O governo dos EUA anunciou nesta semana sua Estratégia Nacional de Segurança Cibernética, esforço que visa ampliar medidas de combate aos crimes digitais ao mesmo tempo que aumenta a responsabilidade de empresas para assegurar seus softwares. É possível baixar o documento em PDF nesse link. O plano está dividido em cinco pilares que cobrem defesa […]
O governo dos EUA anunciou nesta semana sua Estratégia Nacional de Segurança Cibernética, esforço que visa ampliar medidas de combate aos crimes digitais ao mesmo tempo que aumenta a responsabilidade de empresas para assegurar seus softwares. É possível baixar o documento em PDF nesse link.
O plano está dividido em cinco pilares que cobrem defesa da infraestrutura crítica; desmantelamento de operadores de ameaças; molde das “forças do mercado” para impulsionar a segurança e a resiliência; investimento em um futuro resiliente; e formação de parcerias internacionais para buscar objetivos compartilhados.
A nova regulamentação prevê uma melhor colaboração entre governo e o setor privado e visa orientar políticas futuras acerca do tema. Entre outros pontos, impõe obrigações a fornecedores de software e empresas que operam infraestruturas críticas e libera uma abordagem mais agressiva para empresas barrarem ataques, como o “hack-back”. A prática busca hackear de volta o atacante na tentativa de recuperar dados e identificar o invasor, principalmente em casos de ransomware.
Leia também: Trojans bancários cresceram duas vezes em 2022, segundo a Kaspersky
Sob regras mais rígidas, a Casa Branca planeja transferir a responsabilidade para fornecedores e empresas que falham em tomar precauções para proteger seu software. O texto defende uma mudança dramática de responsabilidade “para aquelas entidades que falham em tomar precauções razoáveis para proteger seu software”.
A regulamentação destaca a importância da proteção de setores críticos, sugerindo a necessidade de requisitos necessários de segurança cibernética e caso haja lacunas legais, planeja trabalhar com o Congresso para fechá-las.
Outra diretriz exige a melhoria dos padrões de correção de vulnerabilidades em sistemas de computador e a implementação de uma ordem executiva que exigirá que as empresas de nuvem verifiquem a identidade de clientes estrangeiros.
O documento ainda aponta a China e a Rússia como as ameaças mais proeminentes para os Estados Unidos. Nesse contexto, a estratégia visa conceder a autorização das agências de inteligência e de aplicação da lei para “interromper e desmantelar operadores de ameaças”, incluindo grupos estrangeiros de APT e gangues de ransomware de extorsão de dados.
* com informações do portal CISO Advisor
