Presidente Biden emite ordem executiva para reforçar as práticas de segurança cibernética dos EUA

Em 12 de maio de 2021, o presidente Biden emitiu uma ordem executiva sobre a melhoria da segurança cibernética do país, após uma série de incidentes de segurança cibernética altamente divulgados durante os primeiros quatro meses de sua presidência, incluindo o ataque à Colonial Pipeline, que revelou vulnerabilidades na infraestrutura e nos sistemas de informação do país. Embora esta não seja a primeira ordem executiva emitida para melhorar as defesas cibernéticas do país, é a ordem executiva com maior probabilidade de causar impacto e resultar em mudanças, tendo em vista a declaração da Casa Branca de que “os recentes incidentes de segurança cibernética [...] são um lembrete preocupante de que as entidades dos setores público e privado dos EUA enfrentam cada vez mais atividades cibernéticas maliciosas sofisticadas, tanto de atores estatais quanto de criminosos cibernéticos [...] [bem como] defesas de cibersegurança insuficientes que deixam as entidades dos setores público e privado mais vulneráveis a incidentes».

Isso deve servir como um alerta para que todos revisem os seus protocolos de segurança e testem os seus sistemas para garantir que estejam devidamente protegidos. Esta Ordem Executiva estabelece normas e requisitos para sistemas de informação utilizados ou operados por agências federais, seus contratados e outras organizações que trabalham em nome de uma agência federal, incluindo a atualização das defesas cibernéticas; melhorias no registo de informações críticas relacionadas a um incidente; o estabelecimento de uma metodologia direta, consistente e universal para responder a incidentes; e o estabelecimento e a exigência de que as entidades afetadas compartilhem informações de forma segura após um incidente. A Ordem Executiva visa fortalecer as defesas de segurança cibernética dos Estados Unidos por meio de:

• Remoção de barreiras ao compartilhamento de informações sobre ameaças entre o governo federal e o setor privado: Os requisitos e a linguagem contratuais do Regulamento Federal de Aquisições (FAR) e do Suplemento ao Regulamento Federal de Aquisições de Defesa (DFARS) serão atualizados para remover impedimentos contratuais ao compartilhamento de informações sobre incidentes de segurança cibernética. Essas disposições contratuais atualizadas estabelecerão prazos para que os contratados relatem incidentes cibernéticos às agências federais apropriadas, com um prazo de três dias para os incidentes mais graves.
  
  
• Modernização e implementação de padrões de segurança cibernética mais rigorosos no governo federal: as agências federais devem atualizar os seus planos existentes para priorizar a migração para serviços em nuvem seguros e uma arquitetura de confiança zero. Zero-trust é um conceito de segurança em que as organizações não confiam automaticamente em nada, seja dentro ou fora da organização. Em vez disso, elas devem verificar todos os dispositivos que tentam se conectar ao seu ambiente antes de conceder acesso. A Ordem Executiva também exige a implementação e a implantação de autenticação multifatorial e criptografia em repouso e em trânsito dentro de 180 dias após a emissão da Ordem Executiva.
  
  
• Melhoria da segurança da cadeia de fornecimento de software: O Instituto Nacional de Padrões e Tecnologia (NIST) desenvolverá e emitirá orientações que estabelecem padrões de segurança básicos rigorosos para software vendido ao governo, incluindo a exigência de tornar os dados de segurança do software disponíveis ao público. O não cumprimento desses padrões pode resultar na inclusão do fornecedor numa lista negra. A ordem executiva também cria um programa piloto e visa desenvolver um tipo de rótulo «energy star» que permitirá aos compradores determinar de forma rápida e fácil se o software foi desenvolvido em conformidade com os requisitos.
  
  
• Criação de um Conselho de Revisão de Segurança Cibernética: A Ordem Executiva cria um Conselho de Revisão de Segurança Cibernética, composto por representantes do Departamento de Defesa, Departamento de Justiça, Agência de Segurança Cibernética e Infraestrutura, Agência de Segurança Nacional e Departamento Federal de Investigação, bem como fornecedores selecionados de segurança cibernética ou software do setor privado. Inspirado no Conselho Nacional de Segurança nos Transportes, o Conselho de Revisão de Segurança Cibernética se reunirá após um “incidente cibernético significativo” e fornecerá recomendações de melhorias ao Secretário de Segurança Interna para aprimorar as práticas de segurança cibernética e resposta a incidentes. O Conselho também será responsável pelo desenvolvimento de uma abordagem padronizada ou “manual” para resposta a incidentes por agências governamentais. Este Conselho será acionado pela primeira vez para investigar o ataque à SolarWinds.
  
  
• Criação de um manual padrão para resposta a incidentes cibernéticos: A ordem executiva reconhece a necessidade de padronizar os esforços de resposta a incidentes e vulnerabilidades de segurança cibernética em todos os departamentos e agências federais. Ao criar um manual que estabelece um conjunto de definições e etapas uniformes para identificar e mitigar uma ameaça, a ordem executiva garante que todas as agências federais atendam a um determinado limite de preparação. O manual também servirá como um guia para o setor privado ao responder a incidentes cibernéticos.
  
  
• Melhoria na deteção de incidentes de cibersegurança nas redes do governo federal: Um sistema de deteção e resposta de terminais (EDR) em todo o governo será implementado nas redes federais. Isso será acompanhado por melhores capacidades de partilha de informações intragovernamentais para melhorar significativamente a capacidade de detetar atividades cibernéticas maliciosas nas redes federais.
  
  
• Melhoria das capacidades de investigação e remediação: As agências federais serão obrigadas a gerar e manter registos de eventos de cibersegurança robustos e consistentes, de acordo com requisitos detalhados, a serem publicados no prazo de 90 dias a partir desta Ordem Executiva. Os requisitos também estabelecerão políticas para a gestão de registos, a fim de garantir o acesso centralizado e permitir o compartilhamento de informações de registos com outras agências federais, quando necessário e apropriado. Isso ajudará na deteção de tentativas de invasão, na mitigação de invasões em andamento, na análise forense pós-evento e na minimização de riscos cibernéticos potenciais.

Embora esta Ordem Executiva não introduza nada de novo que não tenha sido discutido ou conhecido há anos, a implementação das medidas descritas na Ordem Executiva será fundamental, tendo em conta o recente aumento dos ataques à cibersegurança. Embora ainda seja necessário elaborar regulamentos adicionais, a Ordem Executiva estabelece uma base de melhores práticas de cibersegurança que todas as empresas devem considerar.