Maya Rudolph atinge Trump no Oscar: ‘O México não está pagando pelo muro’

iStock

Nos Estados Unidos, os ataques cibernéticos fecharam hospitais em questão de segundos, permitiram que os russos vasculhassem dados de agências federais e quase envenenaram milhares de pessoas com água contaminada. E isso foi apenas nos últimos meses. Ataques cibernéticos de origem conhecida e desconhecida foram os responsáveis ​​por esses incidentes, e o Congresso entende que deve fornecer aos órgãos federais recursos para defender a nação contra esses ataques e criar políticas que fortaleçam a cooperação com parceiros locais, privados e internacionais. Mas se o passado for precedente, o Congresso aprovará projetos de lei de segurança cibernética limitados e confiará na Lei de Autorização de Defesa Nacional (NDAA) anual como o veículo legislativo para orientar as disposições importantes sobre segurança cibernética.

Mas há uma desvantagem em usar um projeto de lei de defesa como o principal veículo para superar um desafio multifacetado que atinge não apenas questões de segurança nacional, mas também justiça criminal, desenvolvimento da força de trabalho, colaboração do setor privado e questões de privacidade? Se os comitês do Congresso continuarem a ceder jurisdição aos comitês das Forças Armadas, o principal comitê responsável pela redação do NDAA, mas não pela aplicação da lei doméstica e segurança interna, o Congresso deve considerar se faz sentido criar um projeto de “ônibus cibernético” que permita para que adotem uma abordagem mais holística da segurança cibernética.

A velocidade e a variedade dos ataques cibernéticos que atingem os Estados Unidos enfatizam a necessidade de uma ação abrangente. O FBI recebeu quase 2.500 relatórios de ransomware em 2020 – malware que ciberatores mal-intencionados usam para bloquear dados e computadores e mantê-los como reféns até que o resgate seja pago – custando US $ 29 milhões e afetando mais de 400 instituições K-12 e pelo menos 80 hospitais. Presume-se que os atores estatais russos e chineses estejam por trás de um dos maiores ataques de espionagem cibernética da história (o hack SolarWinds) e exploraram uma vulnerabilidade da Microsoft que afetou dezenas de milhares de clientes. E o mais alarmante é que um ator desconhecido invadiu uma estação de tratamento de água na Flórida, mudou os níveis químicos e quase envenenou uma comunidade inteira.

O Congresso entende a natureza multifacetada da segurança cibernética, razão pela qual eles apresentaram mais de 300 projetos de lei relacionados à cibernética na última sessão do Congresso que abrangeram uma ampla gama de questões. Embora menos de 20 tenham se tornado lei, os membros do Congresso anexaram 45 projetos de lei de segurança cibernética a essas leis, com 32 desses projetos incorporados nos NDAAs de 2020 e 2021. No entanto, isso conta apenas uma fração da história. O Congresso usou esses dois NDAAs para incluir mais de 150 cláusulas cibernéticas que nunca foram introduzidas anteriormente como legislação independente.

Na verdade, os últimos cinco NDAAs (anos fiscais 2017-2021) continham cerca de 300 cláusulas de segurança cibernética, com os dois últimos respondendo por 60 por cento de todas essas cláusulas. A maioria das disposições de segurança cibernética do NDAA tratam de como o Departamento de Defesa (DoD) realiza missões cibernéticas ofensivas, protege seus ativos contra ameaças cibernéticas e fortalece sua força de trabalho cibernética. A partir de 2020, no entanto, o Congresso começou a expandir o escopo do NDAA para cobrir questões de segurança cibernética que tradicionalmente caíam fora da missão cibernética do DoD, como sistemas eleitorais de segurança, infraestrutura crítica privada e a cadeia de fornecimento de tecnologias de informação e comunicação. Como resultado, o NDAA de 2021 tinha quase quatro vezes mais disposições relacionadas com o ciberespaço do que o NDAA de 2017.

Embora essas disposições sejam pequenas em número, elas têm implicações significativas para a política interna. Por exemplo, o NDAA 2021 criou as bases para uma política industrial do século 21 ao estabelecer um fundo fiduciário dentro do Departamento do Tesouro para fornecer subsídios às empresas para promover e implantar a tecnologia 5G, entre outras coisas. Também autorizou o Departamento de Segurança Interna a colocar coordenadores de segurança cibernética em cada estado, emitir intimações para provedores de serviços de Internet para avisar seus clientes de que eles podem ter uma vulnerabilidade cibernética que poderia ser explorada e colaborar com parceiros privados para interromper a infraestrutura cibernética que os atores usam para lançar ataques.

Para ser claro, essas disposições são necessárias. O fato de o Congresso ter enviado menos de 20 projetos de lei de cibersegurança – dois dos quais eram projetos de NDAA – ao Salão Oval na última sessão do Congresso destaca a necessidade, no momento, de contar com o NDAA para a aprovação de leis críticas de segurança cibernética. Ainda assim, o Congresso está limitado ao que pode incluir no NDAA, o que limita as ferramentas em nossa caixa de ferramentas cibernética. Além disso, as autoridades e os recursos atribuídos à missão cibernética do DoD superam em muito aqueles fornecidos às agências civis responsáveis ​​pela parceria com parceiros estaduais, locais, privados e internacionais. O orçamento cibernético do DoD é “quase 25 por cento maior do que o total que vai para todos os departamentos civis, incluindo os departamentos de Segurança Interna, Tesouro e Energia”. Além disso, algumas das disposições incluídas no NDAA são mandatos sem financiamento. O Congresso, por exemplo, não alocou fundos para implementar a política industrial que assinou no NDAA de 2021.

Para adotar uma abordagem mais holística para a segurança cibernética dos EUA, que crie autoridades e forneça recursos para mais de 20 agências federais com missões de segurança cibernética, o Congresso deve considerar os benefícios potenciais da criação de um projeto de lei omnibus cibernético. Tal projeto permitiria ao Congresso enumerar e fornecer recursos para um cibercrime dentro do Departamento de Estado, desacreditar sua missão com o DoD e fornecer recursos aos adidos do FBI para apoiar os esforços do crime cibernético no exterior. Também permitiria uma abordagem de toda a sociedade para se preparar e responder a incidentes cibernéticos em casa, fornecendo recursos para agências federais e locais. Isso, então, diminuiria a carga colocada sobre os recursos do DoD, como as Unidades da Guarda Nacional que auxiliam os governadores na resposta a incidentes cibernéticos domésticos. Por último, permitirá ao Congresso expandir e fomentar uma política industrial que não se baseia apenas na segurança nacional, mas também na inovação econômica e social.

Para ter certeza, o NDAA poderia atingir esses objetivos e ser um meio valioso para aprovar a legislação de segurança cibernética. Mas o Congresso deve considerar as limitações de contar apenas com um projeto de lei baseado na defesa para a vasta maioria da legislação de segurança cibernética de nosso país e o que isso significa para as parcerias federais com estados, aliados e empresas privadas. Um projeto de lei de ônibus cibernético permitiria ao Congresso aprovar uma ampla gama de disposições de segurança cibernética com recursos adequados fornecidos a todas as agências para que possam defender melhor os Estados Unidos contra o implacável ataque cibernético.

Michael Garcia é conselheiro sênior de política do Programa de Segurança Nacional da Third Way, um centro de estudos de centro-esquerda.

Veja o tópico de discussão.

Leave a Reply

Your email address will not be published. Required fields are marked *