por Mike Nelson, vice-presidente da Digital Trust da DigiCert
Recentemente, a Casa Branca divulgou sua Estratégia Nacional de Segurança Cibernética, demonstrando um foco maior nos níveis mais altos do governo em proteger nossas interações digitais, que, como vimos com ataques recentes à infraestrutura crítica, têm impactos tangíveis no mundo real.
O caso mais recente em que se reflete a necessidade de melhorar os sistemas de segurança cibernética na América Latina é a falha massiva e vazamento de informações de várias instituições bancárias e de saúde na primeira semana de dezembro de 2022 na Colômbia, país que ocupa a 66ª posição do mundo no ranking. Estas entidades tiveram incidentes que afetaram milhares de utilizadores, não só com a suspensão temporária dos serviços, mas também com as alegadas fugas de informação confidencial e sensível dos seus clientes
No Brasil, quatro em cada dez empresas sediadas no país adotam medidas de proteção contra vazamentos de dados confidenciais e pessoais de clientes, mostra pesquisa elaborada pelo Centro Regional de Estudos para o Desenvolvimento da Sociedade da Informação (Cetic).
Ações na empresa contra o vazamento de informações sigilosas cresceram 42% nos últimos três anos, desde o início da pandemia da Covid-19, mostra a pesquisa, que fala em quase três milhões de ataques hackers no Brasil durante o primeiro semestre de 2022 – um aumento de quase 10% em relação aos primeiros seis meses de 2021.
Para essas empresas, aprender com a Casa Branca pode ser muito valioso. Estamos entusiasmados em ver essas questões consideradas e há muito defendemos a necessidade de estabelecer confiança digital em muitas das áreas abordadas pela Estratégia da Casa Branca. Aqui estão algumas das minhas conclusões da estratégia e o que os desenvolvedores de produtos devem ter em mente no futuro.
A segurança cibernética é uma responsabilidade compartilhada, mas os fabricantes detêm a maior parte
Um dos pontos-chave da Estratégia Nacional de Segurança Cibernética é que a responsabilidade da segurança cibernética recai principalmente sobre os desenvolvedores e fabricantes.
O informativo da Casa Branca sobre o anúncio da estratégia observa: “Devemos reequilibrar a responsabilidade de defender o ciberespaço, transferindo o ônus da segurança cibernética de indivíduos, pequenas empresas e governos locais para as organizações mais capazes e melhor posicionadas para reduzir os riscos para todos nós.”
Eu compartilhei antes que o cyber é uma responsabilidade compartilhada e que os consumidores devem ter o direito de assumir a segurança dos produtos que compram. No entanto, os indivíduos ainda têm alguma responsabilidade e precisarão usar práticas recomendadas como MFA, WIFI seguro e senhas rotativas.
Mas os desenvolvedores e fabricantes devem ter a maior parte da responsabilidade pela segurança cibernética, pois são “mais capazes e mais bem posicionados” para implementar a confiança digital, que se tornou mais aparente à medida que o setor amadureceu.
Você compraria um carro que não fosse testado? E quanto a um dispositivo?
Essa discussão sobre responsabilidade pela segurança me lembra de crescer em uma época em que os cintos de segurança eram opcionais, mas agora são exigidos por lei para a segurança dos passageiros. Agora que toda a nossa infraestrutura crítica possui software, não é mais uma opção deixar a segurança em segundo plano no processo de fabricação. Os fabricantes devem garantir que a segurança esteja incorporada em todo o desenvolvimento de produtos e software, ou então eles podem ser responsabilizados por vulnerabilidades.
Dito de outra forma, você arriscaria comprar um carro de um fabricante que não testou a segurança do produto e compartilha essa informação com você? Ou que tal um novo medicamento que não foi projetado e testado com a segurança em mente? Se você hesita em comprar outros produtos que não são seguros por design, por que não aplicar isso a dispositivos IoT que podem estar em sua casa, carro, escritório ou em sua pessoa?
Assim como as montadoras e farmacêuticas são responsabilizadas por seus produtos, acredito que os desenvolvedores e fabricantes envolvidos no projeto e produção de infraestrutura crítica inteligente devem ser responsabilizados pela segurança dos dispositivos, código e quaisquer dados que esses dispositivos coletam e armazenam.
A aparência dessa responsabilidade nos Estados Unidos ainda será determinada, mas é provável que inclua consequências financeiras. Além disso, está claro que os fabricantes precisam estar preparados e à frente do jogo. Há uma urgência para que as empresas façam mais com confiança digital para seu software e assumam mais responsabilidade pela segurança cibernética.
Aumentar a segurança dos dispositivos é tendência em órgãos reguladores
Estamos vendo regulamentos semelhantes que colocam a responsabilidade sobre os fabricantes em outros mercados também. Por exemplo, a Lei de Resiliência Cibernética da UE impõe mais responsabilidade aos fabricantes de dispositivos IoT, levando a multas e penalidades massivas por não conformidade. Este ato dará aos consumidores mais poder de compra e confiança em seus dispositivos e mais transparência sobre a segurança do que estão comprando.
A Casa Branca também menciona os rótulos de segurança IoT: “Através da expansão dos rótulos de segurança IoT, os consumidores poderão comparar as proteções de segurança cibernética oferecidas por diferentes produtos IoT, criando assim um incentivo de mercado para maior segurança em todo o ecossistema IoT”. Há esforços em andamento para rótulos de segurança IoT em vários países, incluindo Cingapura, Finlândia e UE. A rotulagem que revela detalhes de segurança sobre os dispositivos capacitaria ainda mais os consumidores da mesma forma que os rótulos nutricionais dos produtos alimentícios os capacitam a fazer compras bem informadas.
Esse movimento compartilhado entre os governos para aprovar regulamentos para desenvolvimento de software e IoT faz sentido e, com sorte, criará uma cadeia de suprimentos global confiável onde, como afirma a Estratégia Nacional de Segurança Cibernética, “nações com ideias semelhantes combatem as ameaças ao nosso ecossistema digital por meio de preparação, resposta, e imposição de custos”.
Um futuro resiliente cibernético requer mais confiança digital
A Estratégia da Casa Branca chega em um momento em que o caso de confiança digital, ou fornecer confiança de que nossas interações digitais são seguras, nunca foi tão claro. A internet está evoluindo, assim como nosso cenário de ameaças. Conforme declarado na estratégia, à medida que construímos uma nova geração de infraestrutura digital, de telecomunicações de última geração e IoT a recursos de energia distribuídos, e nos preparamos para mudanças revolucionárias em nosso cenário tecnológico trazidas pela inteligência artificial e computação quântica, a necessidade de abordar isso lacuna de investimento tornou-se mais urgente.
Infelizmente, a segurança muitas vezes foi uma reflexão tardia para dispositivos IoT. Tem havido uma grande demanda para que os fabricantes tragam seus produtos ao mercado, e isso levou a dispositivos e softwares notoriamente cheios de vulnerabilidades. Além disso, as ameaças estão evoluindo e veremos ainda mais ferramentas para invasores no futuro usando IA, computação pós-quântica e outras tecnologias emergentes.
Portanto, a segurança precisa ser incorporada à maneira como os produtos conectados são projetados, construídos, testados, implantados e operados. Este regulamento que está transferindo a responsabilidade é um grande passo para responsabilizar os desenvolvedores e fabricantes por não incluir a segurança no design de seus produtos.
Aplaudo o governo por adotar uma abordagem mais proativa no que é necessário para construir um futuro mais resiliente cibernético. Também alerto os desenvolvedores que precisam começar a adaptar suas práticas agora para que estejam preparados para as regulamentações que virão.