Código seguro para proteger contra o ransomware

 

Código seguro para proteger contra o ransomware. Chefe da CISA , código seguro “É a única maneira de transformar ransomware e ataques cibernéticos em uma anomalia chocante

E isso também incomodaria seriamente os chineses e os russos.

RSAC Há uma maneira de reduzir enormemente a escala e o escopo dos ataques de ransomware que assolam infraestruturas críticas, de acordo com Jen Easterly, diretora da CISA: Torne o software seguro desde o design.

É a única maneira de transformar ransomware e ataques cibernéticos em uma anomalia chocante”, disse Easterly durante um painel de abertura da Conferência RSA esta semana em São Francisco. “E isso é para garantir que a tecnologia seja muito mais segura.”

A chefe da CISA tem tocado esse tambor ao longo de sua gestão na principal agência governamental de segurança cibernética da América, depois que ela substituiu o chefe inaugural da CISA, Chris Krebs – que se juntou a Easterly no palco durante a sessão apropriadamente intitulada, World on Fire, que foi moderada por Washington. Post superjornal Joseph Menn.

Como observaram os dois diretores da CISA, parece que o mundo digital está em chamas atualmente, com o “flagelo de ransomware com o qual temos lidado”, disse Easterly.

Há uma semana, o CEO da UnitedHealth, Andrew Witty, confirmou aos senadores dos EUA que sua empresa pagou US$ 22 milhões aos extorsionistas responsáveis ​​pela violação da Change Healthcare IT em fevereiro. 

E esta semana, programada para coincidir com a Conferência RSA, suspeita-se, os federais acusaram e sancionaram o suposto chefão do LockBit, Dmitry Yuryevich Khoroshev, cujas afiliadas de ransomware tinham como alvo mais de 100 hospitais e empresas de saúde, alega-se.

Além de criminosos de ransomware que extorquem organizações no valor de bilhões, também existem grupos apoiados pelo governo, como o Volt Typhoon da China. Esta tripulação em particular, disse Easterly – ecoando o seu testemunho de Janeiro perante o Congresso – está “a penetrar na nossa infra-estrutura crítica, não para espionagem, não para propriedade intelectual, mas especificamente para ataques perturbadores e destrutivos no caso de um grande conflito no Estreito de Taiwan“.

Como podemos compensar décadas e décadas sem padrões mínimos de tecnologia para segurança cibernética?

Além disso, há o problema contínuo de espiões cibernéticos chineses e russos invadindo a nuvem da Microsoft, incluindo contas de e-mail pertencentes a funcionários do governo dos EUA .

Como podemos compensar décadas e décadas sem padrões mínimos de tecnologia para a segurança cibernética? Bem, tem que ser um reconhecimento em todo o ecossistema, que precisamos fazer isso juntos para a defesa coletiva da nação”, disse Easterly.

O governo federal pode usar o seu poder de aquisição de tecnologia para incentivar os fornecedores a vender software mais seguro, acrescentou ela. “E, francamente, é uma alavanca que qualquer pessoa que compre tecnologia deveria usar. Exigir que o que obtemos dos fabricantes de tecnologia seja o mais seguro e protegido possível.”

Na quarta-feira, na conferência, mais de 60 empresas de tecnologia assinarão um compromisso para desenvolver tecnologia mais segura, segundo Easterly. Espera-se que os signatários incluam Microsoft, Google, AWS, IBM, Palo Alto Networks e Cisco.

Há um despertar… isto vai realmente começar a afastar os clientes, porque eles não confiam nos nossos produtos”, disse Krebs, falando do ponto de vista de um fornecedor.

Além dos esforços voluntários da CISA, como o compromisso de software seguro, existem mais quatro alavancas que podem ser usadas para tornar os produtos tecnológicos mais seguros, acrescentou Krebs. 

Um deles é o litígio, disse ele, observando o processo da SEC contra a SolarWinds e seu CISO Tim Brown sobre a intrusão digital de 2020.

Você também tem ação regulatória”, disse Krebs, acrescentando que há desafios decorrentes da tentativa de criar e capacitar vigilantes antes que a Internet moderna surgisse para examinar as práticas atuais de segurança cibernética. É por isso que vemos coisas como a EPA estabelecendo uma força-tarefa de segurança cibernética do setor hídrico para pressionar por soluções “imediatas” em infraestruturas críticas. Os reguladores terão dificuldade em adotar as regras do passado e aplicá-las nesta era digital sem alguma forma de mudança ou evolução.

E, em última análise, a última peça é a ação legislativa”, disse Krebs. “Acho que é aí que a torneira é menor.

Existem as próximas regras de relatórios de ataques cibernéticos para operadores de infraestrutura crítica, exigidas pela Lei de Relatórios de Incidentes Cibernéticos para Infraestruturas Críticas (CIRCIA). 

Mas, além disso, não vejo muitas autoridades adicionais, em parte porque não há muitos dias legislativos nesta sessão“, disse Krebs, referindo-se ao ano eleitoral nos EUA, e acrescentando que regulamentos da União Europeia como a Lei de IA e a Lei de Resiliência Cibernética podem ter um “efeito cascata” na melhoria da segurança tecnológica na América.

Fonte: The Register


Veja também:

Sobre mindsecblog 2473 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!