Diretor da CISA: EUA ‘não têm medo’ de gritar sobre as falhas de segurança das Big Tech

A diretora da CISA, Jen Easterly, diz que o Conselho de Revisão de Segurança Cibernética (CSRB) “não tem medo de dizer quando algo está errado” em resposta a perguntas sobre os temores em torno da colaboração do setor privado após o contundente relatório da Microsoft do conselho.

Questionada se acreditava que as empresas ainda cooperariam com o CSRB se ele quisesse investigar um grave problema de segurança, à luz das críticas enfrentadas pela Microsoft, Easterly disse: “Espero que sim”.

Em março, o CSRB publicou um longo relatório após trabalhar com a Microsoft para entender como um invasão no Exchange Online que levou ao comprometimento de contas de e-mail de altos funcionários dos EUA nas mãos de um grupo patrocinado pelo Estado chinês.

O relatório de 34 páginas ilustrou várias falhas de segurança na Microsoft que permitiu a ocorrência do ataque, incluindo uma cultura de segurança inadequada e a incapacidade de confessar publicamente a questão central da exfiltração durante meses.

Uma das principais linhas que os comentaristas tiraram disso foi que, em última análise, o grande ataque aos serviços de e-mail hospedados da Microsoft aconteceu devido a uma “cascata de erros evitáveis ​​da Microsoft”.

Foi tão contundente que levantou a questão se outras empresas culpadas por erros tão significativos de segurança da informação ofereceriam ao CSRB o mesmo nível de cooperação que a Microsoft no futuro.

O CSRB foi estabelecido em 2022 após uma Ordem Executiva da administração Biden em 2021 (EO14028) e atende a múltiplos propósitos. Mas, crucialmente em relação a essa questão, ele não tem autoridade legal para obrigar as empresas a trabalhar com ele em relatórios como o focado no Exchange Online.

A Microsoft não teve de cooperar tão plenamente como o fez, mas fê-lo voluntariamente através de uma série de submissões escritas e orais, pelas quais recebeu reconhecimento e gratidão do CSRB, repetidos novamente por Easterly esta semana.

“Para crédito da Microsoft, eles foram muito transparentes”, disse ela em uma conversa com Ciaran Martin, professor de prática em gestão de organizações públicas na Universidade de Oxford, no Oxford Cyber ​​Forum inaugural na semana passada.

“Eles sentaram-se lá como parceiros, analisaram o incidente e o que aconteceu, e foram extremamente progressistas”.

No entanto, o CSRB ainda não tem a autoridade do Congresso e o poder de intimação que tem defendido, e o tipo de poder que o a indústria em geral acredita que deveria ter. Dessa forma, futuras investigações sobre qualquer grande gafe que possa justificar esse tipo de atenção dependeriam da colaboração da organização em questão.

É fácil ver por que as empresas podem estar relutantes em cumprir, dado que o relatório do CSRB sobre a Microsoft ainda é frequentemente citado em todos os tipos de discussões de segurança hoje, meses após a publicação do relatório.

A Microsoft foi descrita por Easterly como “a empresa mais importante que existe” do ponto de vista da infraestrutura crítica. Embora qualquer relatório robusto sobre uma organização deste tipo seja sempre prejudicial até certo ponto, se investigássemos uma empresa que fosse menos crucial para a sociedade moderna, talvez a máquina de relações públicas não fosse tão gentil com as suas perspectivas a longo prazo.

Satya Nadella, CEO da Microsoft, também foi elogiado por Easterly por sua reação ao relatório e todas as medidas que ele implementou na empresa que honraram as principais recomendações do CSRB.

“Fiquei muito satisfeita com a reação do CEO”, disse ela. “Ele falou sobre segurança como uma prioridade. Se você tiver que escolher entre segurança e outra coisa, faça segurança. Estamos nos concentrando na segurança em vez dos recursos, vamos vincular a segurança à remuneração e à contratação.

“Eu acho que, por mais surpreendente que o relatório inicial tenha sido, acho que essa reação foi surpreendente para muitos. E, claro, a prova estará no pudim, mas acho que isso realmente catalisou uma grande mudança.”

Promessa Secure by Design conectada

Enquanto o CSRB continua pressionando pela autoridade do Congresso que deseja, Easterly destacou o compromisso Secure by Design da CISA, que foi lançado no início deste ano para que as organizações se alinhassem formalmente com todo o ideal de segurança por design que vem sendo defendido pelo setor há anos.

Ela disse que agora existem mais de 150 inscrições para a promessa, um grande aumento em relação aos 68 iniciais quando nós o visitamos pela última vez, e se os principais fornecedores realmente desenvolvessem seus produtos com os princípios SBD totalmente respeitados, o número de vulnerabilidades que poderiam causar grandes eventos de segurança despencaria. Significaria essencialmente que os fornecedores não teriam que temer as investigações do CSRB porque os seus produtos seriam seguros desde o início, ou pelo menos tão seguros quanto deveriam ser.

Apontando para o mais recente da Verizon Relatório de investigações de violação de dados, Easterly disse: “Há uma linha que basicamente diz que estamos no ponto em que não podemos corrigir com rapidez suficiente para evitar ataques cibernéticos. Portanto, a única maneira de lidar com esse problema é exigir mais de nossos fornecedores.” ®