O que falta no debate sobre os ataques de ransomware

O impacto dos ataques de ransomware contra os governos estatais e locais continua a ser notícia. Os graves ataques contra Atlanta, Baltimore e agora Rivera Beach e Lake City na Florida expõem os desafios que os governadores, presidentes da câmara e dirigentes locais enfrentam na decisão de pagar um resgate aos cibercriminosos para recuperar o controlo dos seus dados. Foram apresentados argumentos de que nenhum funcionário do governo deveria pagar um resgate (Atlanta), de que o governo federal é o responsável por permitir o roubo e a divulgação de ferramentas de ciberataque na internet (Baltimore) e que pagar um resgate é a única opção (Riviera Beach). Todos os lados deste debate têm pontos importantes junto dos apoiantes do setor da cibersegurança, mas os argumentos passam ao lado do problema principal: os nossos governos estatais e locais não dispõem dos devidos recursos para defender as suas redes.  É necessária uma abordagem melhor e mais inteligente e a resposta NÃO é aquela que o conselho editorial do The Washington Post propôs a semana passada: uma legislação para proibir os pagamentos de ransomware.

Não existe nenhum estado ou governo local dos Estados Unidos que seja totalmente financiado para defender as suas redes de TI contra os ciberataques. À semelhança de muitas empresas do setor privado, os governos estatais e locais fizeram compromissos com os seus limitados orçamentos de TI entre prioridades concorrentes, sabendo que não podem cobrir todos os requisitos cibernéticos. Embora existam muitas razões subjacentes a esta abordagem, como a falta de pessoal e a formação, os principais problemas são a sensibilização para as ameaças e o financiamento necessário para incorporar a segurança e a resiliência nos sistemas.

O mais recente inquérito da Deloitte e da National Association of State Information Officers (NASCIO) deixa claro que o orçamento é o principal desafio que os governos estatais enfrentam a nível da cibersegurança: um desafio que ainda não mudou desde que se realizou o primeiro inquérito em 2010. Infelizmente, o que mudou é que o ambiente de ameaças está cada vez mais complexo, sendo que a capacidade de explorar as vulnerabilidades está a aumentar e a sofisticação necessária para efetuar esses ataques está a diminuir. Consequentemente, os nossos governos estatais e locais estão a ficar ainda mais para trás na corrida para defender as suas redes digitais.

A questão de qual deve ser o papel do governo federal na ajuda aos governos estatais e locais para melhorar a respetiva cibersegurança é muito real. Sabemos que a resposta reside no mundo físico, mas estamos aquém no mundo digital. O que é agora necessário é um reconhecimento do Congresso de que a proteção da infraestrutura digital da nossa nação é uma prioridade de segurança nacional e económica ao mesmo nível da defesa da nossa infraestrutura física. Embora nos tenhamos tornado dependentes da internet para inúmeros serviços governamentais, não dotámos os nossos governos estatais e locais das capacidades para tornar esses serviços resilientes na face de ciberataques persistentes.

A lei estatal de resiliência cibernética dos EUA apresentada recentemente pelos senadores Mark Warner (D-VA) e Cory Gardner (R-CO) iria estabelecer um programa de subsídios para os governos estatais e locais que necessitam de ajuda para pagar o suporte digital. É uma boa primeira medida, mas é preciso mais. Não basta afetar fundos para o problema; o governo federal deve estabelecer um programa ativo de coordenação e remediação que conte com o apoio do Departamento de Segurança Interna (DHS) e da Agência de Segurança Nacional (NSA) para os governos estatais e locais.

A lei proposta deve ser ampliada para fornecer um programa ao governo federal que preste apoio direto aos governos estatais e locais para remediar as vulnerabilidades que a NSA e o DHS consideram ser críticas, especialmente nos casos em que os governos estatais e locais não o consigam fazer. O programa também iria ajudar os governos estatais e locais nos primeiros passos mais importantes com vista à resiliência cibernética: mapear as redes que possuem, compreender o que elas contêm e prestar assistência para as proteger melhor. Esta abordagem iria permitir ao governo federal ajudar os nossos governos estatais e locais a tapar as suas brechas cibernéticas com rapidez e eficácia.

Quer ou não as vulnerabilidades sejam exploradas por organizações criminosas de estados-nação ou outras, passa ao lado da questão; o ambiente de ameaças só irá piorar e os nossos governos estatais e locais continuarão a ficar ainda mais para trás a menos que o Congresso intervenha agora. Atlanta, Baltimore e Riviera Beach são os exemplos mais recentes da situação desastrosa em que os nossos governos estatais e locais se encontram face às ciberameaças.

A cibersegurança é um dos poucos problemas para o qual existe apoio bipartidário. O Congresso deve fortalecer e aprovar uma lei estatal de resiliência cibernética totalmente financiada como o primeiro passo necessário para uma maior preparação e resiliência das nossas redes governamentais estatais e locais.