“O que é mais perigoso para a segurança cibernética e a ciberdefesa, balões espiões chineses ou software inseguro?” Foi com esta pergunta que a diretora da Agência de Cibersegurança e Infraestrutura (CISA) dos Estados Unidos, Jen Easterly, iniciou seu discurso em uma palestra na Universidade Carnegie Mellon, nos EUA, na segunda-feira, 27 de fevereiro.
Em resposta à sua própria pergunta, a executiva enfatizou que os provedores de tecnologia devem priorizar a segurança em seus produtos em detrimento de outros aspectos, como custos, recursos e velocidade de lançamento no mercado. Ela sugeriu que o governo responsabilize as empresas pela venda de produtos vulneráveis que cibercriminosos e hackers patrocinados por Estados-nação posteriormente exploram em ataques cibernéticos.
“O governo pode trabalhar para promover uma legislação para impedir que os fabricantes de tecnologia se isentem de responsabilidade, por contrato, estabelecendo padrões mais altos de proteção para software em instituições específicas de infraestrutura crítica e conduzindo a criação de uma estrutura de ‘porto seguro’, de maneira que as empresas desenvolvam critérios rígidos de segurança para seus produtos e serviços de software”, disse Jen. “Embora não seja possível evitar todas as vulnerabilidades de software, o fato de termos aceitado um ‘Patch Tuesday’ mensal como normal é mais uma prova de nossa disposição de operar perigosamente no limite do acidente”, acrescentou ela, numa clara alusão à Microsoft.
A título de comparação, Jen citou que a Apple afirma que 95% de seus usuários do iCloud usam a autenticação multifator (MFA), deixando nas entrelinhas o fato de o Twitter admitir que menos de 3% de seus usuários ativam qualquer tipo de MFA, enquanto a Microsoft coloca esse índice em cerca de 25% de seus clientes corporativos. “E apenas cerca de um terço das contas de administrador dessas empresas usam MFA”, observou a diretora da CISA.
“Os números impressionantes de MFA da Apple não se devem ao acaso. Ao tornar o MFA o padrão para contas de usuário, a Apple está assumindo a responsabilidade pelos resultados de segurança de seus usuários”, disse Jen, acrescentando que, embora as porcentagens de MFA do Twitter e da Microsoft sejam “decepcionantes ”, pelo menos eles divulgam publicamente esses dados. “Ao fornecer transparência em torno da adoção de MFA, essas organizações estão ajudando a esclarecer a necessidade de segurança por padrão”, ponderou ela.
Veja isso
Bugs críticos expuseram mais de mil PLCs da Schneider Electric
Patch Tuesday: Microsoft corrige 3 bugs de dia zero e 77 falhas
Para Jen, mais empresas deveriam seguir esse exemplo. “Na verdade, toda organização deve exigir transparência em relação às práticas e controles adotados pelos provedores de tecnologia e, em seguida, exigir a adoção de tais práticas como critérios básicos de aceitabilidade antes da aquisição ou uso”, acrescentou ela, ao frisar que as organizações devem pedir aos fabricantes que sejam transparentes com suas políticas de divulgação de vulnerabilidades, para proteger os pesquisadores de segurança que encontram e relatam esses bugs e para corrigir a causa raiz das falhas de segurança.
Tornar o software seguro por design e, assim, colocar a responsabilidade nos fornecedores de vender produtos seguros prontos para uso, em vez de empurrar essa responsabilidade para os consumidores e empresas, é o mantra que a CISA tem batido sob a liderança de Jen. Com agências de notícias internacionais e informações do The Register.