Proteção da infraestrutura crítica

Contexto

A proteção da infraestrutura crítica consiste em medidas para proteger sistemas, redes e ativos interdependentes que formam a espinha dorsal dos serviços essenciais para a sociedade. Exemplos de infraestrutura física vital incluem estradas, pontes, aeroportos, instalações de comunicação e usinas de energia. Uma infraestrutura baseada em informações viabiliza todas as outras e é caracterizada por computadores e redes (especialmente sistemas SCADA) que operam em regime interconectado para possibilitar análises e troca de informações entre funções críticas. Isso inclui serviços bancários, geração e distribuição de energia elétrica, serviços médicos, serviços públicos de emergência e transporte aéreo e de superfície.

Como a infraestrutura de informações críticas da maioria das nações é, em grande parte, pertencente ao e operada pelo setor privado, precisamos de um conjunto dinâmico de soluções que reflita o fato de que ameaças emergentes (e a tecnologia necessária para detê-las) mudam com tanta rapidez que, muitas vezes, o processo normativo não consegue acompanhá-las. As mudanças rápidas e contínuas inerentes à Internet, aliadas ao seu alcance global, exigem soluções flexíveis que possam ser adaptadas rapidamente a circunstâncias novas e em evolução.

Importância para a McAfee

A destruição ou incapacitação de infraestruturas físicas e/ou baseadas em informações contra desastres naturais, ataques cibernéticos ou outros meios podem causar grandes danos aos cidadãos, às empresas e aos governos. O desafio de proteger sistemas e redes de informações críticas é um desafio mundial. A infraestrutura da informação nos dias de hoje depende, fundamentalmente, da conectividade e da interoperatividade em escala global. Portanto, é essencial enfrentar o desafio de proteger a infraestrutura mundial de informações críticas através da adoção de estratégias e soluções eficazes e de nível internacional.

Na McAfee, nós estamos empenhados em tornar o mundo conectado mais seguro. Acreditamos que nenhuma pessoa, nem qualquer produto ou organização, seja capaz de lidar com os adversários cibernéticos isoladamente. Isso é válido especialmente para organizações de infraestrutura crítica, que estão sendo atacadas por outras nações e por sindicados internacionais do crime. Até hoje, a McAfee manteve uma operação sólida em setores de infraestrutura crítica, incluindo os setores público, financeiro e de assistência médica. Também estamos avançando em outros setores críticos, como os de comunicações e energia. Como parte de nossa dedicação a atender aos interesses de nossos clientes, estamos empenhados em influenciar os ambientes de políticas públicas nos quais nossos clientes e possíveis clientes operam como parte de uma estratégia maior, que beneficie a todos.

Recomendações de políticas

Mantenha uma abordagem voluntária

Os governos nacionais têm um interesse legítimo em proteger a infraestrutura crítica, que é em grande parte de propriedade do setor privado. Sendo assim, a McAfee acredita que o setor privado deve assumir o papel principal de protegê-la. O governo deve permitir que a indústria continue inovando voluntariamente na proteção da infraestrutura crítica. Regulamentações e mandatos só atrapalham o progresso rumo à meta de garantir a proteção de nossa infraestrutura crítica.

  • Se as regulamentações forçarem os fabricantes a oferecerem proteção contra as ameaças de hoje, as de amanhã podem começar a se infiltrar.
  • Se o governo impor mandatos de tecnologia, o resultado provavelmente seria de mera conformidade em vez de segurança real. A regulamentação em uma área como a segurança cibernética é complicada, e as consequências indesejáveis podem superar os benefícios da regulamentação.

Abordagens como a parceria voluntárias entre os setores público e privado que produziu a estrutura NIST são muito melhores que regulamentações rígidas. A abordagem do NIST foi bem-sucedida porque os criadores de políticas e o setor privado definiram uma necessidade real: o aprimoramento da segurança das infraestruturas críticas. Seguindo um processo aberto, o NIST ouviu o setor privado e ganhou a confiança das principais partes interessadas. Isso resultou em uma estrutura flexível, baseada em colaboração voluntária, e não em regulamentos rígidos. A colaboração viabiliza soluções de processos industriais integrados e validados, que podem ser distribuídos mais rapidamente sem prejuízo da segurança e da confiabilidade. Os criadores de políticas devem ter em mente o êxito da estrutura NIST como uma maneira positiva de chegar ao resultado desejado.

 

Incentive a segurança desde a concepção

Os criadores de políticas devem incentivar a segurança desde a concepção para qualquer instalação nova de infraestrutura crítica. Introduzir a segurança no início do processo de desenvolvimento, integrando-a à infraestrutura desde o início, é uma abordagem proativa que é muito melhor do que o lançamento de patches, atualizações e modificações de sistemas para acrescentar a segurança mais tarde.

  • Adicionar ou “acoplar” recursos de segurança a um sistema, rede ou dispositivo depois que ele já está funcionando tem fraquezas e perdas de eficiência inerentes. Para piorar, o sistema precisa ficar offline para ser atualizado, um requisito inviável para a rede de energia elétrica.
  • Os fabricantes devem considerar a segurança no início do processo de projeto para qualquer dispositivo em rede e incluir mecanismos para atualizar e aplicar patches nos produtos de maneira segura após a produção inicial.

 

Incentive novos investimentos em recursos de segurança cibernética

Como uma organização de linha de frente na segurança cibernética, sabemos como nossos clientes estão sendo pressionados a fazer todos os investimentos de que precisam para que suas organizações funcionem bem. Muitas vezes, os investimentos em segurança cibernética ficam em segundo plano, porque as prioridades são os novos produtos, as vendas ou o marketing. Dado o interesse nacional em proteger os sistemas de infraestrutura crítica pertencentes ao setor privado e por ele operados, faz sentido os criadores de políticas implementarem incentivos adicionais, como os descritos abaixo, para ajudarem essas organizações a melhorar seus recursos de segurança cibernética:

  • Incentivos fiscais: Incentivos fiscais para incentivar as empresas a investirem em defesa cibernética, incluindo cronogramas de depreciação acelerada ou créditos tributários para a adoção de tecnologias de segurança de qualidade comprovada.
  • Reformas nos seguros: O governo poderia impulsionar o mercado de seguros com um programa de apoio. Para esse fim, o Congresso deveria considerar estender o alcance do Terrorism Reinsurance Program Reauthorization Act (TRIPRA) para que ela passe a abranger ataques cibernéticos.
  • Incentivos para que todos compartilhem informações em vez de apenas “pegar carona” nas informações disponibilizadas pelos outros: Precisamos reconhecer que aqueles que apenas pegam “carona” nas informações sobre ameaças acabam desestimulando o compartilhamento de informações pelos setores público e privado. Todas as organizações se beneficiam do consumo de informações sobre ameaças, mas elas não obtêm valor direto ao fornecê-las, a não ser que a estrutura organizacional adequada e incentivos sejam implementados para acabar com o problema da “carona”.
  • Publicação de mais dados sobre ameaças: Os governos precisam aumentar a qualidade e a quantidade de dados sobre ameaças que compartilham com o setor privado para lidar com o problema da “carona”. Os governos deveriam publicar categorias mais amplas de dados sobre ameaças e compartilhá-los ativamente com o setor privado. Os governos deveriam emitir mais avisos de segurança para representantes de empresas qualificados para permitir o acesso aos dados mais confidenciais, e potencialmente mais valiosos, sobre ameaças.