Simplicidade em troca de responsabilidade

A segunda semana de outubro – Mês Nacional de Conscientização sobre Segurança Cibernética (NCSAM – National Cyber Security Awareness Month, em inglês), promovido pelo governo norte-americano, mostrou como as organizações podem se proteger contra as ameaças cibernéticas mais comuns. A semana também analisou como ajudar as organizações a fortalecer sua capacidade de defesa cibernética.

Os ataques DDoS têm muito a ver com a discussão. Em primeiro lugar, são ataques muito comuns. A infraestrutura ATLAS da Arbor, com dados provenientes de 400 sites globais de clientes e visibilidade de aproximadamente um terço de todo o tráfego de internet, registrou 6,1 milhões de ataques DDoS até setembro de 2017, ou seja, 22.426 por dia, 934 por hora, 15 por minuto.

Em segundo lugar, em 2017 a defesa anti-DDoS se uniu pela primeira vez com o Quadro de Segurança Cibernética do Instituto Nacional de Padrões e Tecnologia (NIST – National Institute of Standards and Technology Cybersecurity Framework, em inglês).

Dada a importância da disponibilidade de internet para nossa sociedade e a natureza dinâmica das ameaças DDoS, o primeiro perfil de ameaça para ataques DDoS a partir do NIST Framework foi criado pelo grupo The Coalition for Cybersecurity Policy and Law – que se concentra em educar e colaborar com os formuladores de políticas legislativas e regulatórias (cada vez mais complicadas) de segurança cibernética. Os membros fundadores incluem empresas como Arbor Networks, Cisco, Intel, Microsoft, Oracle, Rapid7 e Symantec.

O objetivo do perfil de ameaça DDoS “é garantir que a disciplina estratégica e operacional necessária para proteger e responder às ameaças DDoS seja abordada de forma abrangente, aplicando as recomendações e melhores práticas descritas no Quadro de Segurança Cibernética”.

Dando um passo atrás, o Instituto Nacional de Padrões e Tecnologia (NIST) foi encarregado pelo presidente Obama de desenvolver “um quadro voluntário de segurança cibernética baseado em risco – um conjunto de padrões e práticas recomendadas para ajudar as organizações a gerenciar riscos de segurança cibernética. A estrutura resultante, criada pela colaboração entre o governo e o setor privado, usa uma linguagem comum para abordar e gerenciar o risco de segurança cibernética de forma econômica”. O presidente Donald Trump emitiu uma Ordem Executiva instruindo as agências federais a implementar o NIST Cybersecurity Framework.

Ed Amoroso, proprietário da TAG Cyber, empresa de treinamento, assessoria e consultoria, pensa que o foco do NIST Cybersecurity Framework precisa mudar, mas que, em última análise, deve ser o único padrão de conformidade de segurança cibernética nos EUA. Em uma carta aberta ao novo presidente, o primeiro item da agenda sobre segurança cibernética foi:

Determinar que o NIST Framework seja o único padrão aceitável de conformidade com a segurança cibernética nos Estados Unidos. Temos muitas estruturas de conformidade e isso desvia a atenção dos ciberdefensores da nossa nação – das operações de segurança para a documentação administrativa. É preciso exigir que o cumprimento seja feito corretamente, mas que seja feito apenas uma vez usando o framework NIST.

Quem não receberia a simplicidade em troca de uma maior responsabilidade na segurança cibernética? Em um mundo de ameaças cinéticas e defesas complexas, a simplicidade é o progresso. O padrão único é uma bala de prata? Claro que não. Mas a abordagem representa um progresso pragmático e de bom senso. Quando as coisas parecem que não podem piorar, elas geralmente ficam melhores.

Imagine por um momento um mundo onde o próximo caso semelhante ao da Equifax seria avaliado em relação a um conjunto comum de critérios de melhores práticas. Seu nível de culpa seria proporcional ao seu nível de preparação. O NIST torna-se, assim, o scorecard para mensuração.