Da infraestrutura crítica à prevenção da calamidade: dois relatórios importantes da Comissão de Solário do Ciberespaço sobre segurança cibernética

According to the recently published Cyberspace Solarium Commission report “Cybersecurity Lessons from the Pandemic,” the COVID-19 pandemic illustrates the challenge of ensuring resilience and continuity in a connected world. Many of the effects of this new breed of crisis can be significantly ameliorated through advance preparations that yield resilience, coherence, and focus as it spreads rapidly through the entire system, stressing everything from emergency services and supply chains to basic human needs and mental health. The pandemic produces cascading effects and high levels of uncertainty. It has undermined normal policymaking processes and, in the absence of the requisite preparedness, has forced decision-makers to craft hasty and ad hoc emergency responses.

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Nota do editor: A Cyberspace Solarium Commission (CSC) foi criada na John S. McCain National Defense Authorization Act for Fiscal 2019 com a carta de desenvolver um consenso sobre uma abordagem estratégica para defender os Estados Unidos no ciberespaço contra ataques cibernéticos de consequências significativas. Modelado a partir do “Projeto Solário” de Dwight Eisenhower, que foi um exercício nacional de estratégia e design de políticas destinado a criar consenso na comunidade de segurança nacional para responder ao expansionismo soviético, o CSC publicou recentemente dois relatórios convincentes que são dignos de consideração por legal, profissionais de negócios e de tecnologia da informação na medida em que contemplam a dissuasão cibernética estratégica, operacional e tática de um nível macronacional para um nível microorganizacional.

Relatório da Comissão de Cibersegurança Solarium

O relatório final foi apresentado ao público em 11 de março de 2020.

Carta do Presidente do Senador Angus King e do Representante Mike Gallagher

Nosso país está em risco, não só de um ataque cibernético catastrófico, mas de milhões de intrusões diárias que perturbam tudo, desde transações financeiras até o funcionamento interno do nosso sistema eleitoral. Capturar a complexidade deste desafio é difícil. Mesmo o homem creditado por inventar o termo “ciberespaço”, o autor de ficção científica William Gibson, iria criticá-lo mais tarde como uma palavra “evocativa e essencialmente sem sentido”.

Ao estudar esta questão, é fácil descer para uma série de classificação, acrônimos, jargão e obscuros organogramas governamentais. Para evitar isso, tentamos algo diferente: um relatório não classificado que esperamos que seja encontrado legível pelas mesmas pessoas que são afetadas pela insegurança cibernética — todos. Este relatório também é direcionado diretamente à ação; tem inúmeras recomendações sobre questões organizacionais, políticas e técnicas, e incluímos um apêndice com projetos de lei que o Congresso pode agir rapidamente para colocar essas idéias em prática e tornar a América mais segura.

A realidade é que somos perigosamente inseguros no ciber-cibernético. Toda a sua vida — seu salário, seus cuidados de saúde, sua eletricidade — depende cada vez mais de redes de dispositivos digitais que armazenam, processam e analisam dados. Estas redes são vulneráveis, se não estiverem já comprometidas. Nosso país perdeu centenas de bilhões de dólares para roubo de propriedade intelectual patrocinado pelo estado-nação usando espionagem cibernética. Um grande ataque cibernético à infraestrutura crítica e ao sistema econômico do país criaria caos e danos duradouros excedendo os causados por incêndios na Califórnia, inundações no Centro-Oeste e furacões no Sudeste.

Para evitar que isso aconteça, o nosso relatório descreve uma nova estratégia cibernética e fornece mais de 75 recomendações para ações nos setores público e privado. Aqui estão algumas grandes ideias para começar a conversa.

Primeiro, a dissuasão é possível no ciberespaço. Hoje, a maioria dos atores cibernéticos se sente implacável, se não incentivada, para direcionar nossos dados pessoais e infraestrutura pública. Em outras palavras, através da nossa incapacidade ou falta de vontade de identificar e punir nossos adversários cibernéticos, estamos sinalizando que interferir nas eleições americanas ou roubar bilhões em propriedade intelectual dos EUA é aceitável. O governo federal e o setor privado devem defender-se e reagir com rapidez e agilidade.

Isso é difícil porque o governo não está otimizado para ser rápido ou ágil, mas simplesmente precisamos ser mais rápidos do que nossos adversários para evitar que eles destruam nossas redes e, por extensão, nosso modo de vida. Nossa estratégia de dissuasão cibernética em camadas é projetada com esse objetivo em mente. Ele combina resiliência aprimorada com recursos de atribuição aprimorados e uma estratégia de sinalização mais clara com ação coletiva de nossos parceiros e aliados. É um quadro simples que define como evoluímos para um alvo difícil, um bom aliado e um mau inimigo.

Em segundo lugar, a dissuasão assenta numa economia resiliente. Durante a Guerra Fria, nossas melhores mentes foram encarregadas de desenvolver planos de continuidade do governo para garantir que o governo poderia sobreviver e a nação se recuperar após um ataque nuclear. Precisamos de um planeamento semelhante hoje para garantir que possamos reconstituir no rescaldo de um ataque cibernético a nível nacional. Temos também de assegurar que a nossa economia continue a funcionar. Recomendamos que o governo institua um plano de Continuidade da Economia para garantir que possamos restaurar rapidamente funções críticas em todas as corporações e setores da indústria, e que a economia volte a funcionar após um ciberataque catastrófico. Esse plano é um pilar fundamental da dissidência — uma maneira de dizer aos nossos adversários que nós, como sociedade, sobreviveremos para derrotá-los com velocidade e agilidade se lançarem um grande ataque cibernético contra nós.

Em terceiro lugar, a dissuasão exige uma reforma governamental. Precisamos elevar e capacitar agências cibernéticas existentes, particularmente a Agência de Segurança Cibernética e Infraestrutura (CISA), e criar novos pontos focais para coordenar a segurança cibernética no ramo executivo e no Congresso. Para isso, recomendamos a criação de um Diretor Nacional Cibernético com supervisão de novos Comitês de Segurança Cibernética do Congresso, mas nosso objetivo não é criar mais burocracia com novos e duplicativos papéis e organizações. Em vez disso, propomos dar às organizações existentes as ferramentas necessárias para agir com rapidez e agilidade para defender nossas redes e impor custos aos nossos adversários. A chave é a CISA, que tentamos capacitar como agência líder para a segurança cibernética federal e parceiro preferido do setor privado. Queremos que trabalhar na CISA se torne tão atraente para jovens profissionais interessados no serviço nacional que compete com a NSA, o FBI, o Google e o Facebook por talentos de alto nível (e vitórias).

Em quarto lugar, a dissuasão exigirá que as entidades do sector privado reforcem e reforcem a sua postura de segurança. A maior parte da nossa infraestrutura crítica pertence ao setor privado. É por isso que fazemos certas recomendações, como estabelecer uma certificação de segurança na nuvem ou modernizar os requisitos de relatórios de responsabilidade corporativa. Não queremos sobrecarregar o sector privado com regulamentos onerosos e contraproducentes, nem queremos obrigar as empresas a entregarem os seus dados ao governo federal. Não somos o Partido Comunista Chinês e, na verdade, o nosso melhor caminho para vencer os nossos adversários é mantermo-nos livres e inovadores. Mas precisamos que executivos da C-suite levem a sério a ciber-já que estão na linha de frente. Com o apoio do governo federal, as entidades do setor privado devem ser capazes de agir com rapidez e agilidade para impedir que os atacantes cibernéticos explodam em suas redes e a maior variedade de redes nas quais a nação se baseia.

Em quinto lugar, a segurança eleitoral deve tornar-se uma prioridade. O povo americano ainda não tem a garantia de que nossos sistemas eleitorais estão seguros de manipulações estrangeiras. Se não acertarmos a segurança eleitoral, a dissuasão falhará e as gerações futuras olharão para trás com saudade e arrependimento para a outrora poderosa República Americana e perguntar-se-ão como estragamos tudo. Acreditamos que precisamos continuar as dotações para financiar a modernização das infraestruturas eleitorais a nível estadual e local. Ao mesmo tempo, os estados e as localidades precisam pagar sua parte justa para garantir eleições, e eles podem usar recursos úteis — como organizações sem fins lucrativos que podem agir com maior velocidade e agilidade em todos os 50 estados — para garantir eleições de baixo para cima, em vez de esperar por direção e financiamento de cima para baixo. Também precisamos garantir que, independentemente do método de voto, papel ou eletrônico, exista uma trilha de auditoria em papel (e sim, reconhecemos a ironia de uma comissão cibernética recomendando uma trilha de papel).

Não resolvemos tudo neste relatório. Nem concordamos em tudo. Há áreas, como equilibrar criptografia máxima versus acesso legal obrigatório a dispositivos, onde o melhor que poderíamos fazer era fornecer uma declaração comum de princípios. No entanto, todos os comissários estavam dispostos a fazer compromissos no decurso do nosso trabalho, porque estávamos todos unidos pelo reconhecimento de que o status quo não está a fazer o trabalho. O status quo está convidando ataques à América a cada segundo de cada dia. O status quo é uma rendição lenta do poder e responsabilidade americanos. Todos queremos que isso pare. Então, por favor, faça-nos, e aos seus compatriotas americanos, um favor. Leia este relatório e exija que seu governo e o setor privado atuem com rapidez e agilidade para garantir nosso futuro cibernético.

Senador Angus King (I-Maine)

Representante Mike Gallagher (R-Wisconsin)

Leia o artigo completo no Relatório da Comissão Cyberspace Solarium

Relatório da Comissão de Solário do Ciberespaço (PDF) Passagem do mouse para rolar

Relatório final do CSC

Fonte original: Cyberspace Solarium Commission

Lições de segurança cibernética da pandemia

O relatório final foi apresentado ao público em 2 de junho de 2020.

Extrato de resumo executivo

A pandemia COVID-19 ilustra o desafio de garantir resiliência e continuidade em um mundo conectado. Muitos dos efeitos desta nova geração de crise podem ser significativamente melhorados através de preparativos avançados que produzem resiliência, coerência e foco à medida que se espalha rapidamente por todo o sistema, enfatizando tudo, desde serviços de emergência e cadeias de suprimentos até necessidades humanas básicas e saúde mental. A pandemia produz efeitos em cascata e elevados níveis de incerteza. Tem minado os processos normais de elaboração de políticas e, na ausência da preparação necessária, obrigou os decisores a elaborar respostas de emergência precipitadas e ad hoc. A menos que uma nova abordagem seja concebida, crises como COVID-19 continuarão a desafiar o modo de vida americano moderno cada vez que surgirem. Este anexo recolhe observações da pandemia que se relacionam com a segurança do ciberespaço, tanto em termos dos desafios de cibersegurança que ela cria quanto do que pode ensinar aos Estados Unidos sobre como se preparar para uma grande perturbação cibernética. Estas ideias e as recomendações que o acompanham, algumas das quais são novas e algumas figuram no relatório original de março de 2020, são agora mais urgentes do que nunca.

Leia o artigo completo sobre as Lições de Segurança Cibernética da Pandemia

Lições de segurança cibernética da Pandemia (PDF) Passagem para rolar

Lições de segurança cibernética aprendidas com a pandemia — Documento técnico do CSC

Fonte original: Cyberspace Solarium Commission

Leitura Adicional

Considerando a segurança cibernética? Segurança Cibernética Nacional na Prática: Um Novo Manual

Um cenário relevante de ransomeware: o direcionamento de governos municipais e prestadores de cuidados de saúde

Fonte: ComplexDiscovery

Redefinindo a linha de base? Ajustes de tamanho do mercado de eDiscovery

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Novidades do NIST: Integrando a Segurança Cibernética e o Gerenciamento de Riscos Empresariais (ERM)

NIST has released NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management...

Uma Aliança Nublada? Uma nuvem de próxima geração para a Europa

According to Thierry Breton, Commissioner for the Internal Market, "Europe needs...

Cinco ótimas leituras sobre eDiscovery em outubro de 2020

From business confidence and captive ALSPs to digital republics and mass...

A Running List: Top 100+ eDiscovery Providers

Based on a compilation of research from analyst firms and industry...

Guia de Compradores de Sistemas de Disclosure — Edição 2020 (Andrew Haslam)

Authored by industry expert Andrew Haslam, the eDisclosure Buyers Guide continues...

A Corrida para a Linha de Partida? Anúncios recentes de revisão remota segura

Not all secure remote review offerings are equal as the apparent...

Ativando a Descoberta Eletrônica Remota? Um instantâneo de DAaS

Desktop as a Service (DaaS) providers are becoming important contributors to...

Redefinindo a linha de base? Ajustes de tamanho do mercado de eDiscovery

An unanticipated pandemeconomic-driven retraction in eDiscovery spending during 2020 has resulted...

Para casa ou para fora? Considerações de preço e dimensionamento do mercado de coleta de eDiscovery

One of the key home (onsite) or away (remote) decisions that...

Revisões e decisões? Novas considerações sobre análises remotas seguras de eDiscovery

One of the key revision and decision areas that business, legal,...

Uma visão macro do tamanho do mercado de descoberta eletrônica passado e projetado de 2012 a 2024

From a macro look at past estimations of eDiscovery market size...

Uma Temporada de Mudança? Dezoito observações sobre a confiança dos negócios do eDiscovery no outono de 2020

In the fall of 2020, 77.2% of eDiscovery Business Confidence Survey...

O Caso Continuado de Restrições Orçamentárias no Negócio de eDiscovery

In the fall of 2020, 49.4% of respondents viewed budgetary constraints...

Contas pendentes? Métricas operacionais de eDiscovery no outono de 2020

In the fall of 2020, eDiscovery Business Confidence Survey more...

Segurando o leme? Resultados da Pesquisa de Confiança Empresarial de eDiscovery

This is the twentieth quarterly eDiscovery Business Confidence Survey conducted by...

DISCO levanta US $60 milhões

According to the media release, DISCO will use this investment to...

Rampiva e o Grupo RYABI

According to today's announcement, the RYABI Group merger is Rampiva's first...

eDiscovery Fusões, aquisições e investimentos no terceiro trimestre de 2020

From HaystackID and NightOwl Global to Reveal Data and NexLP, the...

Mitratech adquire Acuity ELM

According to Mike Williams, CEO of Mitratech, “We came to the...

Cinco ótimas leituras sobre eDiscovery em outubro de 2020

From business confidence and captive ALSPs to digital republics and mass...

Cinco ótimas leituras sobre eDiscovery em setembro de 2020

From cloud forensics and cyber defense to social media and surveys,...

Cinco grandes leituras sobre eDiscovery para agosto de 2020

From predictive coding and artificial intelligence to antitrust investigations and malware,...

Cinco grandes leituras sobre eDiscovery em julho de 2020

From business confidence and operational metrics to data protection and privacy...