Em 12 de maio de 2021, o presidente Biden emitiu um ordem executiva (EO) sobre como melhorar a abordagem do governo federal à segurança cibernética. Por que os profissionais de TI devem se preocupar com este documento? Por um lado, as iniciativas delineadas neste EO terão impactos na maneira como as agências federais usam a TI para cumprir suas missões. Inevitavelmente, essas novas diretrizes se tornarão o novo padrão para todas as organizações de TI.
Este é o objetivo do EO:
O Governo Federal deve aprimorar seus esforços para identificar, deter, proteger, detectar e responder a essas ações e atores.
Vamos examinar os principais pontos da ordem executiva.
1. Removendo barreiras para compartilhar informações sobre ameaças
Essa iniciativa visa garantir que empreiteiros, provedores de serviços e agências federais possam compartilhar informações sobre ameaças à segurança cibernética. No momento, é difícil compartilhar as informações sobre ameaças entre as agências, e o fato de que cada agência pode contratar qualquer fornecedor apenas complica o problema. No entanto, isso não é muito diferente do que acontece no mundo comercial.
Isso terá uma supervisão de alto nível. O Diretor do OMB (Escritório de Gestão e Orçamento OMB), o Secretário de Defesa, o Procurador Geral, o Secretário de Segurança Interna e o Diretor de Inteligência Nacional irão liderar a acusação. Eles revisarão os requisitos de contratos federais contidos no FAR (Regulamento de Aquisição Federal) e no Suplemento do Regulamento de Aquisição Federal de Defesa. Em seguida, eles vão recomendar atualizações para os requisitos do contrato de TI e OT prestadores de serviços para que possam compartilhar dados com mais facilidade entre as agências.
Se você apoia uma agência governamental, espere ver esse impacto no trabalho que você faz.
2. Modernização das políticas de segurança cibernética do governo federal
Essa iniciativa ajudará o Governo Federal a modernizar sua abordagem à segurança cibernética. Um plano agressivo será criado para mover as agências para Arquitetura Zero Trust, serviços em nuvem e acesso centralizado aos dados. Esse acesso centralizado fornecerá análises em todas as agências que identificam os riscos de segurança cibernética.
A ordem executiva diz que haverá investimentos em tecnologia e pessoal para atingir essa meta. Esta é uma boa notícia para fornecedores e candidatos a emprego!
3. Melhorar a proteção da cadeia de suprimentos de software
O objetivo geral desta iniciativa é melhorar rapidamente a segurança e a integridade da cadeia de suprimentos de software. A prioridade será abordar o software crítico. O governo reconhece uma “necessidade urgente de implementar mecanismos mais rigorosos e previsíveis para garantir que os produtos funcionem de forma segura e conforme pretendido”. Esta é uma reação óbvia ao Ataque cibernético Solar Winds.
Algo a se procurar será a definição federal de “software crítico”. Por volta de 11 de julho, devemos ver a orientação do governo delineando medidas de segurança para softwares críticos. Espere recomendações de aplicação de práticas de privilégio mínimo, segmentação de rede e configuração adequada. E no início do próximo ano também veremos um critério de segurança cibernética de IoT para um programa de rotulagem do consumidor.
Será interessante ver o que mais resultará disso, já que a ordem executiva também menciona a capacidade de verificar e confiar em software de código aberto. Que tipo de consequências não intencionais devemos estar preparados para enfrentar?
4. Estabeleça um Conselho de Revisão de Segurança Cibernética
O Secretário de Segurança Interna e o Procurador-Geral estabelecerão o Conselho de Revisão de Segurança Cibernética. Este conselho analisará e avaliará incidentes cibernéticos significativos. Isso é bom do ponto de vista operacional. Ele fornecerá o mecanismo para que todo o governo federal reaja quando a infraestrutura de TI estiver sob ataque.
5. Melhorar a detecção de vulnerabilidades e incidentes de segurança cibernética
O objetivo é criar processos padronizados de resposta a incidentes para garantir uma catalogação de incidentes mais coordenada e centralizada. Um manual será desenvolvido para planejar e conduzir atividades de vulnerabilidade e resposta a incidentes de segurança cibernética. Esse deve ser um processo padrão e é bom ver uma ordem executiva estabelecendo as bases para isso. Além disso, em uma iniciativa de detecção e resposta de endpoint (EDR) será criada para fazer caça cibernética ativa, contenção e correção e resposta a incidentes.
6. Melhorar as capacidades de investigação e remediação do Governo Federal
Esta parte da ordem executiva é toda sobre registro. O pedido fala sobre o registro de sistemas locais ou terceiros, como CSPs. O objetivo de ter uma diretiva de registro unificado é reunir os dados necessários para investigar e corrigir incidentes de segurança cibernética. No entanto, uma vez que a orientação federal é mudar para plataformas em nuvem, haverá o perigo de alcance governamental porque todas as informações de log estão disponíveis para um sistema? Esta conseqüência não intencional será algo a observar.
7. Sistemas de Segurança Nacional
Devemos ver um Memorando de Segurança Nacional em meados de julho, que detalha os requisitos para os Sistemas de Segurança Nacional.
Conversa real
É bom ver o Governo Federal tornando a segurança cibernética uma prioridade. A ordem executiva realmente tentou cobrir tudo, desde os requisitos detalhados que cobrem como garantir a segurança da cadeia de suprimentos de software até o registro e tudo mais. Isso é importante, porque o atores de ameaças contra nosso governo não são script kiddies, eles são outras nações. Em última análise, precisamos de uma abordagem federal unificada para proteger nossos sistemas e informações essenciais. No entanto, teremos que observar de perto as consequências indesejadas que estão fadadas a acontecer com a consolidação de tantos dados.
Portanto, se você trabalha para o Governo Federal, um fornecedor, um MSP, CSP ou qualquer tipo de provedor de serviços, deve estar familiarizado com este documento. Há muito a fazer!
English
Arabic
Bengali
Dutch
English
French
German
Greek
Hindi
Irish
Italian
Japanese
Portuguese
Spanish
Swedish
Trackbacks / Pingbacks