O Aspen Cybersecurity Group publicou este mês o relatório “A National Cybersecurity Agenda for Resilient Digital Infrastructure“, do qual apresentamos alguns excertos.

Em 1858, uma crise de saúde pública atingiu a cidade de Londres. Surtos de cólera bem-sucedidos, espalhados por água contaminada, mataram milhares. O rio Tamisa estava tão poluído que o Parlamento se recusou a reunir. A população de Londres tinha crescido mas ninguém tinha investido na infra-estrutura básica de esgotos necessários para gerir as consequências de amontoar milhões de pessoas numa das primeiras metrópoles do mundo. Após anos sem proteger o acesso à água potável, o governo finalmente lançou um projecto de obras civis sem precedente para reformar toda a cidade com o seu primeiro sistema de esgotos.

O ciberespaço actual assemelha-se à Londres de 1858. Assim como a água fornece a base para a saúde humana, a Internet tornou-se a plataforma de distribuição e interface para quase todos os aspectos da nossa economia e vida diária. E como a cólera que prosperou nas águas poluídas de Londres, actores maliciosos estão a explorar a teimosa relutância da nossa sociedade em investir na segurança e resiliência da tecnologia. Construímos a nossa sociedade digital sobre uma base instável, confiando os nossos dados e actividades mais críticas a sistemas e ferramentas que não foram originalmente concebidos tendo a segurança como objectivo principal. A abertura revolucionária da Internet mudou o mundo mas hoje essa mesma abertura é cada vez mais usada como o vector para minar o seu sucesso. E ainda temos que investir na infra-estrutura, práticas e instituições necessárias para proteger a tecnologia digital.

Subestimamos sistematicamente como os “maus actores” podem usar a nossa tecnologia contra nós como arma e causarem danos reais. Durante a pandemia da Covid-19, vimos estados-nação almejarem a propriedade intelectual de criadores de medicamentos e grupos criminosos invadirem ​​com ransomware hospitais já stressados. Todos os tipos de actores estão a espalhar desinformação sobre as fontes do coronavírus, tratamentos perigosos e não confirmados, ordens de permanência em casa, a eficácia das vacinas e muito mais.

No entanto, apesar de mais de uma década de estudos, avisos e incidentes de alto perfil – incluindo aqueles que já custaram centenas de milhões de dólares a empresas como Merck, Maersk e FedEx – o investimento do governo em prevenção e resposta à cibersegurança continua terrivelmente inadequado. Após os ataques do 11 de Setembro, não havia dúvida de que o governo dos EUA estava totalmente comprometido em confrontar organizações terroristas. Criou um novo departamento de gabinete (o Department of Homeland Security) e uma nova liderança federal (com o Office of Director of National Intelligence e o National Counterterrorism Center). Destinou milhões de dólares de financiamento para a preparação estadual e local. Todo o aparato federal montou um esforço hercúleo para re-orientar orçamentos, processos e prioridades.

Não vemos uma mobilização semelhante para proteger a Internet e as nossas vidas digitais. Os avisos de um “Cyber ​​9/11” não forneceram o gatilho. Nem os incontáveis ​​milhões de dólares em danos já causados ​​por cibercrimes, ransomware, roubo de propriedade intelectual e espionagem.

A tendência da comunidade de cibersegurança de a tratar como um problema a ser resolvido não tem sido eficaz. Em vez disso, precisamos de mostrar a cibersegurança como um elemento inextricável da infra-estrutura digital da qual dependem todas as prioridades da sociedade. A cibersegurança é a vida moderna e não podemos usar o ciberespaço sem ela. É fundamental para a forma como trabalhamos, como fazemos operações bancárias, como compramos, como conduzimos. Os eventos sem precedentes de 2020 realçaram como a tecnologia e a segurança também são agora fundamentais para a forma como votamos, como prestamos cuidados de saúde – até mesmo a forma como passamos o tempo com os nossos entes queridos no meio de uma pandemia. Com metade da força de trabalho americana a funcionar em casa, corporações de milhões de dólares operam com o Zoom e o Slack. A tecnologia digital deve ser tratada como água – o recurso mais essencial – e a cibersegurança como a base para fazê-la funcionar para todas as comunidades de interessados. À medida que as nossas dependências digitais se intensificam, o nosso estilo de vida não será possível sem uma melhor gestão dos riscos de cibersegurança. A resiliência digital deve tornar-se central em tudo o que fazemos.

Este documento descreve as etapas de acção realizáveis ​​que permitirão aos decisores políticos federais um progresso rápido em direcção a uma base de cibersegurança muito mais sólida para a nossa infra-estrutura digital. Algumas podem ser realizadas em semanas ou meses; outros provavelmente levarão anos. Felizmente, o governo federal não está sozinho. O ciberespaço é, em última análise, domínio da sociedade civil e de empresas privadas, sectores repletos de especialistas que podem orientar a Casa Branca e o Congresso enquanto lutam com as difíceis compensações inerentes a qualquer decisão de política de cibersegurança. Ao elaborar esta agenda nacional de cibersegurança, o Aspen Cybersecurity Group procurou contribuições de uma rede diversificada de parceiros na academia e na indústria.

Finalidade e âmbito
Esta agenda foi concebida para ajudar os decisores de políticas federais a prioritizar, planear e executar iniciativas de cibersegurança viáveis, cujas metas podem ser alcançadas nos próximos quatro anos. O seu público-alvo são políticos nomeados e funcionários de carreira em todo o ramo executivo, legisladores federais e as suas equipas de funcionários e profissionais em comités do Congresso.

Deve-se observar que este não é um “framework” para uma estratégia nacional de cibersegurança, embora a maior parte do seu conteúdo deva figurar numa. Tal estrutura precisaria de envolver o sector privado e a sociedade civil, além do governo – e operar a uma escala global.

O próximo governo e o Congresso não podem abordar simultaneamente a ampla gama de riscos de cibersegurança que a sociedade moderna enfrenta. Os decisores políticos na Casa Branca, nas agências federais e no Congresso devem concentrar-se nos problemas mais importantes e solucionáveis.

Este relatório detalha cinco áreas prioritárias nas quais acreditamos que os decisores de políticas de cibersegurança podem fazer progressos tangíveis enquanto gerem uma transição presidencial, um novo Congresso e uma grande rotatividade de pessoal na capital do nosso país.

São elas:
• Educação e desenvolvimento da força de trabalho
• Resiliência do núcleo público
• Segurança da cadeia de fornecimentos
• Medir a cibersegurança
• Promover a colaboração operacional

Cada secção define o problema, argumenta como lhe dar prioridade, estabelece resultados mensuráveis, descreve os obstáculos anteriores ao sucesso e detalha as etapas de acção tangíveis.

O relatório é concebido para ser modular, com cada secção e as suas recomendações subsidiárias capazes de se sustentarem por si próprias.

Esperamos que isso permita aos campeões das específicas áreas de foco escolher com base nas mudanças das realidades políticas e de negócios. Ao seleccionar essas cinco categorias, o Aspen Cybersecurity Group procurou destacar iniciativas que:
(a) criem um benefício estratégico, oferecendo “a maior vantagem para o defensor sobre os atacantes com o menor custo e a maior escala”;

(b) beneficiem de uma estabelecida função técnica ou organizacional que pode facilitar um progresso rápido; e

(c) sejam relevantes para os interessados da indústria, investigadores e líderes de pensamento de segurança cuja adesão é essencial.

Passos para acção num relance

• Educação e desenvolvimento da força de trabalho
Apropriar novos financiamentos e fundos directos a agências para apoiar organizações dedicadas a aumentar a representação de comunidades sub-representadas no campo da cibersegurança.

Mudar a forma como os empregadores recrutam funcionários de cibersegurança para diversificar e expandir o conjunto de talentos.

Autorizar e financiar um repositório nacional de recursos escolares em cibersegurança.

Criar e dimensionar um “pipeline” da indústria para a escola para instrutores em “part-time”.

Elevar e dimensionar modelos de aprendizagem.

Criar uma estrutura de liderança para coordenar as actividades da força de trabalho de cibersegurança federal.

Melhorar o acesso equitativo aos serviços de Internet em banda larga para todas as comunidades.

Expandir a flexibilidade de pagamento para todos os departamentos e agências federais.

Aumentar o financiamento para os CyberCorps: Scholarship for Service para expandir o seu foco.

• Resiliência do núcleo público
Designar o sector espacial comercial como infra-estrutura crítica.

Publicar uma estratégia nacional para proteger o núcleo público.

Criar um novo gabinete para o ciberespaço no Departamento de Estado dos EUA.

• Segurança da cadeia de fornecimentos
Promover a transparência da segurança.

Publicar uma estratégia de base industrial nacional para maximizar a competição e a inovação.

Promover o apoio financeiro para software livre e de código aberto.

• Medir a cibersegurança
Estabelecer um Gabinete para as CiberEstatísticas (Bureau of Cyber Statistics).

Avaliar a relação custo-benefício das estruturas de cibersegurança e das ferramentas de análise de risco.

Melhorar a capacidade de aplicação da lei estadual e local para reportar incidentes de cibercrimes.

Estabelecer uma parceria intersectorial para modelar o risco da cibersegurança.

• Promover a colaboração operacional
Estabelecer um National Cyber Director para melhorar a colaboração operacional público-privada para disrupção pró-activa e resposta a cibereventos.

Actualizar os incentivos aos funcionários responsáveis pela aplicação da lei federal para recompensar a disrupção das operações de adversários.

Criar um programa de intercâmbio de pessoal entre empresas e agências federais.

Direccionar e publicar uma análise das barreiras legais para uma inteligência mais profunda e a coordenação operacional entre agências federais e empresas privadas.

Criar uma estrutura para medir os resultados das disrupções e das actividades de resposta a eventos.

* Texto e fotos publicados pelo Aspen Cybersecurity Group. Adaptado sob licença (CC BY-NC 4.0).