Huawei: como novas políticas podem fortalecer a defesa cibernética dos EUA

Huawei: como novas políticas podem fortalecer a defesa cibernética dos EUA 1

Ataques cibernéticos recentes que comprometeram várias agências governamentais dos Estados Unidos e muitas organizações privadas deram à administração Biden apoio bipartidário para fortalecer as defesas cibernéticas dos Estados Unidos e reduzir o risco da cadeia de abastecimento.

A administração Trump tomou medidas positivas para reduzir o risco de segurança cibernética para o governo, a infraestrutura crítica e o setor privado. Ele lançou uma estratégia mais assertiva, chamada “Defender Forward”, e elevou o status do Comando Cibernético dos Estados Unidos, fazendo-o se reportar diretamente ao Secretário de Defesa. Apoiou os esforços do NIST, Mitre e outras partes interessadas para ajudar as organizações a avaliar o risco cibernético e gerenciar melhor vários aspectos do risco da cadeia de abastecimento, incluindo compras. Significativamente, também anunciou a intenção do governo dos EUA de participar ativamente do processo de padrões 5G internacionais.

Mas, no início deste ano, o Conselho da Indústria de Tecnologia da Informação (ITI) concluiu que o governo anterior havia subestimado 187 fatores de risco relevantes para o risco da cadeia de abastecimento, ao mesmo tempo que se concentrava desproporcionalmente em um fator de risco: o país de origem. O ITI criticou deliberadamente a Ordem Executiva de Trump sobre a segurança das cadeias de suprimentos de tecnologia, bloqueando as vendas para empresas estrangeiras, dizendo que foi “talvez o exemplo mais notável de uma medida de política de cadeia de suprimentos bem intencionada que não foi cuidadosamente calibrada para abordar a cadeia de suprimentos , riscos de segurança e minimizar negócios amplos e imprevistos e impactos econômicos.

Ataques cibernéticos recentes envolvendo SolarWinds, Microsoft Exchange e outros ajudaram a gerar um consenso de que os Estados Unidos deveriam fortalecer suas defesas cibernéticas. Isso dá à administração de Biden uma oportunidade histórica de abordar o risco de segurança cibernética e alavancar uma ou mais das atividades construtivas em andamento com foco na segurança cibernética e no risco da cadeia de suprimentos.

Este governo assumiu o cargo em um momento em que esforços significativos estão em andamento nos Estados Unidos para desenvolver padrões e estruturas de segurança. O ITI incentivou a administração a realizar uma revisão estratégica da política de segurança da cadeia de suprimentos de TIC e a considerar a especificação de critérios detalhados para avaliar as práticas de segurança de dados relacionadas a equipamentos, aplicativos e serviços. O governo deve encorajar esforços liderados pela indústria privada para criar padrões claros e unificados para segurança cibernética, estabelecendo verificação auditável e procedimentos de teste para componentes críticos para garantir que esses padrões sejam cumpridos.

O ITI identificou “mais de 30 medidas de segurança da cadeia de suprimentos que estão sendo consideradas e / ou estão em vigor”. Por exemplo, Mitre desenvolveu uma ‘Estrutura de Segurança para sistema Trusted Supply Chain (SoT) ‘; A ATIS estabeleceu uma Força-Tarefa da Cadeia de Abastecimento 5G em 2019 a pedido do Departamento de Defesa e outras agências para ‘estender o desenvolvimento das melhores práticas e diretrizes 5G com o objetivo de criar padrões da cadeia de abastecimento que podem ser operacionais nos setores público e privado ”E a Telecommunications Industry Association (TIA) está desenvolvendo um padrão de cadeia de suprimentos baseado em processos para a indústria de TIC a ser publicado ainda este ano.

A colaboração deve ser o começo operativo no futuro. Os esforços de colaboração devem ser baseados na reconhecida importância dos padrões e melhores práticas para aumentar a transparência e a responsabilidade. Como a segurança cibernética deve ser necessariamente uma responsabilidade compartilhada, os atores de um ecossistema cibernético com gerenciamento de risco devem ter responsabilidades claras e requisitos objetivos. Fornecedores terceirizados, operadores e, em algumas circunstâncias, outros devem se comprometer explicitamente com o cumprimento dos requisitos que se aplicam a eles (os detalhes dos quais irão variar dependendo da criticidade dos componentes e sistemas e se as regulamentações governamentais também se aplicam). As partes responsáveis ​​devem ser responsabilizadas e enfrentar consequências significativas por não conformidade.

O governo deve adotar uma abordagem “não confie em ninguém” para gerenciar o risco cibernético, uma abordagem baseada no conceito de confiança zero que já conta com um apoio crescente. Em um mundo de confiança zero, nenhuma tecnologia crítica seria aceita com um escrutínio mínimo ou reduzido com base apenas em seu país de origem.

Felizmente, está trabalhando com parceiros do setor privado para aprender as lições dos ataques cibernéticos recentes e definir um curso para fortalecer drasticamente a segurança das redes e sistemas dos EUA e do ciberespaço com base em critérios objetivos e baseados em riscos. O provável sucesso desta colaboração será bom para todos.

Fonte: Artigo de Andy Purdy, CSO da Huawei Technologies USA e supervisor do programa de segurança cibernética da Huawei nos Estados Unidos – Forbes.

Nota original: como novas políticas podem fortalecer a defesa cibernética dos EUA

Autor: Andy Purdy – Membro do Conselho da Forbes.