O governo americano está estudando a adoção de um sistema de pontuação para a qualidade do software, semelhante à pontuação que a cidade de Nova York adotou para a higiene dos seus bares e restaurantes. A informação apareceu na última sexta-feira, na fala da vice-conselheira de segurança nacional Anne Neuberger, em uma conferência virtual realizada pelo SANS Institute. Segundo ela, adotada por Michael Bloomberg em seu mandato de prefeito da cidade foi obrigar os restaurantes da cidade a postar sua classificação de saneamento – “A” “B” ou “C” – em sua fachada para incentivar a limpeza. “Isso colocou dinheiro no problema imediatamente”, disse ela. “Quando os donos de restaurantes perceberam que estavam perdendo vendas por causa da limpeza do restaurante, essa visibilidade iluminou o assunto”, acrescentou.
O conceito de rotulagem e classificação governamental em segurança cibernética não é inteiramente novo. Alguns especialistas há muito tempo desejam um sistema de classificação no estilo Energy Star, o programa que a Agência de Proteção Ambiental e o Departamento de Energia dos EUA usam para promover dispositivos com eficiência energética. Entre os que desejam essa mudança estão os membros da Comissão Solarium de Segurança Cibernética, que no ano passado recomendou que o Congresso o estabelecimento de uma Autoridade Nacional de Certificação e Rotulagem da Segurança Cibernética.
A proposta da Solarium é para rotulagem voluntária, assim como é a Energy Star e a rotulagem de IoT em Cingapura. Os opositores dessas iniciativas ponderam que nos restaurantes da cidade de Nova York a implementação do rating encontrou forte oposição da indústria e nada estava melhorando antes que o prefeito Michael Bloomberg obrigasse os restaurantes a expor sua nota de higiene na fachada.
Em sua fala, Anne Neuberger observa que “ao comprar uma tecnologia como um software de gerenciamento de rede, não temos como saber as práticas de segurança cibernética usadas para criá-lo ou o nível de risco que estamos introduzindo em nossas redes ao comprá-lo. Se tivéssemos essa visibilidade … então podemos tomar decisões que vão alavancar investimentos em segurança cibernética”, concluiu.
A iniciativa poderá contar com uma proposta na qual a CISA (Cybersecurity and Infrastructure Security Agency) e outras organizações vêm trabalhando há anos – a adoção de uma lista de materiais de software. Da mesma forma que os fabricantes usam uma lista de materiais para rastrear peças em sua cadeia de suprimentos, uma lista de materiais de software listaria todos os materiais de código abertos e comerciais que fazem parte dos produtos de uma empresa.
Esse nível adicional de visibilidade ajudaria as organizações a identificar mais facilmente quando seus sistemas podem ser expostos a vulnerabilidades da cadeia de suprimentos, que os cibercriminosos e grupos de ameaças patrocinados pelo estado exploram como uma forma de atingir um alvo por uma porta lateral.
Com agências internacionais
