O governo dos EUA divulgou a tão esperada “Estratégia Nacional de Segurança Cibernética” que, entre outros pontos, impõe obrigações a fornecedores de software e empresas que operam infraestruturas críticas e dá luz verde para uma abordagem mais agressiva de “hack-back” — prática de hackear de volta o hacker, de modo a frustrar um ataque cibernético, recuperar dados ou identificar o invasor — para lidar com operadores de ameaças, especialmente de ransomware.
A Casa Branca planeja usar a regulamentação para “nivelar o campo de jogo” e transferir a responsabilidade para fornecedores e empresas que falham em tomar precauções razoáveis para proteger seu software. “[Embora] as abordagens voluntárias para a segurança cibernética de infraestruturas críticas tenham produzido melhorias significativas, a falta de requisitos obrigatórios muitas vezes redundou em resultados inconsistentes e, em muitos casos, inadequados”, diz o documento, o qual defende uma mudança dramática de responsabilidade “para aquelas entidades que falham em tomar precauções razoáveis para proteger seu software”.
“Ao definir os regulamentos de segurança cibernética para infraestrutura crítica, os [órgãos] reguladores são incentivados a conduzir a adoção de princípios seguros por design, priorizar a disponibilidade de serviços essenciais e garantir que os sistemas sejam projetados para falhar com segurança e se recuperar rapidamente. Os regulamentos definirão as práticas ou resultados mínimos esperados de segurança cibernética, mas a administração encoraja e apoiará novos esforços das entidades para exceder esses requisitos”, enfatiza o documento.
O governo federal planeja usar as autoridades reguladoras para definir “requisitos necessários de segurança cibernética em setores críticos” e, onde houver lacunas legais, planeja trabalhar com o Congresso para fechá-las.
A estratégia está dividida em cinco pilares: defesa da infraestrutura crítica; desmantelamento de operadores de ameaças; moldar as “forças do mercado” para impulsionar a segurança e a resiliência; investimento em um futuro resiliente; e formação de parcerias internacionais para buscar objetivos compartilhados.
A estratégia também concede autorização às agências de inteligência e de aplicação da lei para “interromper e desmantelar operadores de ameaças”, incluindo grupos estrangeiros de APT e gangues de ransomware de extorsão de dados. Entre as medidas está a autorização às agências de inteligência e de aplicação para invadir as redes de computadores de cibercriminosos e governos estrangeiros.
“As campanhas de disrupção devem se tornar tão sustentadas e direcionadas que a atividade cibernética criminosa se torne não lucrativa e os operadores ligados a governos estrangeiros envolvidos em atividades cibernéticas maliciosas não a vejam mais como um meio eficaz de atingir seus objetivos”, enfatizou a Casa Branca, observando que o governo federal irá aumentar a velocidade e a escala do compartilhamento de informações para alertar proativamente sobre ameaças iminentes.
Veja isso
Bolsa de Nova York exclui teles chinesas por motivo de ‘segurança nacional’
FCC aponta Huawei e ZTE como ameaças à segurança nacional
“O governo federal trabalhará com a nuvem e outros provedores de infraestrutura de internet para identificar rapidamente o uso malicioso da infraestrutura baseada nos EUA, compartilhar relatórios, tornar mais fácil para as vítimas denunciar a exploração desses sistemas e tornar mais difícil para cibercriminosos obterem acesso a esses recursos em primeiro lugar”, acrescenta o documento.
A Casa Branca também irá promover campanhas para desencorajar o pagamento de resgates por extorsão a cibercriminosos, argumentando que “a maneira mais eficaz de minar a motivação desses grupos criminosos é reduzir o potencial de lucro”. “O objetivo é tornar os operadores de ameaças incapazes de montar campanhas cibernéticas sustentadas que ameacem a segurança nacional ou a segurança pública dos Estados Unidos”, diz a estratégia.
O documento da estratégia [PDF] vai mais fundo, atribuindo o trabalho à Força-Tarefa Conjunta de Investigação Cibernética Nacional do FBI, em conjunto com todas as agências relevantes dos EUA. Também diz que as empresas privadas serão “parceiros integrais” para emitir alertas antecipados e ajudar a repelir ataques cibernéticos.