Novas regulamentações de segurança cibernética

A cibersegurança atingiu um ponto crítico”, escreveu o professor do MIT Stuart Madnick em seu artigo da Harvard Business Review, New Cybersecurity Regulations Are Coming. “Após décadas lidando com incidentes cibernéticos por conta própria, o setor privado mostra sinais de que a escala e o impacto dos ataques tem tido consequências e podem se espalhar por sociedades e fronteiras.”

Dada a crescente ameaça de ataques cibernéticos, há uma necessidade urgente de melhorar a segurança dos sistemas de TI. No entanto, ainda não sabemos muito sobre ataques cibernéticos, incluindo quantos ataques ocorreram e quem foi atacado. Até recentemente, a regulamentação da segurança cibernética era focada principalmente na privacidade de dados, e os únicos ataques que precisavam ser relatados eram aqueles envolvendo informações pessoais, como roubo de nomes e números de cartão de crédito.

Por exemplo, quando a Colonial Pipeline sofreu um grave ataque de ransomware em maio de 2021 que interrompeu quase 50% das entregas de combustível para a costa leste dos EUA, nem a empresa nem os operadores do duto foram obrigados a relatar porque as informações pessoais não foram roubadas. “É quase impossível saber quantos ataques cibernéticos realmente ocorrem e que forma eles assumem. Alguns sugerem que apenas 25% dos incidentes de segurança cibernética são relatados, outros dizem que apenas cerca de 18%, outros dizem que 10% ou menos são relatados.” Precisamos de informações detalhadas sobre quem está sendo atacado, como eles estão sendo atacados, o que os invasores estão procurando e o que eles realmente roubaram.

Os governos de todo o mundo estão agora propondo ou promulgando novas leis e regulamentos. O Regulamento Geral de Proteção de Dados (GDPR) exige que os 27 estados membros da UE denunciem violações graves de dados em até 72 horas. Nos EUA, é provável que novas regulamentações venham da Casa Branca, do Congresso, da Agência de Segurança Cibernética e de Infraestrutura (CISA), da Comissão de Valores Mobiliários, da Comissão Federal de Comércio e de várias outras agências. Trinta e seis estados já promulgaram nova legislação de segurança cibernética.

Essas novas regras exigiriam que as empresas relatassem incidentes cibernéticos, como o ataque Colonial Pipeline, especialmente quando setores críticos de infraestrutura estão envolvidos, como energia, saúde, comunicações e serviços financeiros.

A maneira mais eficaz de melhorar a segurança cibernética é aumentar a quantidade e a qualidade das informações sobre ataques cibernéticos. Em outro artigo do WSJ, Por que as empresas precisam começar a compartilhar mais informações sobre ataques cibernéticos, Madnick discutiu os tipos de informações sobre incidentes cibernéticos que seriam mais úteis relatar.

  • Tipos de ataques: “Os ataques cibernéticos podem variar desde a exposição de informações pessoais até o roubo de dinheiro e sequestro de sistemas de computadores, devido a ransomware. … Essas informações geralmente são conhecidas rapidamente pela empresa afetada.”
  • Métodos usados: “Por exemplo, como o intruso entrou em seu sistema? Foi devido a um link em um e-mail de phishing no qual algum funcionário clicou ou foi devido a uma vulnerabilidade conhecida em seu sistema que não foi corrigida? … Compartilhar essas informações ajudará outras empresas a identificar suas próprias vulnerabilidades.
    Impacto: “As operações comerciais normais foram interrompidas ou o dinheiro real foi perdido, como por meio de pagamento de resgate? … Os acionistas exigem transparência e ocultar um impacto comercial significativo apenas reduz a confiança entre os acionistas e a administração.”
    Status atual e métodos de recuperação: “aprender quanto tempo a organização foi impactada e os métodos usados para se recuperar da interrupção podem ser de grande valor na preparação de outras empresas para serem mais resilientes diante de um ataque cibernético.”

No entanto, não está claro o que constitui o tipo de incidente cibernético grave que deve ser relatado em meio ao grande número de incidentes desse tipo que as empresas enfrentam todos os dias. No artigo da HBR, Madnick explicou a área cinzenta que as empresas precisam navegar, comparando incidentes cibernéticos a quase-colisões de aeronaves.

A Federal Aviation Administration (FAA) estabeleceu há muito tempo um programa de relatórios no sistema de aviação para que as condições inseguras que levaram a possíveis acidentes possam ser identificadas, corrigidas e evitadas no futuro antes que levem a acidentes graves.

À primeira vista, parece ser algo muito razoável de se aplicar à segurança cibernética”, observou Madnick. “O problema é que o que deveria contar como um incidente de segurança cibernética é muito menos claro do que o quase acidente de duas aeronaves mais próximas do que o permitido. Um incidente cibernético é algo que poderia ter levado a uma violação cibernética, mas não precisa ter se tornado uma violação cibernética real: por uma definição oficial, requer apenas uma ação que prejudique um sistema de forma iminente ou apresente uma ameaça iminente de violação de uma lei”.

Como é o caso da aviação, relatar todos os incidentes cibernéticos significativos ajudaria as empresas a lidar melhor com suas principais vulnerabilidades. Mas, o que constitui um incidente cibernético que deve ser relatado? “Por exemplo, com base nos dados coletados dos relatórios de incidentes atuais, descobrimos que apenas 288 das quase 200.000 vulnerabilidades conhecidas no National Vulnerability Database (NVD) estão sendo exploradas ativamente em ataques de ransomware”, acrescentou Madnick.

Empresas e órgãos reguladores devem encontrar um equilíbrio. Uma definição muito ampla do que constitui um incidente cibernético pode exigir que uma empresa “relate milhares de incidentes por dia, mesmo que a maioria sejam e-mails de spam. Isso seria um fardo enorme tanto para a empresa, quanto para a agência que precisaria processar e dar sentido a tal quantidade de relatórios.” Além disso, as empresas também precisariam navegar na enorme quantidade de regulamentações e padrões de relatórios provenientes de diversas agências em vários países ao redor do mundo.

No entanto, as empresas não precisam apenas sentar e esperar que as regras sejam escritas e implementadas”, disse Madnick. “Em vez disso, elas precisam trabalhar para entender os tipos de regulamentos que estão sendo considerados, verificar as incertezas e os impactos potenciais e se preparar para agir.” Em particular, ele recomenda que as empresas comecem a implementar algumas ações-chave.

Certifique-se de que seus procedimentos estão à altura da tarefa. “As empresas sujeitas aos regulamentos da SEC, que incluem a maioria das empresas nos Estados Unidos, precisam definir e revisar suas políticas e procedimentos para determinar se a materialidade se aplica, à luz desses novos regulamentos”.

Mantenha as políticas de ransomware atualizadas. “Os regulamentos também estão sendo formulados para relatar ataques de ransomware e até mesmo tornar crime pagar um resgate. As políticas da empresa em relação ao pagamento de ransomware precisam ser revisadas, juntamente com as prováveis mudanças nas políticas de seguro cibernético”.

Prepare-se para a lista de softwares que serão necessários examinar na sua cadeia de suprimentos digital. Muitas empresas não estão cientes das vulnerabilidades em seus sistemas porque seu software geralmente vem junto com outro software, que por sua vez inclui outro software e assim por diante. “Existem regulamentos sendo propostos para exigir que as empresas mantenham uma lista de materiais de software (SBOM) detalhada e atualizada para que possam conhecer com rapidez e precisão todas os diferentes softwares incorporadas em seus complexos sistemas de computadores.”

Por fim, Madnick recomenda que as empresas analisem cuidadosamente os novos regulamentos propostos e avaliem seu impacto na organização. “Estes raramente são apenas detalhes técnicos deixados para sua equipe de tecnologia da informação ou segurança cibernética – eles têm implicações em toda a empresa e prováveis mudanças em muitas políticas e procedimentos em toda a sua organização. Na medida em que a maioria desses novos regulamentos ainda são maleáveis, sua organização pode querer influenciar ativamente as direções que esses regulamentos tomam e como eles são implementados e aplicados”.

Conte aos amigos

Deixe um comentário