Enquanto os mísseis russos caem sobre a Ucrânia, há outra batalha se formando — na cibersfera. Malware destrutivo inundou centenas de sites e computadores ucranianos desde que Vladimir Putin anunciou sua invasão. Seria um erro supor que tais ataques permanecerão limitados a alvos ucranianos.
Na semana passada, o presidente Biden avisou Sr. Putin contra ciberataques russos na infraestrutura crítica dos Estados Unidos. Mas as empresas americanas não estão prontas para uma guerra no ciberespaço. Embora o Sr. Biden designou o Departamento de Segurança Interna para liderar o que ele prometeu seria uma resposta vigorosa a qualquer agressão, isso não é suficiente. O DHS não tem autoridade legal para ordenar que o setor privado siga seu exemplo. Mais amplamente, o governo federal, mesmo que avisado por empresas como a Microsoft sobre ataques cibernéticos, não possui a infraestrutura necessária para proteger as empresas americanas de muitos desses ataques.
Que os Estados Unidos tenham que recorrer a ameaças de retaliação é um problema. Os Estados Unidos já deveriam ser à prova de ataques cibernéticos, mas coordenar esses esforços em todo o país tem sido uma batalha difícil.
Como ex-conselheiro geral da Agência de Segurança Nacional, testemunhei diariamente o alcance e a sofisticação de tal malícia de Rússia, China, Irã e Coreia do Norte. Todos eles alavancam os vários setores de poder à sua disposição – incluindo empresas comerciais e estatais, bem como agências de espionagem – para atacar empresas e cidadãos dos EUA com força total.
No entanto, os Estados Unidos carecem de uma resposta organizada. Os relatórios semanais de ataques de ransomware e violações de dados deixe claro que estamos perdendo essa batalha. É por isso que os líderes dos Estados Unidos devem repensar o atual sistema de defesa cibernética e se unir em torno de um regulador centralizado para defender os cidadãos e o setor privado contra ataques atuais e futuros.
A natureza descentralizada do governo americano não se presta a combater ameaças cibernéticas estrangeiras. As agências governamentais lidam com a regulamentação cibernética e as ameaças nos setores que supervisionam – uma maneira ineficiente e ineficaz de resolver um problema que afeta toda a nossa economia. Nos últimos meses, a Agência de Segurança de Transportes do DHS anunciou novos requisitos de segurança cibernética para oleodutos e ferrovias; a Comissão Federal de Comunicações lançou seu próprio proposta para empresas de telecomunicações; a Comissão de Valores Mobiliários votado regras para consultores e fundos de investimento; e a Comissão Federal de Comércio ameaçou perseguir legalmente empresas que não conseguem corrigir uma vulnerabilidade de software recém-detectada encontrada em muitos aplicativos de negócios. E no Capitólio, existem aproximadamente 80 comitês e subcomitês que reivindicam jurisdição sobre vários aspectos da regulação cibernética.
É improvável que esses esforços dispersos reduzam, muito menos parem, o cibercrime.
Ecoando uma série de especialistas estudosnosso primeiro diretor cibernético nacional diz que os Estados Unidos precisam de uma nova abordagem que “altere significativamente a relação entre os setores público e privado”. Mas a inércia social e burocrática, a resistência da indústria e as divisões partidárias impediram a centralização dos esforços e regulamentos de ciberdefesa. Em recente congresso audiçãovários representantes da indústria e membros republicanos do Congresso se opuseram a exigências mais rígidas para notificação de violações. É hora de superar o partidarismo e as objeções padrão à regulamentação.
Do ponto de vista do setor privado, a defesa de um esforço centralizado também faz sentido. Quase todos os setores executam seus computadores em um dos três sistemas operacionais: Windows, macOS e Linux. Em muitos casos, eles também usam o mesmo software de negócios – o sistema de folha de pagamento de um contratado de defesa não é muito diferente do de uma farmácia. Isso significa que as vulnerabilidades são semelhantes em todos os setores e, portanto, exigirão soluções semelhantes. Um centro de resposta do governo centralizado, então, faz sentido. Obter informações sobre hacks e vulnerabilidades que fluem de forma rápida e eficaz entre o governo e o setor privado – como faria uma agência central – é essencial para interromper os ataques cibernéticos antes que eles se espalhem demais. E tal agência ajudaria a padronizar produtos e serviços de segurança, o que, por sua vez, reduziria a carga geral sobre as empresas ao reduzir os custos.
O objetivo geral de um regulador cibernético central seria ter padrões aplicados uniformemente, mas especificamente adaptados, quando necessário, às necessidades de um determinado setor. Não estou imaginando uma política rígida de tamanho único, mas deve ser possível projetar uma regulamentação intersetorial eficaz o suficiente para proteger o público sem prejudicar a inovação.
Várias outras democracias industrializadas já estão adotando uma abordagem centralizada: com sua recente Diretiva de Segurança de Redes e Informações, a União Européia está agora propondo padrões uniformes de segurança cibernética em todos os setores e seus 27 países membros. É verdade que os americanos tendem a ser mais cautelosos com a regulamentação do que os europeus. Mas alguns dos aliados mais próximos da América – Grã-Bretanha, Canadá e Austrália — também passaram a consolidar suas funções de segurança cibernética em uma agência que trabalha com o setor privado, mantendo funções especializadas para coleta de inteligência e aplicação da lei.
Esses movimentos não devem ser descartados. Embora seja muito cedo para avaliar completamente o sucesso dessas novas medidas de consolidação, os Estados Unidos estão claramente atrasados: a Grã-Bretanha acaba de adotar sua segunda ciberestratégia nacional plurianualenquanto os Estados Unidos lutam para criar seu primeiro.
Já existem projetos que podem orientar a criação de um ciberregulador central. A SEC trabalhou com bancos de investimento e bolsas de valores em seus primeiros anos para criar uma estrutura de divulgação totalmente nova para empresas públicas em todos os setores. Como resultado, a divulgação imediata de notícias que movimentam o mercado (boas ou ruins) por uma empresa de capital aberto agora é tida como certa – assim como o uso de informações privilegiadas e o encobrimento de desenvolvimentos corporativos eram práticas rotineiras nos dias anteriores às leis de valores mobiliários.
No mês passado, o Agência de Proteção Ambiental e seus parceiros federais instou os 52.000 sistemas de abastecimento de água privados e municipais do país a reforçar as defesas contra um possível ataque cibernético russo que poderia interromper ou contaminar nossa água potável. Um regulador central simplificaria muito esse processo. Poderia garantir que os gerentes de cada sistema de água estivessem totalmente cientes dos detalhes críticos de um possível ataque russo. Poderia disseminar imediatamente informações críticas sobre o ataque. E poderia educar as vítimas em potencial sobre como minimizar a propagação do ataque.
Nada disso será fácil ou implementado rapidamente. O Comissão Solar do Ciberespaçoestabelecido em 2019 para desenvolver um consenso bipartidário sobre uma abordagem estratégica para defender os Estados Unidos no ciberespaço, relatado recentemente que mesmo algumas de suas recomendações menos extensas podem exigir uma “emergência futura” para “criar o ímpeto político necessário para superar as barreiras existentes”.
A guerra da Rússia contra a Ucrânia pode ser essa “emergência futura”. Se não quisermos nos preocupar com hackers russos contaminando nossa água potável toda vez que abrimos a torneira, agora é a hora de repensar nossa abordagem.
Glenn S. Gerstell é consultor sênior do Centro de Estudos Estratégicos e Internacionais com foco em tecnologia e segurança nacional. Ele atuou como conselheiro geral da Agência de Segurança Nacional e do Serviço de Segurança Central de 2015 a 2020.
O Times está empenhado em publicar uma diversidade de letras para o editor. Gostaríamos de saber o que você pensa sobre este ou qualquer um de nossos artigos. Aqui estão alguns pontas. E aqui está nosso e-mail: [email protected].
Siga a seção de opinião do The New York Times sobre o Facebook, Twitter (@NYTopinion) e Instagram.
Discussão sobre isso post