Por Alexandre Freire* – Diversos países vêm passando por experiências extremas relativas à ocorrência frequente de grandes incidentes cibernéticos que ameaçaram os serviços públicos nos últimos anos. Nos EUA, os ataques chegaram a paralisar ambientes industriais e a infraestrutura de missão crítica causando prejuízos de grande vulto e em muitos casos comprometeram até o funcionamento de setores prioritários para o bom funcionamento da sociedade, como energia, saúde, telecomunicações.
Esse cenário foi ainda agravado pelo conflito no Leste Europeu, que já dura um ano, o que intensificou os ataques de criminosos digitais a infraestrutura vital dos países envolvidos e demais.
Como resposta a esse desafio global, o governo dos EUA anunciou a nova Estratégia Nacional de Segurança Cibernética, uma abordagem abrangente para proteger a infraestrutura crítica (IC) digital do país e que pode contribuir com um grande número de lições para o Brasil. O documento se concentra na colaboração público-privada para defesa de infraestrutura crítica, incentivando investimentos de longo prazo em cibersegurança e resiliência e capacitando entidades menores com o apoio necessário para implementar a proteção de forma mais robusta.
A estratégia é composta por cinco pilares: Defender a Infraestrutura Crítica; ser disruptivo e desarmar os autores de ameaças; moldar forças do mercado para impulsionar a segurança; investir em um futuro resiliente e firmar parcerias Internacionais para troca de inteligência.
A equipe do Nozomi Networks Labs analisou detalhadamente os cinco objetivos estratégicos do primeiro pilar que trata especificamente da defesa da infraestrutura crítica. Vejamos o que isso significa nas visões de curto e longo prazo.
Objetivo estratégico 1.1:
Estabelecer requisitos de cibersegurança para apoiar a segurança nacional e a segurança pública
A Estratégia Nacional de Segurança Cibernética deixa muito claro que a regulamentação é necessária. Todas as indústrias críticas podem esperar novas ou ampliadas exigências de cibersegurança a curto prazo, dependendo em grande parte das agências de gerenciamento de risco do setor, exceto novas autoridades ou legislação. O documento afirma que “a regulamentação pode nivelar o campo de atuação, permitindo uma concorrência saudável sem sacrificar a segurança cibernética ou a resiliência operacional”.
Com isso em mente, a Administração tem três objetivos em torno da regulamentação:
- Estabelecer normas de segurança cibernética para Infraestrutura Crítica
O governo federal utilizará as autoridades reguladoras existentes para estabelecer requisitos de segurança cibernética para setores críticos, como vimos quando as Diretrizes de Segurança da TSA foram implementadas. Essas regulamentações serão baseadas no desempenho e alavancarão os padrões e práticas comuns existentes, como o NIST Cybersecurity Framework. As empresas de computação em nuvem e outros “serviços essenciais de terceiros” também devem se preparar para novas avaliações e regulamentações. - Harmonizar e agilizar normas novas e existentes
Para minimizar o custo e a complexidade das novas exigências de cibersegurança, as agências reguladoras aproveitarão os padrões globais existentes e assegurarão que sejam harmonizados internacionalmente para evitar que novas regulamentações impactem os negócios digitais. - Permitir que as entidades reguladas possam ter acesso à segurança
Observando-se as organizações de menor porte, os órgãos federais devem prestar contas das variáveis entre as indústrias que impactam a capacidade dessas empresas de absorver os custos adicionais de segurança cibernética. Os reguladores são encorajados a incentivar o investimento em cibersegurança por meio do processo de elaboração de taxas, estruturas fiscais ou outros mecanismos.
Controles de segurança que apliquem as funções Identificar, Proteger, Detectar, Responder e Recuperar do NIST CSF, e uma arquitetura de defesa em profundidade ou modificada por zero trust, baseada nas normas IEC 62443, colocará as empresas no caminho do atendimento e aderência a qualquer regulamentação que possa surgir no futuro.
Caso a operação seja em uma indústria de baixa margem ou em uma concessionária municipal menor de energia elétrica ou água, essas podem aproveitar os fundos federais disponíveis ou os incentivos fiscais para investimentos em cibersegurança, como as concessões cibernéticas do governo estadual e local.
Objetivo Estratégico 1.2:
Colaboração público-privada em escala
A colaboração entre os setores público e privado tem sido um tema recorrente em toda a administração atual. Este objetivo estabelece a CISA como a coordenadora nacional para segurança e resiliência de infraestrutura crítica, mas afirma que as agências de gerenciamento de risco do setor (SRMAs) cumprirão as funções diárias de comunicação com a indústria e aplicarão seus conhecimentos específicos do setor para melhorar a segurança cibernética. As organizações de infraestrutura crítica devem identificar quem são suas SRMAs e começar a construir uma boa relação de trabalho com elas.
Os Centros de Compartilhamento e Análise de Informações (ISACs) e as Organizações de Compartilhamento e Análise de Informações (ISAOs) continuarão a facilitar o compartilhamento de informações entre pessoas e a defesa coletiva de suas respectivas indústrias.
O compartilhamento de informações atual apresenta falta de confiança e de verificação da procedência e origem dos dados. Informações residem em silos em mecanismos específicos do setor, do setor privado ou de agências governamentais, criando fontes únicas de informação sem muito consenso. Em termos do cenário de ameaças, não há como padronizar e correlacionar a pesquisa de ameaças e vulnerabilidades produzida pelos líderes competitivos do mercado. Apesar da relutância em agregar informações, o compartilhamento significativo de informações requer um mecanismo agnóstico de fornecedores para o compartilhamento em tempo real de dados fidedignos e precisos.
Os Centros de Compartilhamento e Análise de Informações (ISACs) e as Organizações de Compartilhamento e Análise de Informações (ISAOs) continuarão a facilitar o compartilhamento de informações entre pessoas e a defesa coletiva de suas respectivas indústrias.
O compartilhamento de informações atual apresenta falta de confiança e de verificação da procedência e origem dos dados. Informações residem em silos em mecanismos específicos do setor, do setor privado ou de agências governamentais, criando fontes únicas de informação sem muito consenso. Em termos do cenário de ameaças, não há como padronizar e correlacionar a pesquisa de ameaças e vulnerabilidades produzida pelos líderes competitivos do mercado. Apesar da relutância em agregar informações, o compartilhamento significativo de informações requer um mecanismo agnóstico de fornecedores para o compartilhamento em tempo real de dados fidedignos e precisos.
Objetivo estratégico 1.3:
Integrar Centros Federais de Segurança Cibernética
O governo federal assumirá um papel mais proativo na coordenação das autoridades e capacidades dos departamentos e agências responsáveis pela defesa da IC. O Escritório do Controlador Nacional Cibernético (ONCD) liderará um esforço para melhorar a coordenação e a colaboração entre todos os Centros Federais de Cibersegurança, tais como o JCDC (Joint Cyber Defense Collaborative) e o NCIJTF (National Cyber Investigative Joint Task Force).
Objetivo estratégico 1.4:
Atualizar os planos e processos federais de resposta a incidentes
A CISA atualizará o Plano Nacional de Resposta a Incidentes Cibernéticos (NCIRP) para coordenar melhor os esforços federais de resposta a um ataque de cibersegurança ao setor privado. O objetivo também cita a Cyber Incident Reporting for Critical Infrastructure Act de 2022 (CIRCIA), que exige que todas as entidades críticas cobertas comuniquem um incidente cibernético à CISA “dentro de horas” para ajudar a facilitar uma resposta mais rápida a incidentes a nível federal.
Objetivo estratégico 1.5:
Modernizar as defesas federais
O governo federal modernizará e atualizará sua própria infraestrutura digital para apoiar uma abordagem de segurança zero trust, com foco específico nas agências do Poder Executivo Federal Civil (FCEB) e dos Sistemas Nacionais de Segurança (NSS), que armazenam alguns dos dados mais sensíveis do governo federal.
A CISA desenvolverá um plano de ação para defender coletivamente as agências da FCEB através de uma maior disponibilidade de serviços centralizados e um foco na segurança da cadeia de fornecimento de software, incluindo o desenvolvimento de esforços para exigir as Listas de Materiais de Software (SBOMs). As agências da FCEB podem esperar mais Diretrizes Operacionais Vinculativas, como a recente BOD 23-01, em breve.
Qual o impacto para a Infraestrutura Crítica no Brasil?
É fato que os líderes nos EUA atenderão a essas exigências de formas diferentes. Melhorar a postura cibernética para aprimorar as capacidades de defesa em casos de ataques estado-nação é uma atitude sábia e necessária, mas levará um tempo até que as empresas de IC consigam gerenciar e alocar orçamento para as mudanças. E isso não se limita ao território americano, é um cenário global, afinal, a complexidade para lidar com o clima macroeconômico afeta todas as regiões.
Essa estratégia nos dá uma noção das regulamentações e políticas que chegarão nas indústrias críticas a curto prazo. É um alerta que pode ajudar as empresas em outros países a analisar seus planos e prioridades de risco e quais as ferramentas e práticas necessárias para preencher as lacunas nas estratégias de prevenção, detecção e resposta. Se a indústria da qual a sua empresa faz parte está na lista da CISA de setores de infraestrutura crítica, esse é o momento de começar a preparar suas estratégias de cibersegurança para um futuro próximo.
*Alexandre Freire – Technical Sales Engineering da Nozomi Networks para a América Latina