A administração Biden está conclamando as big techs para que assinem um compromisso para melhorar a segurança digital, incluindo redução do uso de senhas padrão e uma divulgação mais assertiva das vulnerabilidades em seus produtos.
O pedido de compromisso voluntário foi relatado pela primeira vez pela Wired e é parte do esforço da Agência de Segurança Cibernética e de Infraestrutura (CISA), ligada ao Departamento de Segurança Interna, para dar suporte à sua iniciativa Secure by Design, que incentiva os fornecedores de tecnologia a priorizar a segurança cibernética ao desenvolver e configurar seus produtos.
Ao assinar o compromisso, as empresas prometeriam fazer um “esforço de boa fé” para implementar sete melhorias críticas de segurança cibernética, que vão desde a solicitação de relatórios de vulnerabilidades em seus produtos até a expansão do uso da autenticação multifatorial (MFA), uma tecnologia que adiciona uma etapa extra de login. à senha tradicional.
A promessa — que a CISA planeia anunciar na conferência de cibersegurança da RSA, que começa nesta segunda-feira, 6, em São Francisco — representa um grande teste para a agência, que na semana passada comemorou o aniversário de um ano da sua campanha Secure by Design. A iniciativa é uma das principais prioridades da CISA, mas até agora produziu resultados tímidos, com algumas empresas continuando a ignorar as suas recomendações. A reação da indústria de tecnologia ao compromisso — e especialmente o número de gigantes do software que vão assinar o compromisso — servirá como um teste decisivo à forma como o setor privado encara o esforço contínuo da CISA para aumentar o investimento empresarial na segurança cibernética.
A Wired perguntou a umas três dezenas das maiores empresas de software se elas haviam assinado ou planejavam assinar o compromisso. Apenas algumas responderam. Notadamente, os gigantes de nuvem Amazon, Google e Microsoft não disseram se iriam assinar. “A CISA diz que tem 50 empresas que estão assinando e dando depoimentos para colocar no site”, disse um funcionário da indústria de tecnologia familiarizado com o assunto, que pediu anonimato à Wired. “Não conheço nenhuma empresa que tenha assinado.” A responsabilidade legal é uma das principais razões do receio de algumas empresas em se comprometer.
Os sete objetivos estabelecidos no compromisso representam práticas de segurança que, segundo os especialistas, melhorariam drasticamente as defesas cibernéticas das empresas e tornariam mais fácil para os clientes a utilização segura dos seus produtos.
Os objetivos incluem aumentar significativamente o uso da autenticação multifator pelos usuários, inclusive habilitando-a automaticamente ou estimulando os usuários a ativá-la; eliminação de senhas padrão, inclusive exigindo que os usuários escolham senhas fortes na configuração do produto; e tornar mais fácil para os clientes entenderem hacks de produtos que eles usam, inclusive permitindo que eles revisem registros de atividades de rede suspeitas gratuitamente.
Veja isso
Biden aprova medida para reforçar cibersegurança nuclear dos EUA
Biden sanciona lei que estrutura cibersegurança quântica
As empresas que assinassem o compromisso também se comprometeriam a reforçar os seus produtos contra classes inteiras de vulnerabilidades, com a utilização de linguagens de programação seguras para a memória que bloqueiam completamente os ataques baseados na memória; promover melhores correções de software, inclusive facilitando a aplicação de correções e automatizando-as sempre que possível; criação de programas de divulgação de vulnerabilidades que incentivam os usuários a encontrar e relatar falhas de produtos; e publicar alertas oportunos sobre novas vulnerabilidades importantes, bem como incluir informações detalhadas em todos os novos alertas de vulnerabilidade.
A campanha Secure by Design da CISA é a peça central do ambicioso plano da administração Biden para transferir o fardo da segurança cibernética dos usuários para os fornecedores, tema central da Estratégia Nacional de Segurança Cibernética do governo.