Fortalecimento da postura de segurança cibernética da comunidade de pequenas empresas da América

Testemunho de Kiersten E. Todt, Diretora-Geral, Cyber Readiness Institute

Comissão para as Pequenas Empresas da Câmara dos Representantes dos Estados Unidos

 

 

 

 

 

A Presidente Velázquez, o Membro de Ranking Luetkemeyer, o Vice-Presidente Mfume e o Vice-Membro de Ranking Williams, agradecem-vos a oportunidade de testemunharem perante vós. Atualmente, desempenho funções como Diretora-Geral do Cyber Readiness Institute, um esforço sem fins lucrativos que reúne executivos sénior de empresas globais para partilharem recursos e as melhores práticas que informam sobre o desenvolvimento de ferramentas gratuitas de segurança cibernética para pequenas e médias empresas (PMEs).

Os assaltos à infraestrutura digital do nosso país, particularmente ao longo dos últimos doze meses, através do comprometimento de pequenas e médias empresas (PMEs), sublinha a necessidade urgente de fechar uma lacuna crítica nas defesas cibernéticas a nível nacional.

Quando pensamos em segurança cibernética, temos tendência a pensar no nível macro – sobre agentes estatais, e segredos estatais; sobre o comprometimento de milhões de identidades online; sobre ameaças diretas à infraestrutura crítica. E, quando pensamos sobre as soluções, temos tendência a focar-nos nos gigantes digitais e nos responsáveis pelas políticas nacionais e multinacionais. Estas soluções políticas são necessárias e apropriadas, mas não são suficientes. As ameaças que enfrentamos – enquanto país e enquanto consumidores e cidadãos individuais – não estão restringidas ao nível macro. Tal como diz o ditado: uma corrente é tão forte quanto o seu elo mais fraco. Atualmente, essa corrente é a cadeia de abastecimento da nossa economia e as pequenas e médias empresas (PMEs) são o elo mais fraco.

As PMEs, que estão constrangidas pelos recursos limitados e pela incapacidade de investirem proporcionalmente na segurança cibernética, aumentam a nossa exposição ao risco, de forma significativa. Oitenta por cento das empresas da América têm menos de 10 funcionários e 95% têm menos de 100. As PMEs são a coluna vertebral da nossa economia, mas são inerentemente frágeis. Durante a pandemia, de acordo com o administrador da SBA, a cada hora que passava fechava uma pequena empresa. Estas pequenas empresas não possuem a resiliência para suportar uma barragem de ataques cibernéticos. As pequenas empresas não possuem as redes de segurança que as grandes empresas possuem – e um ataque de qualquer dimensão pode colocar em causa a viabilidade das PMEs.

No final de 2020 e no início deste ano, sofremos o impacto dos ataques à SolarWinds e ao Microsoft Exchange. No início deste ano, também testemunhamos o impacto sobre a cadeia de abastecimento demonstrado através dos ataques contra a Colonial Pipeline e a JBS. Mais recentemente, fomos forçados a compreender que, além das cadeias de abastecimento físicas, todas as empresas – incluindo as PMEs – devem prestar atenção à respetiva cadeia de abastecimento de TI. Estes eventos trouxeram até nós outro denominado “ponto de inflexão” – “denominado” porque utilizamos este termo frequentemente no que se refere à segurança cibernética, no entanto, continuamos a falhar em fazer o que é necessário para melhorar as defesas cibernéticas da América. Estes eventos e ataques são sintomas dos desafios que enfrentamos. As políticas não são suficientes. Nem podemos simplesmente reduzir as ferramentas e técnicas empregadas por grandes corporações em versões compactas para PMEs. Muitas PMEs estão a fazer aquilo que os especialistas lhes dizem para fazer – atualizar e aplicar patches de software, alterar palavras-passe, remover códigos maliciosos – mas nem elas, nem nós, podemos acreditar que estão a fazer o suficiente.

As PMEs precisam de aceder a recursos de segurança cibernética e a suporte por parte do Governo federal e precisam de programas prescritos e de fácil adoção e de abordagens que fortaleçam as respetivas operações do dia a dia. Uma vez que uma pequena empresa pode não ter um departamento, ou até um único funcionário, focado exclusivamente na segurança cibernética, as abordagens alicerçadas na criação de uma alteração cultural através do comportamento humano e da educação são críticas para ajudar as PMEs a tornarem-se mais resilientes. O comportamento humano pode ser uma força multiplicadora para a segurança cibernética nas PMEs (e também nas empresas de maiores dimensões). As PMEs devem ser instruídas sobre as ameaças e sobre as ações fundamentais que devem tomar para serem resilientes.

Existem várias ameaças para pequenas e médias empresas, mas ransomware, phishing e furto de credenciais (furto de palavras-passe) estão entre as mais graves. Estas ameaças só deverão crescer à medida que as indústrias continuam a colocar mais operações online devido à mudança na natureza do trabalho, após a pandemia. Essa rápida mudança gerou lacunas na resiliência cibernética, pois as empresas, especialmente aquelas com menos recursos, lutam por acompanhar. Essas vulnerabilidades crescentes estão a ser rápida e frequentemente exploradas por agentes mal-intencionados.

As consequências de um comprometimento de segurança cibernética não são apenas relevantes para a empresa em questão, mas também expõem outros negócios na sua cadeia de abastecimento. Considerando que mais de dois terços das grandes empresas terceirizam uma parte das suas funções e permitem o acesso de terceiros aos seus dados, a proteção cibernética insuficiente entre as PMEs também pode ter consequências para empresas de maior dimensão – como vimos com a SolarWinds e a Kaseya. Um relatório de 2020 compilado pela Accenture constatou que até 40% das violações cibernéticas são indiretas, o que significa que visam elos fracos nas cadeias de suprimentos ou ecossistemas de negócios.

Os desafios de segurança cibernética do nosso país são diversos. Uma das formas basilares em que podemos melhorar as nossas defesas é através do suporte e do investimento na prontidão cibernética das pequenas e médias empresas. As centenas de milhares de PMEs da América, mobilizadas, instruídas e suportadas para serem a nossa linha da frente resiliente da defesa cibernética podem tornar-se uma grande fortaleza para o nosso país. O investimento crítico na construção dessa defesa robusta irá apresentar dividendos significativos.

O Governo federal pode desempenhar um papel crítico. No início deste ano, o Cyber Readiness Institute publicou um documento técnico, “A necessidade urgente de fortalecer a prontidão cibernética das pequenas e médias empresas: uma proposta para a Administração Biden”, destacando as ações para ajudar as pequenas empresas. Apresentamos cinco passos, a partir do documento técnico, que o Governo federal pode dar hoje e que terão impactos rápidos e mensuráveis nas defesas de segurança cibernética de PMEs.

#1: Criar uma campanha de sensibilização nacional para promover a prontidão cibernética. A consciencialização é crítica. Para as PMEs e para toda a população, precisamos de uma campanha de sensibilização nacional agressiva, acessível e fácil de entender.

Como país, temos uma longa história de campanhas de sensibilização pública para salvar vidas e mudar comportamentos – de incêndios florestais à segurança do cinto de segurança e aos anúncios pós-11 de setembro “Se vir algo, fale”. Agora é o momento para uma campanha nacional de sensibilização que foque o papel do comportamento humano na segurança cibernética e eduque todos sobre as ações que nos tornarão todos seguros. Há apoio público para uma campanha do governo: Mais de 60% das pequenas e médias empresas americanas e globais, de acordo com uma pesquisa do CRI de 2021, acreditam que o governo deve criar uma campanha nacional de sensibilização pública para promover a prontidão cibernética.

A segurança cibernética é uma área complexa, não facilmente reduzida a uma simples mensagem. Uma campanha de serviço público eficaz deve estar focada num único problema de segurança cibernética básico – como a utilização de autenticação multifator, que os especialistas garantem que reduziria os ataques cibernéticos, significativamente. Focar-se num único tópico com uma mensagem recorrente simples ajudará a proteger as PMEs de um dos métodos utilizados com mais frequência pelos hackers.

 #2: Criar um Centro de Segurança cibernética das PME. Uma campanha nacional de sensibilização focada na prontidão cibernética irá naturalmente direcionar as PMEs para uma lista de recursos públicos e privados disponíveis. Hoje, esses recursos estão distribuídos por várias agências governamentais, às vezes com conselhos muito técnicos para muitos proprietários de negócios que não têm uma equipa interna de TI ou que terceirizam a segurança cibernética. Dado o trabalho em andamento para PMEs pela Agência de Segurança Cibernética e Infraestrutura (CISA), recomendamos que a CISA seja a agência mais bem posicionada para ser responsável pela preservação de recursos de segurança cibernética para PMEs. A agência contratada para preservar recursos também deve ter como missão principal a tarefa de simplificar os conceitos em torno da segurança cibernética para torná-los compreensíveis e acessíveis aos proprietários de negócios.

#3: Estabelecer incentivos à segurança cibernética. Para estimular os investimentos das PMEs em segurança cibernética, o governo federal deve fornecer um incentivo na forma de créditos fiscais. O Departamento do Tesouro, em colaboração com a Small Business Administration (SBA) e a CISA, deve estabelecer diretrizes para que o investimento das PMEs em segurança cibernética se qualifique para créditos fiscais. Embora os créditos fiscais reduzam a receita tributável que o governo arrecada, a segurança cibernética aprimorada reduzirá os danos económicos causados por invasores cibernéticos e terá um impacto líquido positivo sobre a segurança, a força e a resiliência da economia digital.

Trabalhando com outras agências e solicitando informações do setor, o Tesouro pode estabelecer requisitos para que as empresas indiquem que tomaram medidas para se tornarem preparadas para ataques cibernéticos antes de receberem qualquer crédito fiscal. Estes padrões devem exigir treino e educação em segurança cibernética para que os funcionários se qualifiquem para o crédito. A educação deve enfatizar a necessidade de criar uma cultura de segurança cibernética no local de trabalho. A consciência dos riscos associados às violações cibernéticas e os comportamentos que mitigam esses riscos devem ser incorporados nas ações de todos, desde os funcionários até à liderança da empresa, para que os funcionários entendam as suas responsabilidades e sejam tomadas ações para garantir que a empresa esteja preparada para ataques cibernéticos.

#4: Definir critérios de segurança cibernética. Não podemos mais depender das forças do mercado ou de ações voluntárias para melhorar a segurança cibernética das nossas instituições públicas e privadas. Atualmente, “primeiro no mercado” supera “seguro no mercado”. As forças do mercado priorizam o lucro em vez da segurança – e permitem vulnerabilidades, que os nossos adversários facilmente expõem. Esta estrutura é inaceitável e deve mudar. Devemos criar padrões que priorizem a segurança no mercado. Alinhados com uma campanha eficaz de educação e sensibilização, os padrões de mercado para segurança também ajudarão os consumidores a priorizar a segurança.

Estabelecer padrões por meio da colaboração da indústria e do governo é vital para proteger as cadeias de abastecimento. Estabelecemos com sucesso regulamentos que melhoram a segurança das nossas estradas, saúde e sistemas financeiros. Devemos estabelecer padrões mínimos de segurança cibernética.

Não existe uma solução única para todos para preparar as empresas para estarem prontas para ataques cibernéticos. O número de funcionários, setor, conhecimento técnico e capacidade financeira são apenas alguns fatores que variam de acordo com a empresa. Mas a indústria e o governo podem trabalhar juntos para estabelecer padrões, com foco numa abordagem de gestão de risco, que tenha esses fatores em consideração.

#5: Lançar esquadras de segurança cibernética nacionais. Já existe um programa governamental financiado por doações concedidas pela National Science Foundation – CyberCorps: Scholarship for Service. Esse programa, no entanto, é projetado para recrutar e formar profissionais de TI e gestores de segurança cibernética para cargos em agências federais, estaduais e locais. Um novo programa Cyber Squad expandiria o leque de talentos disponíveis para PMEs e também facilitaria o envolvimento multidisciplinar e especialização na criação de culturas de prontidão cibernética entre PMEs.

Os Cyber Squads podem resolver vários problemas que atrapalham os esforços das PMEs para se tornarem preparadas para ataques cibernéticos – incluindo a escassez de talentos e de recursos financeiros. Um programa Cyber Squad modelado após o Peace Corps ou uma campanha semelhante à iniciativa educacional de Ciência, Tecnologia, Engenharia e Matemática (STEM) permitirá que os alunos explorem o interesse em procurar a segurança cibernética como uma carreira profissional, ao mesmo tempo em que fornece uma ligação com as suas comunidades locais.

Em colaboração com faculdades e universidades comunitárias, estudantes estagiários com experiência multidisciplinar receberiam formação adicional sobre o papel que o comportamento humano desempenha em tornar as PMEs seguras – questões como gestão de palavras-passe, atualização de software e alerta de phishing – que não são abordadas em muitos programas de segurança cibernética. Seriam enviados Cyber Squads para a comunidade para ajudar as PMEs locais a melhorar a prontidão cibernética. Inicialmente, o programa concentrar-se-ia em ajudar empresas subfinanciadas de propriedade de minorias.

CONCLUSÃO

Estas recomendações e ações destacam a necessidade de colaboração público/privada urgente para abordar as graves vulnerabilidades que colocam a nossa segurança nacional e bem-estar económico em risco.

Os eventos cibernéticos do ano passado demonstram como os nossos adversários cibernéticos estão cada vez mais sofisticados na identificação das nossas vulnerabilidades e fraquezas e na sua exploração. Devemos reforçar as nossas capacidades de defesa cibernética e, ao mesmo tempo, continuar a investir no nosso ataque.

As pequenas e médias empresas precisam de acesso a recursos de segurança cibernética que sejam prescritivos e acessíveis. Recursos, ferramentas e técnicas para pequenas e médias empresas exigem uma abordagem diferente daquela que as empresas maiores precisam. O objetivo é o mesmo, criar uma empresa protegida saudável, mas o caminho para chegar lá é diferente. Não podemos simplesmente reduzir as ferramentas e técnicas empregadas por grandes corporações em versões menores para pequenas e médias empresas. Devemos ser proativos no apoio às PMEs para que se tornem uma força no nosso ecossistema, não uma fraqueza. Devem tornar-se mais resilientes e preparadas para ataques cibernéticos para garantir que o nosso país possua uma base sólida e uma cultura de segurança.