Dez agências de cibersegurança de sete países uniram forças para criar um guia voltado a empresas desenvolvedoras de software para garantir que seus produtos sejam seguros por design e por padrão, conceito conhecido também como security-by-design. O documento conjunto, intitulado Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default, surge após várias vulnerabilidades críticas recentemente identificadas softwares de fornecedores.
Em abril, a Agência de Segurança Cibernética e Infraestrutura (CISA) dos Estados Unidos publicou sete avisos cobrindo vulnerabilidades em sistemas de controle industrial (ICS) e software de controle de supervisão e aquisição de dados (SCADA) de vários fornecedores, incluindo vulnerabilidades críticas. Algumas semanas antes, a agência também havia emitido avisos sobre 49 vulnerabilidades em oito ICS de fornecedores como Delta Electronics, Hitachi, Keysight, Rockwell, Siemens e VISAM.
As agências que participaram da elaboração do guia são o Centro Australiano de Segurança Cibernética (ACSC), Centro Canadense de Segurança Cibernética (CCCS) Escritório Federal de Segurança da Informação (BSI) da Alemanha, Centro Nacional de Segurança Cibernética (NCSC-NL) da Holanda, Equipe de Resposta a Emergências de Computadores (CERT) e Centro Nacional de Segurança Cibernética (NCSC), ambos da Nova Zelândia, Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido, CISA, FBI e a Agência de Segurança Nacional (NSA) dos EUA.
Seguro por design versus seguro por padrão
A orientação define que os produtos seguros desde o design são aqueles em que a segurança dos clientes é uma meta comercial central, não apenas um recurso técnico. Os produtos seguros por design começam com esse objetivo antes do início do desenvolvimento. Os produtos seguros por padrão são aqueles que são seguros para uso imediato, com pouca ou nenhuma alteração de configuração necessária e recursos de segurança disponíveis sem custo adicional. Essas abordagens, acreditam as agências, eliminam grande parte da carga de segurança do cliente e reduzem as chances de que sejam vítimas de incidentes de segurança.
Segundo o documento, todo fabricante de tecnologia deve construir seus produtos de forma a evitar que os clientes tenham que realizar monitoramento constantemente, atualizações de rotina e controle de danos em seus sistemas para mitigar invasões cibernéticas. “Historicamente, os fabricantes de tecnologia contam com a correção de vulnerabilidades encontradas depois que os clientes implantam os produtos, exigindo que apliquem esses patches às suas próprias custas. Somente incorporando práticas de segurança por design, quebraremos o ciclo vicioso de criar e aplicar correções”, afirma o guia.
As agências instaram os desenvolvedores de tecnologia a reformular seus programas de design e desenvolvimento para permitir que apenas produtos seguros por design e por padrão sejam comercializados. Uma maneira de conseguir isso, sugere o documento, é que os desenvolvedores de sistemas migrem para linguagens de programação que eliminem vulnerabilidades generalizadas, em vez de focar em recursos de produtos que parecem atraentes, mas aumentam o risco de ataques.
“Nosso novo guia conjunto visa conduzir a conversa sobre os padrões de segurança e ajudar a girar o botão para que o ônus do risco cibernético não seja mais carregado em grande parte pelo consumidor”, disse Lindy Cameron, CEO do NCSC do Reino Unido, em um comunicado. “Pedimos aos fabricantes de tecnologia que se familiarizem com os conselhos deste guia e implementem práticas seguras por design e padrão em seus produtos para ajudar a garantir que nossa sociedade seja segura e resiliente on-line.”
Parte do documento inclui recomendações para CISOs e compradores de tecnologia e informações para ajudar a proteger seus negócios. O guia recomenda que as organizações responsabilizem seus fornecedores de tecnologia pela segurança de seus produtos. Isso deve ser feito priorizando a compra do que descreve como produtos seguros por design e seguros por padrão. A orientação sugere que isso seja feito estabelecendo políticas que exijam que os departamentos de TI avaliem a segurança do software do fabricante antes de comprá-lo, além de capacitar os departamentos de TI para recuar, se necessário. “Os departamentos de TI devem ser capacitados para desenvolver critérios de compra que enfatizem a importância das práticas seguras por design e seguras por padrão.”
Veja isso
Windows 11 tem security by design, diz Microsoft
LGPD: proteja os dados desde o desenho da aplicação
Quando se trata de tecnologia de segurança em nuvem, os compradores devem entender a responsabilidade dos provedores e das organizações. “Produtos de tecnologia inseguros podem representar riscos para usuários e à nossa segurança nacional”, disse o diretor de segurança cibernética da NSA, Rob Joyce, em comunicado. “Se os fabricantes priorizarem consistentemente a segurança durante o projeto e o desenvolvimento, podemos reduzir o número de invasões cibernéticas maliciosas que vemos.”
As orientações vão além e recomendam que a TI tenha o apoio da gerência executiva ao aplicar esses critérios. “Decisões organizacionais para aceitar os riscos associados a produtos de tecnologia específicos devem ser formalmente documentadas, aprovadas por um executivo sênior de negócios e apresentadas regularmente ao conselho de administração.”
De acordo com o documento, a postura de segurança da organização deve ser vista como crítica, incluindo rede corporativa, gerenciamento de identidade e acesso e operações de segurança e resposta. Elas devem reforçar a importância da segurança dos produtos formalmente por meio de contratos com fornecedores e informalmente por meio da construção de uma parceria de longo prazo em que os compradores saibam como o fornecedor trabalha para garantir a segurança dos produtos. Com agências de notícias internacionais.