Senado dos EUA aprova lei que obriga empresas a informarem sobre ciberataques

O Senado americano aprovou na última semana um projeto de lei que aumenta as responsabilidades de empresas de infraestrutura, as obrigando a informarem o governo caso sejam vítimas de ataques cibernéticos. A ideia da proposta é intensificar ainda mais o controle e o combate contra incidentes desse tipo, principalmente em um ambiente em que há cada vez mais ameaça de quadrilhas internacionais de ransomware e estados-nações.

• Ransomware assustará empresas em 2022; veja dicas para se proteger
• 85% das empresas sofrem ao menos um ataque de ransomware por ano, diz estudo

O principal ponto do ato, chamado “Fortalecendo a Cibersegurança da América”, é a obrigatoriedade de aviso oficial ao governo sobre ataques dentro de uma janela de 72 horas. Isso vale para companhias de infraestrutura crítica, como empresas de energia, saúde e distribuição de alimentos, que também deverão divulgar atualizações públicas e preservar dados relacionados ao incidente para investigações oficiais e maior transparência sobre os ocorridos.

O prazo é ainda mais apertado nos casos em que o pagamento de resgate estiver envolvido, com as companhias tendo 24 horas para avisar órgãos oficiais sobre a negociação com os criminosos. O termo ecoa a falas do próprio presidente Joe Biden, que no ano passado, já havia dito que o Departamento do Tesouro dos EUA aplicaria sanções a empresas que enviassem dinheiro aos bandidos, já que a visão do governo é que isso incentiva o cibercrime.

Além disso, a ideia da legislação é trabalhar de forma rápida na investigação de responsáveis e mitigações de campanhas em andamento, já que a obtenção de informação sobre um glpe pode ajudar a impedir outros. O conhecimento de técnicas usadas pelos atacantes também pode ajudar na defesa da infraestrutura nacional, principalmente quanto o vetor de entrada for falhas zero-day ou sistemas desatualizados.

O olhar, claro, também se volta à Rússia, que se encontra atualmente em um conflito armado com a Ucrânia e diante de fortes tensões internacionais com os Estados Unidos. Enquanto a guerra digital continua, o temor é que os Estados Unidos e seus aliados tenham a infraestrutura atingida por criminosos a serviço de países rivais, com o compartilhamento de inteligência também auxiliando nestas operações de defesa.

Apesar da aprovação unânime, o projeto de lei também encontra suas barreiras, principalmente, no que toca a jurisdição das investigações e dos informes das empresas. O ato prevê a Agência de Cibersegurança e Infraestrutura (CISA, na sigla em inglês) como o órgão responsável, enquanto representantes do FBI e do Departamento de Justiça temem ser deixados de fora de investigações ou receberem informações relevantes de forma tardia, dificultando o andamento de investigações próprias.

Nova lei pode mudar cenário internacional

Como normalmente acontece, a aprovação de atos desse tipo nos Estados Unidos pode servir como base para a implementação de normas semelhantes em outros lugares do mundo. O Brasil, por exemplo, tem regras relacionadas à revelação de incidentes cibernéticos na Lei Geral de Proteção de Dados (LGPD), mas elas não são específicas para casos de ransomware, companhias de infraestrutura nem consideram condições especiais em caso de negociação com os criminosos.

Pela legislação brasileira, vigente desde agosto do ano passado, as empresas são obrigadas a informarem publicamente sobre incidentes cibernéticos que envolvam dados sigilosos, com detalhes sobre a quantidade de afetados, quais informações foram comprometidas e quais medidas de segurança foram tomadas. Não há prazo fixado na LGPD, com a Agência Nacional de Proteção de Dados (ANPD) falando em “razoabilidade”, de acordo com o potencial de dano e a sensibilidade das informações obtidas pelos bandidos.

Em outubro, o Parlamento Europeu também deu voto unânime e favorável a um projeto que amplia as regras de segurança digital aos membros do bloco. O foco, também, são os ataques de ransomware contra segmentos essenciais, com requisitos mínimos de proteção que devem ser adotados por companhias destes setores e regras relacionadas à transparência junto ao governo e o compartilhamento de informações sobre incidentes. A proposta segue agora em discussões com os países.

Fonte: Tripwire