Especialistas notáveis dizem que, após um ano, a ordem melhorou a postura de segurança do país, mas mais trabalho deve ser feito
Há um ano, o presidente dos EUA, Joe Biden, divulgou a ambiciosa Ordem Executiva para Melhorar a Cibersegurança da Nação após uma série de ataques cibernéticos devastadores e destrutivos. A ordem executiva (EO) desencadeou uma avalanche de legislações em todo o governo federal para cumprir dezenas de prazos agora principalmente alcançados para implementar os objetivos da ordem.
A administração Biden baseou o EO na elevação dos recursos de proteção e resposta do governo em uma ampla gama de sistemas e serviços de tecnologia digital, desde a mudança do governo federal para serviços em nuvem e arquiteturas de confiança zero até a melhoria da segurança da cadeia de suprimentos de software. A ideia era fortalecer a segurança cibernética da infraestrutura do governo e, ao mesmo tempo, elevar o nível de segurança cibernética para fornecedores governamentais, incluindo gigantes da tecnologia, que também devem atender aos objetivos do EO.
Agora, na marca de um ano, vale a pena analisar o quão bem o pedido está, quão eficaz ele foi e se ele perdeu alguma preocupação relevante de segurança cibernética, apesar de sua natureza abrangente.
Ordem executiva de segurança cibernética é “exatamente o que precisávamos”
A maioria dos especialistas em segurança cibernética e políticas concorda que a OE promoveu mudanças muito necessárias e há muito esperadas. Michael Daniel, presidente e CEO da Cyber Threat Alliance e coordenador de segurança cibernética do presidente Obama, diz ao CSO: , a ordem executiva de segurança cibernética forneceu a base para a atividade em andamento e é a estrela-guia das prioridades do governo.”
Daniel diz que um ano não é tempo suficiente para avaliar adequadamente o pedido, que contempla ações que ainda não foram realizadas. “O que o EO colocou em movimento levará mais alguns anos para acontecer, especialmente quando você está falando sobre mudanças em coisas como as regras federais de aquisição. Isso leva muito tempo. Muitas dessas coisas ainda estão em movimento e serão continuar a jogar nos próximos dois anos.”
“Estou satisfeito com o grau em que esta ordem executiva impulsionou e continua impulsionando a atividade. Nem todas as ordens executivas fazem isso”, Bob Kolasky, vice-presidente sênior de infraestrutura crítica da Exiger e ex-diretor assistente da Cybersecurity and Infrastructure Security Agência (CISA), diz CSO. “Este foi o presidente em seu papel como CEO da maior empresa do país, o governo dos EUA, dizendo: ‘Quero que minha equipe CISO, minha equipe de risco, leve a segurança cibernética mais a sério.’ Isso teve um impacto na segurança cibernética mais ampla nos EUA, incluindo governos estaduais e locais e infraestrutura crítica”.
“Mas foi, antes de mais nada, ‘Vamos colocar nossa própria casa em ordem. Vamos modernizar nossa própria casa o máximo possível’. Acho que há evidências iniciais de que conseguiu isso”, diz Kolasky.
“Acho que o pedido foi bastante abrangente e detalhado e exatamente o que precisávamos, mesmo que estivesse atrasado”, disse Chris Wysopal, cofundador e CTO da Veracode, ao CSO. “Faz tanto tempo desde que o governo federal realmente fez alguma coisa sobre a segurança do software. Então, acho que foi um grande passo na direção certa.”
Uma resposta natural ao SolarWinds, outros eventos de segurança
O EO seguiu uma série de incidentes de segurança cibernética de alto perfil e assustadores, incluindo o ataque à cadeia de suprimentos SolarWinds por agentes de ameaças russos, a infiltração de servidores Microsoft Exchange por operadores de espionagem chineses e um ataque de ransomware ao Colonial Pipeline. Os EUA não experimentaram uma série comparável de incidentes de segurança cibernética prejudiciais desde que o EO foi lançado, mas é impreciso dizer que uma relativa calma da atividade destrutiva é uma consequência da ordem.
Se houve uma diminuição de eventos seriamente perturbadores desde maio passado, é apenas “a resposta natural ao crescendo de eventos sobre os quais você está falando foi um foco maior na segurança cibernética dentro e fora do governo”, diz Daniel. Além disso, ele acrescenta: “Essas coisas sempre parecem andar em ciclos”.
Kolasky concorda, principalmente quando se trata de incidentes de ransomware. “Acho que há outras etapas que a administração e a infraestrutura crítica tomaram e maneiras pelas quais moldamos o que está acontecendo em termos de ransomware que foram mais impactantes do que a ordem executiva”, diz ele.
Wyospal rejeita a premissa de que as ações maliciosas se acalmaram. “Não sei se diria que as coisas se acalmaram”, diz ele. “Acho que reajustamos a linha de base do que achamos normal. Há sérios eventos de ransomware o tempo todo.”
Mas Wyospal acha que o EO forçou alguns fornecedores de tecnologia a levar a segurança cibernética mais a sério. “A mera existência da ordem executiva faz com que as organizações, especialmente os fornecedores que estão construindo software, pensem mais em ‘tenho que proteger o software que estou entregando’ ou ‘tenho que proteger meu desenvolvimento e pipeline de invasores maliciosos, ‘” ele diz.
O que está faltando no EO de segurança cibernética?
O EO perdeu algum elemento crítico de segurança cibernética, apesar de sua natureza abrangente? Não exatamente, diz Daniel. “Por mais difícil que seja escrever e concordar com as políticas, é ainda mais difícil fazê-las funcionar e fazê-las funcionar na prática. Eu não gostaria que a Casa Branca lançasse uma série de novas ordens executivas porque acho que isso diluiria o esforço que ainda é necessário no que eles já estabeleceram.”
Outras iniciativas adjacentes devem ser de alta prioridade agora, como “implementar a legislação de relatórios de incidentes que o Congresso aprovou”, diz Daniel. “Isso significa desenvolver um regulamento realmente para implementá-lo. Essa é uma grande peça que a CISA agora tem que fazer, além de todas essas atividades na ordem executiva.”
Kolasky sugere que a ordem executiva conforme escrita já é um prato cheio. “Você quer ter uma agenda gerenciável de coisas”, diz ele. “Focar em confiança zero, melhoria de contrato e segurança da cadeia de fornecimento de software me parecem bons pontos de partida para o que as redes federais deveriam fazer.”
Wysopal diz: “Acho que o que está faltando, mas eles fizeram alusão [no EO], é expandi-lo para cobrir mais software. Os requisitos iniciais em torno do que eles consideram software crítico envolvem coisas como hipervisores e sistemas operacionais e segurança de rede dispositivos e coisas que precisam operar com privilégios maiores.”
“Isso é muito bom. É por aí que você gostaria de começar, com as coisas de maior risco, mas vimos muitas violações que vieram de sites comuns”, diz Wysopal. “Então é onde eu acho que precisa ir no futuro, percebendo que a maioria dos softwares está colocando o governo em risco. Não é apenas software crítico.”
Um ano depois, a ordem executiva de segurança cibernética de Biden impulsiona mudanças positivas
Especialistas notáveis dizem que a ordem executiva de segurança cibernética melhorou a postura de segurança do país, mas mais trabalho deve ser feito.
Há um ano, o Presidente dos EUA, Joe Biden, divulgou a ambiciosa Ordem Executiva para Melhorar a Cibersegurança da Nação [Executive Order on Improving the Nation’s Cybersecurity] após uma série de ataques cibernéticos devastadores e destrutivos. A ordem executiva (EO) desencadeou uma avalanche de legislações em todo o governo federal para cumprir dezenas de prazos agora alcançados para implementar os objetivos da ordem.
A administração Biden baseou a EO na elevação dos recursos de proteção e resposta do governo em uma ampla gama de sistemas e serviços de tecnologia digital, desde a mudança do governo federal para serviços em nuvem e arquiteturas de confiança zero até a melhoria da segurança da cadeia de suprimentos de software. A ideia era fortalecer a segurança cibernética da infraestrutura do governo e, ao mesmo tempo, elevar o nível de segurança cibernética para fornecedores governamentais, incluindo gigantes da tecnologia, que também devem atender aos objetivos da EO.
Agora, na marca de um ano, vale a pena analisar o quão bem o pedido está, quão eficaz ele foi e se ele perdeu alguma preocupação relevante de segurança cibernética, apesar de sua natureza abrangente.
Ordem executiva de segurança cibernética é “exatamente o que precisávamos”
A maioria dos especialistas em segurança cibernética e políticas concorda que a OE promoveu mudanças muito necessárias e há muito esperadas. Michael Daniel, Presidente e CEO da Cyber Threat Alliance e Coordenador de Segurança Cibernética do Presidente Obama, diz ao CSO: “Esteja você falando sobre listas de materiais de software ou sobre a necessidade de autenticação multifator em toda a empresa federal, a ordem executiva de segurança cibernética forneceu a base para a atividade contínua e é a estrela-guia das prioridades do governo”.
Daniel diz que um ano não é tempo suficiente para avaliar adequadamente o pedido, que contempla ações que ainda não foram realizadas. “O que a EO colocou em movimento levará mais alguns anos para acontecer, especialmente quando você está falando sobre mudanças em coisas como as regras federais de aquisição. Isso leva muito tempo. Muitas dessas coisas ainda estão em movimento e continuarão em jogo nos próximos dois anos”.
“Estou satisfeito com o grau em que esta ordem executiva impulsionou e continua impulsionando a atividade. Nem todas as ordens executivas fazem isso”, disse Bob Kolasky, Vice-Presidente Sênior de Infraestrutura Crítica da Exiger e ex-Diretor Assistente da Cybersecurity and Infrastructure Security Agency (CISA). “Este foi o presidente em seu papel como CEO da maior empresa do país, o governo dos EUA, dizendo: ‘Quero que minha equipe CISO, minha equipe de risco, leve a segurança cibernética mais a sério’. Isso teve um impacto na segurança cibernética mais ampla nos EUA, incluindo governos estaduais e locais e infraestrutura crítica”.
“Mas foi, antes de mais nada: ‘Vamos colocar nossa própria casa em ordem. Vamos modernizar nossa própria casa o máximo possível’. Acho que há evidências iniciais de que ele conseguiu isso”, diz Kolasky.
“Acho que o pedido foi bastante abrangente e detalhado e exatamente o que precisávamos, mesmo que estivesse atrasado”, disse Chris Wysopal, Cofundador e CTO da Veracode, ao CSO. “Faz tanto tempo desde que o governo federal realmente fez alguma coisa sobre a segurança do software. Então, acho que foi um grande passo na direção certa”.
Uma resposta natural ao SolarWinds e outros eventos de segurança
A ordem executiva seguiu uma série de incidentes assustadores de segurança cibernética de alto perfil, incluindo o ataque à cadeia de suprimentos SolarWinds por agentes de ameaças russos, a infiltração de servidores Microsoft Exchange por operadores de espionagem chineses e um ataque de ransomware à Colonial Pipeline. Os EUA não experimentaram uma série comparável de incidentes de segurança cibernética prejudiciais desde que a EO foi lançada, mas é impreciso dizer que uma relativa calma da atividade destrutiva seja uma consequência disso.
Se houve uma diminuição de eventos seriamente perturbadores desde maio passado, é apenas “a resposta natural aos eventos sobre os quais você está falando foi um foco maior na segurança cibernética dentro e fora do governo”, diz Daniel. Além disso, ele acrescenta: “Essas coisas sempre parecem andar em ciclos”.
Kolasky concorda, principalmente quando se trata de incidentes de ransomware. “Acho que existem outras etapas que a administração e a infraestrutura crítica tomaram e maneiras pelas quais moldamos o que está acontecendo em termos de ransomware que foram mais impactantes do que a ordem executiva”, diz ele.
Wyospal rejeita a premissa de que as ações maliciosas se acalmaram. “Não sei se diria que as coisas se acalmaram”, diz ele. “Acho que reajustamos a linha de base do que achamos normal. Há sérios eventos de ransomware o tempo todo”.
Mas Wyospal acha que a EO forçou alguns fornecedores de tecnologia a levar a segurança cibernética mais a sério. “A mera existência da ordem executiva faz com que as organizações, especialmente os fornecedores que estão construindo software, pensem mais em ‘tenho que proteger o software que estou entregando’ ou ‘tenho que proteger meu desenvolvimento e pipeline de invasores maliciosos'”, ele diz.
O que está faltando na EO de segurança cibernética?
A EO perdeu algum elemento crítico de segurança cibernética, apesar de sua natureza abrangente? Não exatamente, diz Daniel. “Por mais difícil que seja escrever e concordar com as políticas, é ainda mais difícil fazê-las funcionar e fazê-las funcionar na prática. Eu não gostaria que a Casa Branca lançasse uma série de novas ordens executivas porque acho que isso diluiria o esforço que ainda é necessário no que eles já estabeleceram”.
Outras iniciativas adjacentes devem ser de alta prioridade agora, como “implementar a legislação de relatórios de incidentes que o Congresso aprovou”, diz Daniel. “Isso significa desenvolver um regulamento realmente para implementá-lo. Essa é uma grande peça que a CISA agora tem que fazer, além de todas essas atividades da ordem executiva”.
Kolasky sugere que a ordem executiva conforme escrita já é um prato cheio. “Você quer ter uma agenda gerenciável de coisas”, diz ele. “Focar em confiança zero, melhoria de contrato e segurança da cadeia de fornecimento de software me parecem bons pontos de partida para o que as redes federais deveriam fazer”.
Wysopal diz: “Acho que o que está faltando, mas eles fizeram alusão [na EO], é expandi-la para cobrir mais software. Os requisitos iniciais em torno do que eles consideram software crítico envolvem coisas como hipervisores e sistemas operacionais e segurança de rede dispositivos e coisas que precisam operar com privilégios maiores”.
“Isso é muito bom. É por aí que você gostaria de começar, com as coisas de maior risco, mas vimos muitas violações que vieram de sites comuns”, diz Wysopal. “Então é para onde eu acho que precisa ir no futuro, percebendo que a maioria dos softwares está colocando o governo em risco. Não apenas software crítico”.
