O recente hack da empresa de gerenciamento de rede SolarWinds, que permitiu que malfeitores comprometessem uma série de agências governamentais dos EUA e grandes corporações, revelou uma verdade preocupante: as empresas e o governo expõem-se mutuamente a riscos cibernéticos significativos porque estão interconectados e dependem da mesma rede de fornecedores de software. É por isso que a resposta estratégica deve envolver uma colaboração mais intensa. Simplificando, a ameaça de ataques cibernéticos é uma tarefa muito grande para o governo ou as empresas resolverem sozinhas.

​

As reclamações sobre segurança cibernética ao Federal Bureau of Investigation dos EUA mais do que triplicaram durante a pandemia no ano passado, enquanto o pagamento médio por vítimas de ransomware aumentou 43% no primeiro trimestre de 2021 em relação ao trimestre anterior. Os ataques à cadeia de suprimentos de software estão crescendo exponencialmente, e a florescente Internet das Coisas e a tecnologia sem fio 5G oferecem mais vulnerabilidades a serem exploradas.

​

Os governos têm uma visão ampla das ameaças potenciais por meio da aplicação da lei e dos recursos de inteligência, mas tendem a ver as coisas pelas lentes da segurança nacional, em vez do risco comercial. As empresas têm informações de risco específicas da empresa e do setor e muitas vezes têm melhor acesso aos talentos da cibersegurança, mas não podem facilmente ter uma visão de toda a economia e podem ficar sobrecarregadas por invasores patrocinados pelo estado.

​

O que é necessário é que ambos os lados juntem seus recursos para uma defesa mais coordenada. Parte disso já está acontecendo. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), o Departamento de Saúde e Serviços Humanos e o FBI alertaram em outubro de 2020 que "ciberatores maliciosos" estavam visando instituições de saúde e saúde pública para fazer demandas de ransomware e interromper os serviços de saúde. Mas esses esforços tendem a ser a exceção e chegam tarde demais. Ambos os lados precisam intensificar sua colaboração e torná-la mais proativa.

​

Funcionários seniores reconhecem que mais precisa ser feito. O diretor do FBI, Christopher Wray, pediu recentemente que o governo e o setor privado colaborem em uma luta organizada contra os conspiradores cibernéticos, em vez de impedir cada ataque individual. Chris Inglis, um ex-alto funcionário da Administração de Segurança Nacional que o presidente Biden nomeou para se tornar o primeiro diretor cibernético nacional do país, poderia tornar a colaboração público-privada um elemento-chave da estratégia cibernética do país.

​

​

Aqui estão quatro maneiras pelas quais o governo e as empresas podem unir forças na batalha pela segurança cibernética:

​

​

1. Compartilhe informações sobre ameaças.

Governos e empresas têm diferentes fontes de informação, visão e inteligência. Agrupá-los em tempo hábil criará uma imagem mais clara e atual das ameaças cibernéticas. Algumas trocas já estão ocorrendo. O Centro Nacional de Segurança Cibernética do Reino Unido opera uma parceria de compartilhamento de informações de segurança cibernética com a indústria, enquanto a CISA tem parcerias semelhantes com operadoras americanas de infraestrutura crítica. A Europol, a Agência de Aplicação da Lei da União Europeia, levou o conceito a um passo adiante, criando um site onde entidades públicas e privadas podem compartilhar ferramentas de descriptografia para se recuperar de ataques de ransomware sem pagar aos ladrões.

​

Essas iniciativas são valiosas, mas o compartilhamento de informações ainda não é consistente ou oportuno o suficiente. Os executivos corporativos muitas vezes sentem que fornecem dados conforme necessário, mas os colegas do governo não retribuem. Os serviços de inteligência frequentemente não querem divulgar ameaças potenciais por medo de inundar as empresas com riscos potenciais ou revelar segredos de tradecraft. E certas empresas podem temer que a divulgação de eventos cibernéticos possa abrir seus controles ou gerenciamento de risco cibernético a um escrutínio indesejável, regulamentação onerosa ou penalidades.

​

Ambos os lados podem construir confiança e aprofundar a cooperação. A recém-anunciada colaboração do Nationwide Cybersecurity Center com o Google para fornecer treinamento cibernético para legisladores estaduais dos EUA, e suas equipes, representa o tipo de iniciativa que precisamos ver mais.

​

​

​

2. Alinhe a educação cibernética com as necessidades do mercado.

Governos, empresas e outras instituições em todo o mundo enfrentam uma escassez de profissionais de segurança cibernética estimada em mais de 3 milhões - quase tantos quanto os cerca de 3,5 milhões de pessoas atualmente trabalhando no campo. Indiscutivelmente, há capacidade de trabalho que poderia ser organizada aqui. O desafio é duplo: atrair mais pessoas para capacitar nas áreas da segurança cibernética e garantir que os currículos permitam que os alunos e estagiários acompanhem as ameaças em constante mudança.

​

A Iniciativa Nacional para Educação em Segurança Cibernética do governo dos Estados Unidos revisou recentemente sua estrutura para o desenvolvimento de talentos para que as escolas possam fornecer instruções mais relevantes e as empresas possam ter certeza de que os graduados possuem as competências necessárias. O Centro Nacional de Segurança Cibernética do Reino Unido criou o CyberFirst, que oferece de tudo, desde assistência financeira universitária e estágios a programas de verão para atrair jovens para o campo.

​

A Cybersecurity Workforce Alliance, que foi fundada por grandes instituições financeiras, a City University of New York (CUNY) e o especialista em desenvolvimento de força de trabalho iQ4, possui mais de 2.700 membros da indústria, academia e governo, e tem como objetivo fornecer estágios para mais de 10.000 Estudantes dos EUA até 2022. O New York City Economic Development Corp uniu-se a empresas e universidades locais para criar programas de graduação cibernética e um acelerador para promover o crescimento de empresas iniciantes no espaço. Mais esforços desse tipo são necessários para preencher a lacuna de talentos cibernéticos.

​

​

​

3. Aperfeiçoar os recursos de resposta a incidentes.

Mesmo a melhor defesa cibernética provavelmente será quebrada. É por isso que organizações eficazes têm planos bem ensaiados para lidar com os invasores.

 

Vários países oferecem fóruns onde o governo e as empresas colaboram em resposta a ataques cibernéticos. Nos EUA, o Plano Nacional de Resposta a Incidentes Cibernéticos da CISA define a defesa cibernética como uma "responsabilidade compartilhada" dos indivíduos, do setor privado e do governo, define as funções que os departamentos governamentais desempenharão na resposta a ataques e compromete as autoridades federais a proteger a privacidade e propriedade intelectual das empresas. O National Cyber ​​Security Center do Reino Unido, um braço da agência de inteligência GCHQ, coordena respostas semelhantes e define com quais especialistas cibernéticos do setor privado irá colaborar.

​

Esses planos devem incluir exercícios de treinamento reais, não apenas discussões de dramatização. O setor financeiro é um bom exemplo aqui. A Securities Industry and Financial Markets Association tem conduzido exercícios de cibersegurança desde 2011. O último exercício Quantum Dawn V, reuniu mais de 150 empresas financeiras e 50 órgãos reguladores em 19 países para praticar a resposta a um ataque de ransomware simulado de forma sistêmica a instituições importantes e uma empresa de serviços públicos nos mercados financeiros. As principais conclusões: A indústria deve criar um diretório de participantes e funcionários-chave e fortalecer o compartilhamento internacional de informações entre empresas, associações comerciais e reguladores, como bancos centrais.

​

Mais exercícios desse tipo precisam ser feitos. Os fatores de ameaça variam de acordo com o setor comercial e, quanto mais os governos aprenderem sobre o que é importante e para quem, melhor preparados estarão os funcionários para reunir informações valiosas sobre ameaças.

​

​

​

4. Construir segurança desde o projeto.

O erro humano, como cair em um ataque de phishing e baixar malware, está envolvido em 95% dos ataques cibernéticos bem-sucedidos. Não podemos eliminar essa vulnerabilidade, mas devemos ser capazes de reduzi-la criando melhor segurança em dispositivos de tecnologia em primeiro lugar - algo que muitas empresas de tecnologia negligenciam ou ignoram na pressa de trazer novos produtos e serviços ao mercado.

​

O eSafety Commissioner da Austrália, a primeira agência governamental do mundo dedicada a aumentar a conscientização pública e a educação sobre os riscos cibernéticos, reuniu representantes da indústria, governo, defensores do consumidor e organizações sem fins lucrativos em 2019 para definir um conjunto de princípios para aumentar a segurança inerente a serviços online. A principal delas é a ideia de que a segurança nunca deve ser responsabilidade exclusiva do consumidor e que as empresas mitigam os fatores de risco para todos os usuários antes de liberar os serviços para o público. Em dezembro, os EUA adotaram uma legislação exigindo que o governo defina padrões mais elevados para a segurança dos dispositivos que utilizam a chamada "Internet das Coisas".

​

Outras nações devem seguir essas pistas. O objetivo final seria o equivalente cibernético do Kitemark do British Standards Institution, uma designação que mostra que tudo, desde aparelhos elétricos a dispositivos móveis, atendem aos padrões de segurança.