Washington redescobriu as consequências. Só que não de forma consistente.
O 6 de março ordem executiva baseia-se numa ideia simples e correta: a fraude cibernética persiste porque é lucrativa, escalável e muitas vezes tolerada. Portanto, a resposta do governo é aumentar o custo. Mais coordenação. Mais perturbações. Mais processos. Mais pressão diplomática sobre os estados que abrigam estas operações.
Bom.
Mas semanas atrás, um memorando do OMB rescindiu memorandos federais anteriores sobre a cadeia de fornecimento de software emitidos durante a administração Biden. Na prática, isso se afastou do modelo anterior centrado em atestado e tornou ferramentas como o Formulário de Atestado de Desenvolvimento Seguro de Software e solicitações SBOM opcionais, em vez de expectativas duráveis.
Dito claramente, estamos a tornar-nos mais duros com as pessoas que exploram os sistemas digitais, ao mesmo tempo que nos tornamos mais brandos com as condições que tornam esses sistemas tão fáceis de explorar.
A ordem executiva acerta algo importante. A fraude cibernética não é uma coleção de aborrecimentos on-line aleatórios. É uma forma industrializada de predação: ransomware, phishing, falsificação de identidade, sextorsão e fraude financeira que funciona como modelos de negócios repetíveis, muitas vezes transnacionais e por vezes protegidos por Estados permissivos. A ordem responde com uma postura federal mais centralizada, construída em torno da disrupção, da coordenação, da partilha de informações, da ação penal, da resiliência e da pressão internacional.
Isso é direcionalmente correto. Os ecossistemas criminosos não recuam porque publicamos melhores orientações. Eles recuam quando o custo de fazer negócios aumenta.
Mas então chegamos ao software.
A crítica ao antigo regime federal de segurança não está totalmente errada. A conformidade pode se tornar um teatro. As burocracias são muito boas em transformar metas legítimas de segurança em rituais de coleta de formulários e gerenciamento de caixas de seleção. Algum ceticismo era justificado. O OMB diz isso explicitamente, argumentando que o modelo anterior se tornou oneroso e priorizou a conformidade em detrimento do investimento genuíno em segurança.
Ainda assim, o fracasso do mau cumprimento não é prova de que a responsabilização em si fosse o problema.
É aí que a lógica quebra. A administração está claramente disposta a acreditar que os actores criminosos respondem à dissuasão. Está disposto a recorrer a processos, sanções, restrições de vistos e pressão coordenada a jusante. Mas a montante, onde a tecnologia insegura molda o terreno explorado por esses criminosos, a teoria muda subitamente. Lá, somos instruídos a confiar na discrição. Julgamento local. Decisões flexíveis e baseadas em riscos.
Às vezes isso é sabedoria. Freqüentemente, é apenas uma maneira mais elegante de dizer que ninguém deseja uma exigência rígida.
É também por isso que a minha posição não mudou. Em um postagem que escrevi em 2024argumentei que a indústria não precisava de expectativas mais brandas ou de outra rodada de incentivo educado. Foram necessárias ações mais concretas e consequências suficientemente fortes para alterar os incentivos. O problema nunca foi o facto de estarmos a exigir demasiada responsabilização. O problema era que o software inseguro continuava barato demais para ser enviado.
Essa é a questão mais profunda. O cibercrime em grande escala não prospera apenas porque existem criminosos. Ele prospera porque o ambiente os recompensa. Sistemas de identidade fracos, software frágil, cadeias de dependência extensas, pouca visibilidade e responsabilização difusa tornam a predação mais barata. As pessoas que enviam riscos evitáveis raramente absorvem o custo total deles. Todo mundo faz.
Portanto, estas duas medidas políticas, tomadas em conjunto, revelam algo desconfortável. O governo parece acreditar nas consequências para os cibercriminosos, mas não exatamente nas consequências para a produção insegura. Quer dissuasão para o golpista, mas discrição para o fornecedor.
Uma estratégia cibernética coerente faria as duas coisas. Isso perturbaria agressivamente as redes criminosas e também criaria uma pressão significativa para uma produção e aquisição segura desde a concepção. Reconheceria que punir os atacantes é importante, mas também é importante mudar o terreno que continua a tornar o ataque lucrativo.
A administração está certa sobre uma coisa: o cibercrime não diminuirá até que os custos da predação aumentem.
A questão sem resposta é por que essa lógica deveria parar no limite do centro de golpes.
Brian Fox é o cofundador e CTO da Sonatype.
Deseja saber mais sobre Segurança Clique Aqui!
conformidade,crime cibernético,ordem executiva,escritório de administração e orçamento,op-ed,phishing,ransomware,sbom,seguro por design,sextorção,segurança de software,cadeia de suprimentos