Os reguladores adotam um tom diferente em relação à cibersegurança.

Uma diretiva emitida pela Comissão Federal de Comércio (FTC) que exige que a GoDaddy melhore a segurança dos seus serviços de alojamento sugere que o governo federal está a tornar-se mais prescritivo em relação às orientações fornecidas ao setor privado.

Após uma série de violações que remontam a 2018, a FTC no início deste ano acusou a GoDaddy de violar a Seção 5 do Ato FTC por não implementar práticas de segurança padrão nos sites dos clientes, apesar de promover uma "segurança premiada".

A FTC, como parte de um acordo, emitiu uma ordem que exige especificamente que a GoDaddy designe uma pessoa para estar a cargo de um programa de segurança da informação, adote um sistema de gestão de eventos de segurança (SIEM) ou outra ferramenta que forneça análise quase em tempo real de eventos de segurança, crie um sistema de registos de auditoria, aborde questões de autenticação com certificados, pares de chaves público-privadas ou tecnologias semelhantes e implemente autenticação multifator para funcionários, contratantes e afiliados de terceiros.

A GoDaddy deve também submeter-se a uma revisão inicial e depois passar por avaliações das suas operações de segurança a cada dois anos por avaliadores independentes.

Embora a maioria dos profissionais de cibersegurança concorde que estas medidas equivalem a exigir que a GoDaddy adote um conjunto geralmente reconhecido de melhores práticas, a FTC está a adotar um tom decididamente diferente do que outras agências governamentais no passado. A maior parte das críticas a qualquer organização do setor privado tem surgido sob a forma de conselhos, em vez de como uma diretriz.

Além disso, a FTC está a envolver-se numa certa quantidade de humilhação pública na esperança de que outras organizações com cibersegurança negligente possam ficar mais motivadas para resolver esses problemas antes que a FTC ou outra agência determine que há necessidade de intervir.

Em geral, os governos de todo o mundo estão a prestar muito mais atenção ao nível real de cibersegurança implementado no setor privado. Há agora, em todo o mundo, uma melhor apreciação das implicações para a segurança nacional das plataformas amplamente utilizadas. O presidente da Microsoft, Brad Smith, por exemplo, no ano passado viu-se a pedir desculpa pelas práticas de cibersegurança laxistas da empresa que foram descobertas pelo Conselho de Revisão de Segurança Cibernética (CSRB), um braço da Agência de Segurança Cibernética e Infraestrutura (CISA).

As agências federais podem não ter os recursos necessários para rever amplamente as práticas de cibersegurança em todo o setor privado, mas o tom e a abordagem dos envolvimentos com as agências federais estão a mudar. Há claramente menos simpatia por organizações que não implementam níveis adequados de cibersegurança. Os dias em que era injusto culpar a vítima de um ataque de cibersegurança estão a chegar ao fim. Agora, a expectativa é que as organizações não só estejam bem cientes do risco que enfrentam, mas também sejam vistas a tomar medidas ativas para os mitigar.

Como resultado, cada organização deve avaliar o seu nível atual de compromisso com a cibersegurança. É improvável que alguém de uma agência federal apareça amanhã a fazer perguntas difíceis, mas no caso de um incidente, as equipas de TI e de cibersegurança devem esperar ser questionadas de forma mais incisiva sobre as medidas que tomaram para os prevenir desde o início.