A responsabilidade pela segurança da infraestrutura crítica muda

Precisamente quem é responsável pela segurança das infraestruturas críticas está prestes a mudar após a assinatura de uma ordem executiva pelo Presidente Trump.

A ordem instrui o Assistente do Presidente para Assuntos de Segurança Nacional (APNSA), uma posição atualmente ocupada por Michael Waltz, a rever como transferir mais responsabilidade para a proteção de infraestruturas críticas para os governos estaduais e locais como parte de uma Estratégia Nacional de Resiliência formal que será definida dentro de 90 dias após a assinatura da ordem executiva em 19 de março.

No prazo de 180 dias a partir da assinatura da ordem, o APNSA, em coordenação com o Diretor do Gabinete de Política Científica e Tecnológica e outros chefes de agências relevantes, também é instruído a rever todas as políticas de infraestrutura crítica e recomendar quaisquer revisões, rescisões e substituições necessárias para alcançar uma postura mais resiliente. No cerne dessa transição está uma mudança para uma abordagem mais “informada pelo risco” em vez do que o presidente descreveu como a atual abordagem de “todos os perigos”. Especificamente, a ordem exclui quaisquer políticas atuais relacionadas a suposta “desinformação”, “misinformação” ou “malinformação” ou a chamada “infraestrutura cognitiva”. Esta última frase inclui inteligência artificial (IA) em conformidade com ordens anteriores para acelerar a adoção dessas tecnologias através da redução de regulamentos.

No prazo de 240 dias a contar da data da ordem executiva, o APNSA, em coordenação com os chefes das agências relevantes, também é instruído a rever todas as políticas nacionais de preparação e resposta e recomendar as revisões, rescindências e substituições necessárias para reformular o processo e as métricas de responsabilidade federal como parte do esforço para abandonar a abordagem atual de todos os riscos.

Por fim, no prazo de 240 dias após a assinatura da ordem executiva, o APNSA, em coordenação com o Diretor do Gabinete de Gestão e Orçamento e os chefes das agências relevantes, é encarregado de coordenar o desenvolvimento de um Registo Nacional de Riscos para identificar, articular e quantificar os riscos para a infraestrutura nacional dos EUA, os sistemas relacionados e os seus utilizadores.

Na verdade, a administração Trump decidiu, tal como muitas organizações já o fizeram, priorizar alguns riscos de cibersegurança em detrimento de outros. Existe, naturalmente, ainda muito debate intenso sobre não apenas o que constitui uma ameaça para a infraestrutura crítica, mas também sobre que infraestrutura pode realmente qualificar-se para ser considerada crítica. A única coisa que é certa é que uma quantidade massiva de mudanças está prestes a ser implementada num período de tempo relativamente curto. A probabilidade de adversários, durante esse tempo, lançarem ciberataques destinados, por exemplo, a incapacitar infraestruturas críticas localizadas em cidades e vilas que têm recursos financeiros limitados nunca foi tão alta.

As organizações, portanto, devem planear de acordo. Embora um ciberataque possa ser lançado diretamente contra uma organização, o chamado raio de explosão de um ciberataque direcionado, por exemplo, a linhas de energia, sistemas de água ou um gasoduto poderia afetar todos numa região durante semanas. As organizações de todas as dimensões seriam, portanto, bem aconselhadas a rever os seus planos de recuperação de desastres em conformidade. Afinal, dado o quanto as organizações dependem de uma vasta gama de sistemas interligados, a maioria dos manuais que as organizações possam ter criado anteriormente nunca foram concebidos para lidar com um ciberataque contra infraestruturas críticas que a maioria dos governos locais pode nunca estar realmente preparada para enfrentar.