CISA apresenta metas de cibersegurança para redes críticas

A pedido da Casa Branca, a Agência de Segurança Cibernética e de Infraestruturas dos Estados Unidos (Cybersecurity and Infrastructure Security Agency – CISA) divulgou recentemente Metas de Desempenho de Segurança Cibernética voluntárias e intersetoriais. O memorando emitido pelo presidente Biden em julho de 2021 tinha como objetivo incrementar a segurança cibernética nacional para sistemas que controlam infraestruturas em todos os setores críticos.

O trabalho de desenvolvimento das metas foi realizado em conjunto com o Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos e comunidades representantes dos setores envolvidos e teve como resultado um conjunto comum de práticas essenciais de segurança cibernética para infraestruturas críticas que visa ajudar especialmente organizações de pequeno e médio portes a iniciar seus esforços.

Os chamados CPGs (Cybersecurity Performance Goals) priorizam práticas de segurança cibernética para sistemas de Tecnologia da Informação e Tecnologia Operacional (IT e OT) que podem ser implementadas por proprietários e operadores de infraestruturas críticas para reduzir significativamente os riscos e os impactos de invasões. “Ao buscar essas metas, serão reduzidos os riscos tanto para as operações de infraestruturas críticas, como também para o povo norte-americano”, alerta a CISA.

As metas usam com base um amplo feedback de grupos, incluindo agências federais, setor privado e parceiros internacionais. Foram recebidos comentários e realizados workshops, sessões de escuta e discussões contando com especialistas em várias disciplinas. As CPGs foram determinadas levando em conta três critérios:

(1) Reduzir significativa e diretamente os riscos e impactos causados por ameaças intersetoriais comumente observadas e TTPs adversários;

(2) Ser claras, práticas e facilmente definíveis; e

(3) Ser razoavelmente simples e não proibitivas em termos de custos, mesmo para pequenas e médias organizações.

A CISA pretende manter o diálogo aberto para receber contribuições à medida que as organizações começarem a adotar as CPGs na prática e assim atualizar as metas regularmente. A agência também pretende desenvolver metas para alguns setores de infraestrutura crítica específicos nos próximos meses, identificando práticas adicionais, fornecendo exemplos de ações recomendadas específicas por setor e mapeando outros eventuais requisitos, como regulamentos ou diretivas de segurança.

Além do conjunto básico de práticas, as  CPGs podem se tornar referência para que operadores de infraestruturas críticas que desejem medir e melhorar seus níveis de maturidade em segurança cibernética.

A CISA alerta que tais metas  não são abrangentes, não identificando todas as práticas de segurança cibernética necessárias para proteger a segurança do país, da econômica, da saúde e da segurança pública. São apenas um conjunto básico de medidas com reconhecido valor para reduzir riscos em todos os setores. A agência também destaca que as CPGs têm caráter voluntário, ou seja, proprietários e operadores não serão obrigados a adotá-las, muito menos emitir relatórios relacionados para qualquer agência governamental.

“As CPGs se destinam a complementar a estrutura de segurança cibernética do NIST para organizações que buscam assistência na priorização de investimentos limitados em segurança de alto impacto, seja por conta de lacunas em experiência, recursos ou competências ou para permitir melhorias com foco em fornecedores, parceiros de negócios ou clientes”, explica a CISA.

Em entrevista ao site CSO, vários especialistas reagiram bem à iniciativa da CISA. Um dos entrevistados, Mark Montgomery, diretor sênior do projeto Centro de Inovação Cibernética e Tecnológica da Foundation for Defense of Democracies (FDD), destacou que as CPGs são “realmente importantes para pequenas e médias empresas”. Segundo ele, grandes companhias, em geral, precisam menos da assistência facilmente digerida contida nas CPGs. “E, por esse motivo, acho que há valor nessas metas para esse grande grupo mediano”, diz o executivo.

A matéria da CSO ressalta que é preciso ficar atento. Embora a CISA enfatize que as CPGs são voluntários, há quem diga que o fato de a estrutura de cibersegurança do NIST ter sido incorporada às recomendações da CISA seguindo um memorando de segurança nacional da Casa Branca pode ser um indicativo de que as metas se tornem requisitos regulatórios.