No mês passado, altos executivos da Amazon, Microsoft, Cisco, FireEye e dezenas de outras empresas se juntaram ao Departamento de Justiça para entregar um relatório de 81 páginas pedindo uma coalizão internacional para combater o ransomware. Liderando o esforço dentro do Departamento de Justiça estão Lisa Monaco, a procuradora-geral adjunta, e John Carlin, que liderou a divisão de segurança nacional da agência durante o governo Obama.
No mês passado, os dois ordenaram uma revisão de quatro meses do que Mônaco chamou de “ameaça combinada de Estados-nação e empresas criminosas, às vezes trabalhando juntos, para explorar nossa própria infraestrutura contra nós”. Até agora, o Departamento de Justiça buscou amplamente uma estratégia de indiciar hackers – incluindo russos, chineses, iranianos e norte-coreanos – poucos dos quais foram julgados nos Estados Unidos.
“Precisamos repensar”, disse Monaco na recente Conferência de Segurança Cibernética de Munique.
Entre as recomendações do relatório da coalizão de empresas está pressionar paraísos seguros de ransomware, como a Rússia, para processar criminosos cibernéticos usando sanções ou restrições de visto de viagem. Ele também recomenda que a aplicação da lei internacional se associe para responsabilizar as trocas de criptomoedas sob as leis de lavagem de dinheiro e “conheça seu cliente”.
A ordem executiva também busca preencher os pontos cegos nas ciberdefesas do país que foram expostos nos recentes ciberataques russos e chineses, que foram encenados em servidores domésticos dentro dos Estados Unidos, onde a Agência de Segurança Nacional está legalmente proibida de operar.
“Não é o fato de que não podemos conectar os pontos”, disse o general Paul M. Nakasone, que chefia a Agência de Segurança Nacional e o Comando Cibernético do Pentágono, ao Congresso em março, revivendo a acusação às agências de inteligência americanas após o 11 de setembro. . “Não podemos ver todos os pontos.”
O pedido criará um navio de compartilhamento de informações em tempo real que permitirá à NSA compartilhar inteligência sobre ameaças com empresas privadas e permitir que empresas privadas façam o mesmo. O conceito foi discutido por décadas e até fez o seu caminho até a “legislação favorável” – como o senador Ron Wyden, democrata do Oregon, descreveu um projeto de lei de 2015 que pressionava o compartilhamento voluntário de ameaças – mas nunca foi implementado na velocidade ou escala necessária.
A ideia é criar um navio para permitir que agências governamentais compartilhem dados confidenciais de ameaças cibernéticas com empresas e obrigar as empresas a compartilhar mais dados sobre incidentes com o governo. As empresas não têm obrigação legal de divulgar uma violação, a menos que os hackers roubem informações pessoais, como números de previdência social. A ordem não mudaria isso, embora os legisladores recentemente tenham pedido uma lei de divulgação de violação independente.
Discussão sobre isso post