Quatro dias antes de deixar o cargo, o presidente dos EUA, Joe Biden, emitiu uma diretiva abrangente de segurança cibernética ordenando ao governo que monitorasse redes, comprasse software, utilizasse inteligência artificial e melhorasse a forma como os hackers estrangeiros são punidos.
A ordem executiva de 40 páginas anunciada na quinta-feira aproveita os benefícios de segurança da IA, implanta identidades digitais para os americanos e preenche lacunas que têm ajudado repetidamente a China, a Rússia e outros adversários a penetrar. Esta é a última tentativa do presidente Biden de começar a preencher a lacuna. Sistema governamental dos EUA.
Ann Neuberger, vice-conselheira de segurança nacional de Biden para tecnologias cibernéticas e emergentes, disse aos repórteres na quarta-feira que a ordem “fortalece a base digital da América e posiciona a nova administração e o país para o sucesso contínuo”.
A diretriz de Biden levanta a questão de saber se o presidente eleito, Donald Trump, continuará esses esforços depois de tomar posse na segunda-feira. Embora os projectos altamente técnicos especificados nesta ordem não sejam partidários, os conselheiros do Presidente Trump preferem uma abordagem (ou cronograma) diferente para resolver os problemas identificados nesta ordem.
O presidente Trump não nomeou ninguém para liderar as autoridades cibernéticas, e Neuberger disse que a Casa Branca não discutiu a ordem com o pessoal de transição. Durante este último período de transição. ”
No cerne da ordem executiva está um conjunto de mandatos para proteger as redes governamentais com base nas lições aprendidas com um incidente recente de grande repercussão: as falhas de segurança dos prestadores de serviços federais.
A ordem exige que os fornecedores de software forneçam evidências de que seguem práticas de desenvolvimento seguras, com base em um mandato introduzido em 2022 após a primeira ordem executiva cibernética de Biden. A Agência de Segurança Cibernética e de Infraestrutura terá a tarefa de revisar esses certificados de segurança e trabalhar com os fornecedores para resolver quaisquer problemas. Em apoio a esta exigência, o Gabinete do Diretor Nacional Cibernético da Casa Branca “encoraja o encaminhamento de certificados que não sejam verificados ao Procurador-Geral” para investigação e possível processo.
A ordem dá ao Departamento de Comércio oito meses para avaliar as práticas cibernéticas mais comumente usadas no mundo dos negócios e emitir orientações adequadas. Pouco tempo depois, essas práticas se tornariam obrigatórias para empresas que desejassem fazer negócios com o governo. A diretiva também inicia atualizações nas orientações de desenvolvimento seguro de software do Instituto Nacional de Padrões e Tecnologia.
Outra parte da diretiva se concentra na proteção de chaves de autenticação para plataformas em nuvem, que foram comprometidas, levando ao roubo de e-mails do governo da China de servidores da Microsoft e à recente cadeia de suprimentos do Departamento do Tesouro. A porta para hackers foi aberta. O Departamento de Comércio e a Administração de Serviços Gerais devem desenvolver diretrizes para proteção de chaves no prazo de 270 dias e torná-las um requisito para fornecedores de nuvem no prazo de 60 dias a partir de então.
Para proteger as agências federais de ataques que dependem de falhas em dispositivos IoT, o pedido estabelece um prazo para as agências comprarem apenas dispositivos IoT de consumo com o recém-lançado selo US Cyber Trust Mark. O prazo é 4 de janeiro de 2027.
