, os infratores seriam removidos das listas de compras federais, o que poderia destruir sua capacidade de vender seus produtos no mercado comercial.
A ordem também estabelece um conselho de revisão de incidentes, assim como as equipes que investigam acidentes aéreos, para aprender lições com episódios de pirataria. A Casa Branca exige que o primeiro incidente sob revisão seja o SolarWinds hack, em que a principal agência de inteligência da Rússia alterou o código de computador do software de gerenciamento de rede de uma empresa dos Estados Unidos. Ele deu à Rússia amplo acesso a 18.000 agências, organizações e empresas, principalmente nos Estados Unidos.
O novo pedido também exige que todas as agências federais criptografem os dados, sejam eles armazenados ou transmitidos – dois desafios muito diferentes. Quando a China roubou 21,5 milhões de arquivos de funcionários federais e contratados que tinham autorização de segurança, nenhum dos arquivos estava criptografado, o que significa que podiam ser lidos facilmente. (Os hackers chineses, concluíram os pesquisadores mais tarde, criptografaram os próprios arquivos para evitar a detecção ao enviar os registros confidenciais para Pequim.)
Esforços anteriores para impor padrões mínimos em software não foram aprovados no Congresso, especialmente em um grande confronto há nove anos. Pequenas empresas disseram que as mudanças não são acessíveis e as maiores se opuseram a um papel intrusivo do governo federal em seus sistemas.
Mas Biden decidiu que era mais importante agir rápido do que tentar lutar por termos mais amplos no Capitólio. Seus assessores disseram que era um primeiro passo e funcionários do setor disseram que era mais ousado do que esperavam.
Amit Yoran, CEO da Tenable e ex-funcionário de segurança cibernética do Departamento de Segurança Interna, disse que a questão na mente de todos era se a ordem de Biden impediria os próximos ataques coloniais ou SolarWinds.
“Nenhuma política, iniciativa governamental ou tecnologia pode fazer isso”, disse Yoran. “Mas este é um grande começo.”
Autoridades do governo reclamaram que o Colonial tinha defesas ruins e, embora tenha estabelecido uma proteção rígida em torno de suas redes de computadores, não tinha como monitorar um adversário que se aproximava. A administração Biden espera que os padrões estabelecidos na ordem executiva, que exigem autenticação multifatorial e outras salvaguardas, se tornem mais difundidos e melhorem a segurança globalmente.
O senador Mark Warner, democrata da Virgínia e presidente do Comitê de Inteligência do Senado, elogiou a ordem, mas disse que ela deveria ser seguida por uma ação do Congresso.
Warner disse que os ataques recentes “destacaram o que se tornou cada vez mais óbvio nos últimos anos – que os Estados Unidos simplesmente não estão preparados para se defender contra hackers patrocinados pelo Estado ou mesmo criminosos que tentam comprometer nossos sistemas para fins de lucro ou espionagem”.
A nova ordem é a primeira grande parte pública de uma revisão em vários níveis de estratégias defensivas, ofensivas e legais para enfrentar adversários em todo o mundo. No entanto, essa ordem executiva concentra-se inteiramente no aprofundamento das defesas, na esperança de dissuadir os invasores por temerem falhar ou correrem maior risco de serem detectados.
O Departamento de Justiça está criando uma nova força-tarefa para combater o ransomware, após a descoberta nos últimos meses de que tais ataques são mais do que mera extorsão, eles podem derrubar setores da economia.
Biden anunciou sanções contra a Rússia pelo ataque à SolarWinds, e seu conselheiro de segurança nacional, Jake Sullivan, disse que também haverá consequências “invisíveis”. Até agora, os Estados Unidos não tomaram medidas semelhantes contra o governo chinês por seu suposto envolvimento em outro ataque, explorando buracos em um sistema da Microsoft usado por grandes empresas ao redor do mundo.
A ordem executiva foi redigida pela primeira vez em fevereiro em resposta à intrusão da SolarWinds. Esse ataque foi especialmente sofisticado porque os hackers que trabalham para o governo russo conseguiram alterar o código que a empresa estava desenvolvendo, que distribuiu inadvertidamente o malware em uma atualização de seus pacotes de software. Ele foi descoberto durante a transição de Biden e o levou a declarar que não podia confiar na integridade dos sistemas federais de computadores.
O conselho de revisão criado pela ordem executiva será co-presidido pelo secretário de Segurança Interna e um funcionário do setor privado, dependendo do episódio específico que ele esteja investigando no momento, em um esforço para conquistar executivos do setor que temem as investigações. . Pode ser um monte de processos judiciais
Por ter sido criado por uma ordem executiva e não por um ato do Congresso, o novo conselho não terá os mesmos poderes amplos de um conselho de segurança. Mas as autoridades ainda esperam que seja valioso para entender as vulnerabilidades, melhorar as práticas de segurança e encorajar as empresas a investirem mais na melhoria de suas redes.
Grande parte da ordem executiva se concentra no compartilhamento de informações e na transparência. Seu objetivo é acelerar o tempo em que empresas que foram vítimas de um hack ou descobrem vulnerabilidades compartilham essas informações com a Agência de Segurança de Infraestrutura e Cibersegurança.