O que você precisa saber sobre o novo plano de implementação da estratégia nacional de segurança cibernética

É fato que ransomware e violações se tornaram uma ocorrência diária no complexo cenário atual de segurança cibernética.

Em março de 2023, o governo Biden lançou sua tão esperada Estratégia Nacional de Cibersegurança. Ao oferecer uma visão forte para fortalecer a resiliência cibernética do país, escrevi para The Hill sobre como fiquei profundamente desapontado com a falta de impacto e responsabilidade imediatos do plano, especialmente sua perspectiva de 10 anos. O governo federal deve acelerar para agir mais rapidamente contra o ransomware e as violações.

Reconhecendo a importância de fornecer estratégias práticas de segurança cibernética para agências governamentais, o presidente Biden revelou recentemente o novo Plano Nacional de Implementação da Estratégia de Cibersegurança (NCSIP). O plano oferece às agências um roteiro para fazer mudanças na forma como elas alocam funções, responsabilidades e recursos para a segurança cibernética.

Aqui está o que você precisa saber sobre o novo plano.

Os 5 pilares estratégicos do NCSIP

O plano é organizado em 5 pilares, cada um incluindo iniciativas específicas de segurança cibernética. Descrevi e resumi esses pilares e suas iniciativas abaixo.

• Pilar um: Defender a infraestrutura crítica — Esse pilar visa estabelecer requisitos de segurança cibernética que sustentem a segurança nacional e a segurança pública, enfatizando a importância de ampliar a colaboração entre os setores público e privado. Ele busca integrar centros federais de segurança cibernética para melhorar a coordenação e o compartilhamento de informações. Além disso, visa atualizar os planos e processos federais de resposta a incidentes e, ao mesmo tempo, modernizar as defesas federais de segurança cibernética para ficar à frente das ameaças em evolução.

• Pilar dois: Interromper e desmantelar os agentes de ameaças — Esse pilar busca integrar os esforços federais para interromper as atividades cibercriminosas e aprimorar a colaboração entre os setores público e privado para impedir os adversários. O pilar enfatiza a importância do compartilhamento rápido e extensivo de inteligência e da notificação das vítimas de ataques cibernéticos. Também visa evitar o uso indevido da infraestrutura baseada nos EUA e combater o cibercrime, especialmente contra ataques de ransomware.
• Pilar três: moldar as forças do mercado para impulsionar a segurança e a resiliência — Esse pilar visa impulsionar o desenvolvimento de dispositivos seguros da Internet das Coisas (IoT), enfatizando a necessidade de transferir a responsabilidade por produtos e serviços de software inseguros para incentivar a responsabilidade entre fabricantes e fornecedores. Ele propõe o uso de subsídios e incentivos federais para priorizar medidas de segurança. Além disso, sugere aproveitar as compras federais para melhorar a responsabilidade e promover práticas de segurança cibernética. Também é mencionada a exploração da possibilidade de um backstop federal de seguro cibernético, que forneceria suporte no caso de um grande incidente cibernético.
• Pilar quatro: investir em um futuro resiliente — Esse pilar inclui esforços para fortalecer os elementos fundamentais da Internet, começando com ênfase na revitalização da pesquisa e desenvolvimento federais em segurança cibernética. Também destaca a importância de se preparar para os desafios de um futuro pós-quântico e garantir a segurança do setor de energia limpa. Além disso, enfatiza o desenvolvimento de uma estratégia nacional para reforçar a força de trabalho de segurança cibernética, reconhecendo sua importância na abordagem de ameaças futuras.
• Pilar cinco: criar parcerias internacionais para buscar metas compartilhadas — Esse pilar envolve a construção de coalizões internacionais para lidar com as ameaças ao nosso ecossistema digital. Isso se concentra no fortalecimento da capacidade dos parceiros internacionais e na expansão da capacidade dos Estados Unidos de apoiar aliados e parceiros. Também visa estabelecer coalizões que reforcem as normas globais de comportamento responsável do estado no ciberespaço. Além disso, o pilar destaca a necessidade de proteger as cadeias de suprimentos globais para produtos e serviços de informações, comunicações e tecnologia operacional.

Minhas principais conclusões do plano como CTO federal

A conclusão mais importante do NCSIP é que ele fornece a orientação necessária para as agências sobre como melhorar a resiliência cibernética agora e no futuro. Isso reconhece que as ferramentas tradicionais de prevenção e detecção não são suficientes para combater as ameaças cibernéticas complexas e em constante evolução de hoje.  

As violações são inevitáveis. As organizações devem priorizar estratégias proativas de contenção de violações com tecnologias como a Zero Trust Segmentation (ZTS) para impedir e conter a propagação de violações quando, e não se, elas ocorrerem, garantindo que as operações possam continuar sem impedimentos. Na verdade, as organizações que utilizam o Illumio ZTS tiveram uma redução de 66% no impacto (ou raio de explosão) de uma violação e economizaram 3,8 milhões de dólares devido a menos interrupções e tempo de inatividade.

O plano também atribui metas e iniciativas temporais a cada agência, orientando-as sobre como alcançar os objetivos claros da estratégia. Essas metas e iniciativas também mostram um senso de urgência, o que é importante, pois o ritmo da tecnologia torna impossível imaginar o impacto que ela terá na segurança em três, cinco ou dez anos.  

Este plano demonstra uma compreensão dos desafios fiscais e de recursos que as agências enfrentam para superar esses perigos. Embora o NCSIP não inclua financiamento direto, ele se alinha às prioridades do orçamento cibernético do governo para melhor posicionar as agências para alcançar seus objetivos e combater os ataques cibernéticos. Se as agências conseguirem alinhar suas responsabilidades e recursos orçamentários com essas iniciativas, elas estarão bem equipadas para reforçar sua resiliência cibernética hoje e amanhã.

Em particular, as iniciativas 3.5.1 e 3.5.2, que aproveitam as compras federais para melhorar a responsabilidade são grandes avanços nas funções regulatórias de segurança cibernética. Ao alavancar o poder do dólar, o governo é capaz de obrigar as empresas a entrarem em conformidade. Isso permite que o governo federal implemente sua nova estratégia rapidamente e sem a necessidade de nova legislação.

O que está faltando? Mecanismos de prestação de contas e iniciativas ousadas

Como muitos outros planos governamentais, a principal peça que não está incluída é um mecanismo de prestação de contas. Esses planos precisam ter uma forma de medir e responsabilizar as agências para serem bem-sucedidos. As agências precisam conhecer as consequências de não atingir esses objetivos.

E ainda estamos perdendo algumas das grandes e ousadas ideias que realmente mudariam o jogo na luta contra o ransomware. Isso pode parecer a proibição de pagamentos de ransomware para impedir que os cibercriminosos lucrem com esses ataques. O governo também pode exigir que organizações privadas e governamentais notifiquem publicamente os clientes dentro de 72 horas após uma violação. Esses tipos de iniciativas inéditas teriam um impacto imediato na interrupção do ransomware e resolveriam a urgência do problema agora, não em alguns anos ou uma década.

O novo NCSIP é um marco significativo nos esforços coletivos do governo federal para fortalecer a resiliência cibernética e combater as ameaças em evolução. O plano demonstra, na maioria das vezes, uma direção clara para as agências governamentais. Ao adotar abordagens proativas de contenção de violações e se alinhar às iniciativas do NCSIP, as organizações do setor público e privado podem navegar pelo complexo cenário atual de segurança cibernética e proteger seus ativos críticos de forma eficaz. Juntos, podemos construir um futuro digital mais resiliente e seguro.

Saiba mais sobre como a Illumio ZTS pode ajudar sua agência federal a implementar iniciativas do NCSIP.

Entre em contato conosco hoje mesmo para entrar em contato com um de nossos especialistas em segurança cibernética.

‍