A ordem executiva de Trump pode criar novos desafios de segurança

Atualmente, o governo dos EUA exerce tanta influência sobre a cibersegurança que mesmo a menor mudança na política pode ter um impacto profundo. Uma ordem executiva emitida pelo Presidente Trump não é exceção, especialmente quando se refere a regras que exigem que as agências federais comecem a testar tecnologias de autenticação resistentes a phishing e a adoção de identidades digitais e de criptografia pós-quântica (PQC).

Especificamente, a administração está a reverter uma ordem executiva anterior emitida pelo ex-presidente Joe Biden que exigia uma adoção mais agressiva de tecnologias de autenticação mais robustas e identidades digitais para melhorar a cibersegurança e reduzir a fraude. A administração Trump, no entanto, dado o foco atual na aplicação das políticas de imigração, está preocupada que as identidades digitais possam ser utilizadas por imigrantes ilegais para obter benefícios a que não têm direito.

A segunda grande mudança eliminou uma ordem de Biden que exigia que as agências federais começassem a usar encriptação resistente a quântica “assim que possível”, além de exigir que os fornecedores utilizassem PQC quando tecnologicamente possível. A administração Trump também eliminou instruções para que os departamentos de Estado e do Comércio incentivassem os principais aliados estrangeiros e indústrias no exterior a adotar algoritmos pós-computação quântica definidos pelo Instituto Nacional de Padrões e Tecnologia (NIST).

Uma terceira mudança diz respeito à segurança das cadeias de fornecimento de software. Anteriormente, qualquer fornecedor que vendesse software ao governo federal tinha que atestar a segurança do software, submetendo documentação que mostrasse que seguiam as melhores práticas de DevSecOps. Agora, o governo dos EUA, através do NIST, apenas fornecerá orientação, em vez de exigir que os fornecedores apresentem um relatório real.

Além disso, as disposições que exigiam que a Agência de Segurança de Cibersegurança e Infraestrutura (CISA) verificasse as declarações fornecidas pelos fornecedores, exigiam que o Gabinete do Diretor Nacional de Cibersegurança (ONCD) publicasse os resultados dessas revisões e incentivavam o ONCD a encaminhar empresas cujas declarações não passassem numa revisão ao Departamento de Justiça “para ação conforme apropriado” foram eliminadas.

A administração Trump também eliminou regras que exigiam que o NIST emitisse orientações identificando práticas mínimas de cibersegurança com base numa revisão de normas globalmente aceites que exigiam que os fornecedores seguissem essas práticas.

A ficha técnica fornecida pela administração Trump afirmou que a ordem anterior de Biden impôs “processos de contabilização de software não comprovados e onerosos que priorizavam listas de verificação de conformidade em detrimento de investimentos genuínos em segurança” e microgeria “decisões técnicas de cibersegurança que seriam melhor tratadas ao nível do departamento e da agência, onde as compensações orçamentais e as soluções inovadoras podem ser avaliadas e implementadas de forma mais eficaz.”

A administração Trump está também a restringir o âmbito de uma ordem anterior relativa à segurança da inteligência artificial (IA). A ordem de Trump agora exige que as agências federais rastreiem vulnerabilidades nos sistemas de IA, integrem-nas em linhas de resposta a incidentes e limitem o compartilhamento de dados apenas ao que é viável sob restrições de segurança e confidencialidade. Anteriormente, as agências federais partilhavam essa informação com outros países aliados dos EUA.

A administração Trump está a modificar uma ordem anterior emitida pelo Presidente Obama há quase 10 anos. Agora, as sanções não podem ser aplicadas em quaisquer atividades relacionadas com eleições e apenas a atores estrangeiros maliciosos para prevenir o uso indevido contra opositores políticos internos.

Por fim, a ordem executiva também eliminou a linguagem de uma ordem executiva anterior que instruía o Gabinete de Gestão e Orçamento (OMB) a aconselhar as agências sobre como lidar com os riscos relacionados à concentração de fornecedores de TI.

Independentemente de qualquer inclinação política de um profissional de cibersegurança, uma coisa em que todos podem concordar é que o governo federal dos EUA serve de exemplo para os outros seguirem. Como tal, as mudanças que dependem mais de sugestões do que de requisitos vão tornar a conquista e manutenção da cibersegurança ainda mais desafiantes.