ordem executiva de cybersecurity do Trump é um bom primeiro passo

Um pedaço significativo de notícias de cibersegurança estourou na semana passada , embora tenha sido quase afogado pela crescente falha sobre o demissão do presidente Trump do diretor do FBI, James Comey .

Há dois pontos principais sobre a ordem executiva (EO) do Presidente Trump, que delineia planos para melhorar a segurança de dados para as agências federais e para proteger melhor a infra-estrutura crítica dos EUA.

Em primeiro lugar, este desenvolvimento foi verdadeiramente importante - um apelo sério à acção para reforçar as medidas governamentais de segurança cibernética num momento em que as violações dominam as manchetes e as preocupações crescentes sobre uma futura ciberguerra entre Estados-nação são legítimas. Em segundo lugar, embora este passo do Executivo fosse absolutamente necessário, é insuficiente. Precisamos ir muito mais longe.

O pedido da EO para agências do governo federal - especialmente agências civis - para procurar oportunidades de compartilhar tecnologia cibernética faz um grande sentido.

Por que reinventar a roda, um silo de governo de cada vez? Eventualmente, isso significaria um desastre. E as estruturas de computação e de segurança baseadas na nuvem disponíveis hoje tornam uma abordagem holística eminentemente possível.

Os frameworks de segurança de dados seriam então colocados em camadas sobre a estrutura da nuvem de modo que os dados possam ser compartilhados enquanto também criptografados. Agências individuais poderiam então construir sobre este quadro para qualquer número de necessidades únicas.

Eu sei que os silos do governo têm vários graus de especialização, recursos e sofisticação e são susceptíveis de abraçar o contra-argumento de que eles devem em grande parte permanecer silos. Mas a segurança é tão forte quanto o elo mais fraco da rede. Se for abordado, os adversários encontrarão e explorarão esse link. Em uma grande corporação, os requisitos de tecnologia da informação não são deixados para cada função ou departamento. Por que o governo deveria ser diferente?

Precisamos de um mecanismo no qual especialistas em segurança cibernética em agências de inteligência dos EUA possam compartilhar alguns de seus conhecimentos com indústrias norte-americanas, sem revelar muita informação.

Especialistas na vanguarda de lidar com ataques cibernéticos altamente sofisticados na NSA e em outros lugares precisam ser alavancados no processo de correção. Essa experiência também poderia ser um elemento de um "banco de infra-estrutura de segurança cibernética" - um banco que emprestava fundos do governo a pequenas empresas de serviços públicos, fábricas de água e similares para ajudá-los a atualizar rapidamente suas defesas cibernéticas.

Devemos reconhecer onde a maior parte da inovação no cyber realmente ocorre - em pequenas empresas privadas de segurança cibernética - e tomar medidas para ajudar o governo a comprar tecnologia e serviços dessas empresas.

O governo hoje depende principalmente de grandes, estabelecidos cyber vendedores e integradores, muitos dos quais não vendem estado-da-arte wares. O governo deve reestruturar as políticas de compras para atrair sangue mais inovador para o jogo. Comprar a solução de ontem para se defender contra os desafios e ameaças do futuro é um desperdício de tempo e dinheiro - e não nos torna mais seguros.

O governo deve cessar a compra de tecnologia cibernética e equipamentos relacionados de fontes estrangeiras. Como os ataques cibernéticos russo e chinês contra os EUA, entre outros, ajudam a ilustrar, é simplesmente muito arriscado.

O governo já faz isso até certo ponto, mas deve fazer mais. No lado positivo, a China, a Huawei Technologies, maior fabricante de equipamentos de telecomunicações do mundo, está proibida de vender seus equipamentos na América, e por uma boa razão. A empresa é supostamente controlada, em parte, pelo Exército Popular de Libertação da China . Agora há conversa no Congresso para proibir a empresa russa de segurança cibernética Kaspersky Lab de fazer negócios nos EUA.

A preocupação é lógica. A confiança é absoluta na seleção de fornecedores. Talvez Kaspersky não tenha feito nada de errado. Mas por que não mudar para um concorrente de qualquer maneira? Sabemos que a Rússia está envolvida em atividades nefastas, e há evidências de que a Rússia colabora com empresas privadas de segurança russas.

Na semana passada, um incidente em uma audiência do Comitê de Inteligência do Senado disse tudo. Os chefes de seis agências de inteligência, perguntados pelo senador Marco Rubio (R-Florida) se eles seriam confortáveis ​​usando o software Kaspersky, todos disseram que não. Essas agências incluíam a CIA, a NSA eo FBI.

A infra-estrutura dos EUA, incluindo a rede elétrica, é muito vulnerável ao ataque cibernético. Os sistemas foram projetados para serem funcionais, não necessariamente seguros, e isso é claramente inaceitável.

Uma estratégia de três pontas pode começar a consertar as coisas. 1) O governo deve definir um nível de resiliência cibernética esperada e produzir uma metodologia para protegê-lo. 2) Devemos criar um centro de compensação para a implementação das melhores práticas em segurança de rede. 3) Devemos formar um banco industrial para fornecer financiamento de longo prazo para os serviços públicos que precisam dele, a fim de ajudar a implementar isso.

Devemos lidar com a realidade de que muitas empresas de pequeno porte hoje em dia não têm recursos financeiros nem técnicos para se tornarem seguras .

O EO do Presidente Trump estabelece um prazo de 90 dias para que cada agência do Poder Executivo apresente um relatório de gerenciamento de risco. Descreveria as suas medidas de segurança e os riscos consideráveis. Também solicita um estudo para determinar se pelo menos algumas agências podem realisticamente adotar arquiteturas de rede consolidadas.

Noventa dias nos traz para o final do verão. Esperemos que os progressos significativos sejam feitos até então - e que os relatórios divulgados sejam seguros, não um roteiro visível para nossas vulnerabilidades. Uma grande correção geral ainda está a anos de distância. Mas você tem que começar de algum lugar. Como Mark Twain escreveu uma vez, "O segredo para chegar à frente é começar.