EUA: Dados da CISA mostram agências civis federais mais rápidas do que a indústria na correção
Uma análise dos dados coletados pela Agência de Segurança Cibernética e de Infraestrutura mostra que as agências governamentais civis estão se saindo melhor do que os proprietários e operadores de infraestrutura crítica do setor privado quando se trata de um indicador importante de adesão às práticas básicas de segurança cibernética.
“Para o ramo executivo civil federal, vimos prazos de correção consistentemente mantidos em 15 dias para vulnerabilidades críticas e 30 dias para altas”, disse Boyden Rohner, diretor associado de gerenciamento de vulnerabilidades da CISA. “No entanto, fora do ramo executivo civil federal, em outras infraestruturas críticas, os prazos para corrigir têm sido muito mais longos.”
Rohner usou dados coletados de entidades que assinam serviços da CISA, como resposta a incidentes e avaliação de vulnerabilidade, para compartilhar percepções e previsões para 2020 na quarta-feira como parte da terceira cúpula anual de segurança cibernética da CISA.
A CISA e o Escritório de Gestão e Orçamento finalizaram recentemente as instruções para as agências federais prepararem o tapete de boas-vindas para pesquisadores de segurança que podem identificar vulnerabilidades em seus sistemas. E a agência está estabelecendo uma plataforma que pode ser usada para responsabilizar as agências pelos tempos esperados de correção de vulnerabilidades trazidas à sua atenção. Mas a maior parte da infraestrutura crítica do país – cerca de 85% de acordo com o Government Accountability Office – é controlada por privados.
Rohner encorajou as organizações a continuarem visando o fruto mais fácil de vulnerabilidades conhecidas em seu gerenciamento de risco.
A má notícia, disse ela, é que “33% da infraestrutura crítica opera um serviço potencialmente arriscado exposto à Internet e 52% da infraestrutura crítica tem uma vulnerabilidade que tem um exploit conhecido disponível”. Mas também há boas notícias. “Estamos vendo uma redução das vulnerabilidades acionáveis e exploráveis”, disse Rohner. “Isso significa que as entidades estão priorizando suas atividades de gerenciamento de vulnerabilidade com eficácia.”
Após um anúncio feito na quarta-feira, a CISA agora terá um papel mais importante na determinação do que pode ser considerado uma vulnerabilidade em algumas áreas do setor privado. A agência foi aprovada pelo programa Common Vulnerabilities and Exposures mantido pela corporação MITER para atuar como uma autoridade supervisora ou de “nível superior” de numeração CVE para sistemas de controle industrial e dispositivos médicos.
“Esta designação como uma raiz de nível superior permite a rápida identificação e resolução de problemas específicos para esses ambientes”, disse Chris Levendis, membro do conselho do programa CVE e engenheiro de sistemas principal do MITER. “Isso é consistente com a estratégia de crescimento federado do Programa CVE para dimensionar o Programa CVE de uma forma sustentável e orientada pelas partes interessadas.”
A CISA inicialmente contribuirá e supervisionará as atividades de identificação de vulnerabilidade de sete entidades, incluindo a Siemens e a Johnson Controls.
“Continuar a encorajar a divulgação pública e transparente de sistemas de controle industrial e vulnerabilidades de dispositivos médicos é uma missão crítica para a CISA”, disse Bryan Ware, diretor assistente de segurança cibernética da agência. “Esta expansão incentivará mais fornecedores a participar do Programa CVE e permitirá que a CISA apoie melhor as partes interessadas à medida que se tornam mais engajadas.”
Mas identificar vulnerabilidades é uma coisa, corrigi-las é outra. Rohner enfatizou que as entidades não devem perder o foco nas necessidades básicas de segurança, especialmente em um ambiente de maior trabalho remoto.
“O básico nos atormentava antes do início da pandemia e será ainda mais importante abordá-lo agora”, disse ela.
