A CISA procura expandir a missão em meio à turbulência

A agitação em torno da Cybersecurity and Infrastructure Security Agency (CISA) está a começar a ter um impacto significativo nas equipas de cibersegurança que — sem qualquer proteção de responsabilidade — estão, por agora, menos inclinadas a partilhar informações sobre como as violações ocorreram.

Ao mesmo tempo, no entanto, a agência está também a sinalizar a sua intenção de fornecer uma ampla gama de serviços diretamente a longo prazo, em vez de continuar a depender de um pequeno número de parceiros da indústria.

Pouco antes do encerramento do governo federal, o Congresso dos EUA não conseguiu renovar a Lei de Compartilhamento de Informações sobre Cibersegurança, principalmente devido a objeções do Senador Rand Paul (R-KY), que está preocupado que a legislação original permita que a agência ultrapasse a sua missão ao se envolver em campanhas de desinformação nas duas últimas eleições presidenciais. No cerne desse debate estão preocupações de que, nos seus esforços para proteger a infraestrutura eleitoral crítica, a CISA se envolveu num debate político sobre as limitações percebidas impostas à liberdade de expressão.

Alguns dias depois, o governo dos EUA shutdown, o que resultou em layoffs que podem ter um impacto significativo na capacidade da agência de fornecer certos serviços, incluindo serviços que a CISA fornece a organizações terceiras. Antes desses cortes, a CISA também deixou lapse a cooperative agreement com o Center for Internet Security (CIS) através do qual um programa do Multi-State Information Sharing and Analysis Center (MS-ISAC) tem sido gerido. Agora a CISA planeia administrar o financiamento para iniciativas específicas ela própria, além de fornecer ferramentas que desenvolve a estados e localidades individuais sem custo.

Mudança de foco

Todas estas mudanças estão a ocorrer numa altura em que a CISA também está a sinalizar a sua intenção de reformular o programa de Common Vulnerabilities and Exposures (CVE) atualmente administrado pela Mitre Corp. Um documento Foco Estratégico da CISA publicado pela CISA indica que a agência está a rever a forma como os CVEs são numerados e classificados, juntamente com a forma como a informação sobre eles é distribuída, como parte de um novo foco na qualidade.

Especificamente, o documento apela a um compromisso com a gestão livre de conflitos e neutra em relação aos fornecedores, a um amplo envolvimento multissetorial, a processos transparentes e a uma maior responsabilização. Esta última questão é, naturalmente, um assunto de grande interesse entre os profissionais de cibersegurança, que regularmente se encontram à espera que os programadores construam e apliquem correções às aplicações. A esperança é que, se as organizações forem mais responsabilizadas por fornecer software que tenha vulnerabilidades conhecidas exploradas por cibercriminosos, possa haver muito menos delas.

Pode demorar algum tempo até que sejam feitas alterações concretas, mas é evidente que o âmbito da missão da CISA está a mudar. Os recursos estão claramente a ser desviados de algumas iniciativas em linha com as prioridades definidas pela administração Trump. É menos evidente até que ponto a CISA tem os recursos necessários para cumprir o seu mandato emergente, que inclui a prestação direta de uma gama mais ampla de serviços.

Com esperança, a CISA voltará a ser o centro de distribuição para a partilha segura de informações sobre ameaças, ao mesmo tempo que amplia o âmbito dos serviços que presta. O desafio, como sempre, é cumprir esse mandato de uma forma que convide à menor interferência política possível.