Biden planeja um pedido para fortalecer as defesas cibernéticas. Será o suficiente?
No mês passado, executivos seniores da Amazon, Microsoft, Cisco, FireEye e dezenas de outras empresas se juntaram ao Departamento de Justiça para entregar um Relatório de 81 páginas pedindo uma coalizão internacional para lutar contra o ransomware. Liderando o esforço dentro do Departamento de Justiça estão Lisa Monaco, a procuradora-geral assistente, e John Carlin, que chefiou a divisão de segurança nacional da agência durante o governo Obama.
No mês passado, os dois ordenaram uma revisão de quatro meses do que Monaco chamou de “ameaça combinada de Estados-nação e empresas criminosas, às vezes trabalhando juntos, para explorar nossa própria infraestrutura contra nós”. Até agora, o Departamento de Justiça tem seguido amplamente uma estratégia de indiciar hackers, incluindo russos, chineses, iranianos e norte-coreanos, poucos dos quais são julgados nos Estados Unidos.
“Precisamos repensar”, disse Monaco na recente Conferência de Segurança Cibernética de Munique.
Entre as recomendações do relatório da coalizão de empresas está pressionar paraísos seguros de ransomware, como a Rússia, para processar criminosos cibernéticos por meio de sanções ou restrições de visto de viagem. Também recomenda que as forças policiais internacionais se reúnam para responsabilizar as trocas de criptomoedas de acordo com as leis de lavagem de dinheiro e “conhecer seu cliente”.
A ordem executiva também busca preencher os pontos cegos nas defesas cibernéticas do país que foram expostos em ataques cibernéticos recentes na Rússia e na China, conduzidos de servidores domésticos nos Estados Unidos, onde a Agência de Segurança Nacional está legalmente proibida de operar.
“Não é o fato de que não podemos conectar os pontos”, disse o general Paul M. Nakasone, que chefia a Agência de Segurança Nacional e o Comando Cibernético do Pentágono, ao Congresso em março, revivendo a acusação das agências de inteligência dos EUA. depois do 11 de setembro. . “Não podemos ver todos os pontos.”
O pedido estabelecerá um navio para compartilhar informações em tempo real que permitiriam ao N.S.A. compartilhe inteligência de ameaças com empresas privadas e permita que empresas privadas façam o mesmo. O conceito tem sido debatido por décadas, e até mesmo fez seu caminho até a “legislação de bem-estar” anterior, conforme descrito pelo senador Ron Wyden, D-Oregon, um projeto de lei de 2015 que levou à negociação de ameaças voluntárias, mas nunca foi implementado no velocidade ou escala necessárias.
A ideia é criar um contêiner para permitir que agências governamentais compartilhem dados classificados de ameaças cibernéticas com empresas e impulsione as empresas a compartilhar mais dados de incidentes com o governo. As empresas não são legalmente obrigadas a divulgar uma violação, a menos que os hackers tenham apreendido informações pessoais, como números de previdência social. A ordem não mudaria isso, embora os legisladores recentemente tenham pedido um lei de divulgação de violação independente.