Como governos podem ajudar companhias na luta contra hackers

Grandes corporações têm sofrido cada vez mais com ataques cibernéticos. Geralmente patrocinados por agentes de estado, as violações são difíceis de detectar e podem atingir informações de milhões de pessoas. Dado a essa escala, não é muito difícil entender por que as abordagens atuais não são o bastante para guardar dados sensíveis.

Leis em diferentes níveis fazem com que as companhias tenham segurança “razoável”, um conceito indefinido e evasivo, especialmente se considerar que as ameaças e as medidas defensivas disponíveis estão em constante evolução. Além disso, ações judiciais e de fiscalização declaram que qualquer vulnerabilidade explorada é “irracional”, sem uma avaliação significativa do programa geral de segurança da empresa ou o reconhecimento de que ela foi vítima de um ataque.

Ainda que a maior parte das empresas tenham aumentado seus gastos com segurança, elas ainda enfrentam obstáculos significativos para gerenciar seus riscos cibernéticos. Embora alguns padrões de segurança do setor tenham surgido, eles são vagos. Para ter uma segurança eficaz, é preciso a aplicação de um julgamento significativo no contexto de arquiteturas de rede corporativa exclusivas e complexas, assim como a capacidade de se adaptar. Infelizmente, o número de talentos com a experiência e conhecimento a área ainda é limitado.

Embora tenha acontecido um foco significativo no compartilhamento de informações sobre ameaças, tanto dentro do setor privado quanto entre o governo e o setor privado, esse compartilhamento permanece incompleto, particularmente quando se trata de técnicas, táticas e procedimentos que determinados atores estão empregando. Dessa maneira, as companhias não têm conhecimento suficiente das ameaças específicas que enfrentam para que possam se defender melhor.

No contexto cibernético, uma empresa que sofre uma violação enfrenta um risco substancial de múltiplas investigações regulatórias e ações judiciais coletivas, todas focadas em atribuir culpas à organização por ter medidas de segurança inadequadas para derrotar o ataque criminoso feito por outros – não importa a força do programa geral de segurança da empresa ou o montante do investimento feito na área.

Em vez de se concentrar em remediar o incidente, restaurar as operações, melhorar a segurança e mitigar possíveis danos, uma empresa em meio a uma violação cibernética também precisa se preocupar com o registro que está sendo criado. Além disso, o medo restringe as informações que uma empresa está disposta a compartilhar – ela pode não divulgar o incidente e muito menos como e por que o intruso conseguiu escapar das medidas de segurança existentes.

A Lei de Segurança Cibernética de 2015, aplicada nos Estados Unidos, fornece algumas proteções, mas elas são limitadas e não resultaram em um aumento significativo no compartilhamento de informações. Como resultado, a segurança cibernética coletiva é diminuída.

É preciso colocar menos peso em empresas individuais, concentrando-nos mais em formas sistêmicas de lidar com ameaças cibernéticas. Em parte, essa abordagem exigiria que governos assumissem um papel mais ativo na defesa cibernética, uma vez que possuem uma série de vantagens em comparação com o setor privado, como a capacidade de coletar e explorar inteligência e de coordenar-se internacionalmente. É neste contexto que governos poderiam dedicar mais recursos à coleta de informações sobre possíveis ataques cibernéticos contra entidades privadas, especialmente de agentes de estado, e tomar medidas para ajudar a evitá-los.

Entretanto, se fazem necessárias reformas legais e políticas para atingir esses objetivos e incentivar as empresas a colaborar com o governo nessas iniciativas. Essa colaboração torna-se improvável se a lei não oferecer maiores proteções de confidencialidade e responsabilidade do que as atualmente disponíveis para empresas que realizam ações para ajudar nossa defesa coletiva.