A FCC espera melhorar a segurança na internet

Muitos dos desafios de cibersegurança que as organizações enfrentam podem ser atribuídos à forma como a Internet foi desenvolvida. Em 1983, o objetivo era criar uma rede que promovesse a colaboração entre várias agências federais, com base na suposição de que os endpoints poderiam ser confiáveis. Na altura, nunca ocorreu a ninguém que a Internet evoluiria para uma estrutura fundamental da qual depende grande parte da economia global, incluindo uma vasta gama de serviços essenciais. Como resultado, foi perdida uma oportunidade de prevenir muitos dos problemas de segurança que nos afligem hoje.

Ao longo dos anos, foram feitas várias propostas para resolver estas questões. A mais recente é uma proposta que a Comissão Federal de Comunicações (FCC) está a considerar, que exigiria que os nove maiores fornecedores de serviços de rede de banda larga divulgassem confidencialmente como fortaleceram a segurança do Protocolo de Gateway de Border (BGP) que define as regras usadas para determinar as melhores rotas para transmitir dados na Internet. Os fornecedores menores de serviços de banda larga seriam obrigados a fornecer essa mesma informação mediante solicitação.

Em teoria, pelo menos, garantir que o BGP seja mais seguro pareceria um passo na direção certa, mas a Internet Society, uma entidade sem fins lucrativos que defende o desenvolvimento aberto da Internet, e a Global Cyber Alliance, uma organização sem fins lucrativos dedicada a tornar a Internet mais segura, discordam. Em um comunicado conjunto, os dois grupos de defesa afirmaram que a proposta atrasaria o ritmo em que as melhorias na segurança da Internet já estão a ser feitas.

Além disso, os regulamentos obrigatórios de encaminhamento podem prejudicar os pequenos fornecedores com recursos limitados, levando à consolidação da rede, a menos novos fornecedores e a barreiras adicionais à entrada.

Finalmente, as medidas obrigatórias de segurança de encaminhamento poderiam levar outros países a impor padrões conflitantes, resultando na degradação da segurança da Internet e da interoperabilidade, à medida que as redes procuram cumprir diferentes conjuntos de requisitos.

Não está claro como um simples pedido de informação pode impactar tão negativamente os provedores de serviços, mas é evidente que há um interesse comercial significativo em como a Internet irá evoluir. O desafio é que é difícil ver como questões fundamentais de segurança envolvendo o BGP podem ser abordadas sem ter qualquer impacto negativo nesses interesses. A discussão rapidamente se deslocará para o nível de custo potencial e inconveniência que as organizações estão dispostas a aceitar. Nesse contexto, será importante lembrar que muitas organizações já estão a incorrer em custos significativos ao implementar infraestrutura de segurança zero-trust para compensar a falta de segurança que poderia melhor servir a todos se estivesse embutida, por exemplo, no BGP ou em alguma outra alternativa. Muitos dos líderes de segurança dessas organizações também estão sob pressão significativa para justificar o retorno desses investimentos.

Ao longo dos anos, múltiplos esforços foram feitos para corrigir a Internet, com sucesso variável. Mais do que algumas organizações chegaram ao ponto de estabelecer e manter a sua própria Internet privada, que se conecta a serviços externos através de gateways. Todos esses esforços têm um custo que é criado simplesmente porque os cibercriminosos encontraram múltiplas formas de explorar as fraquezas inerentes de segurança da Internet que, em algum momento, precisarão inevitavelmente ser resolvidas. Quanto mais tempo esse processo levar, mais caro será, em última instância, aplicar as correções necessárias.