Em março de 2023, a Casa Branca divulgou um novo Estratégia Nacional de Cibersegurança. A estratégia descreve uma lista de 5 pilares que a Casa Branca considera críticos para melhorar a segurança cibernética de todos os americanos, tanto do setor público como do privado. O terceiro pilar trata do esforço para moldar as forças de mercado para melhorar a segurança e a resiliência. Parte dessa lista é a ideia de que muitos produtores de software não investem adequadamente em segurança cibernética ou em testes adequados e evitam responsabilidades contratuais. Muitas vezes você pode encontrar nas letras pequenas dos contratos de usuário algo como: “O Licenciado concorda em indenizar e isentar o Licenciante de e contra todas as perdas, custos, despesas ou responsabilidades (incluindo honorários advocatícios razoáveis) decorrentes de uma reclamação de terceiros contra o Licenciante com base no uso do Software pelo Licenciado.” (ver mais aqui)
Embora as grandes empresas tenham o poder e o dinheiro para fazer cumprir tais contratos, a Casa Branca considera os produtores de software e hardware responsáveis, em última instância, pelo software e hardware que produzem. Citando o documento de estratégia: “A responsabilidade deve ser atribuída às partes interessadas mais capazes de tomar medidas para evitar resultados negativos, não aos utilizadores finais que muitas vezes suportam as consequências de software inseguro, nem ao desenvolvedor de código aberto de um componente que está integrado em um produto comercial.”
A Casa Branca propõe desenvolver legislação que estabeleça responsabilidade por produtos e serviços de software. Tal responsabilidade pode parecer assustadora se você for uma empresa que até agora confiou na transferência de culpa e em acordos de usuário ofuscados para evitar exatamente esse tipo de problema legal. É ainda mais desconcertante se considerarmos a facilidade com que tais reivindicações são apresentadas ao sistema jurídico americano.
Para oferecer uma cenoura a todas essas empresas poderosas, a estratégia propõe o avanço do quadro Safe Harbor para proteger da responsabilidade as empresas que possam provar que fizeram tudo o que deveriam para proteger o seu software. O termo Safe Harbor aparece no documento apenas duas vezes. Você provavelmente está se perguntando o que exatamente é essa estrutura proposta, de onde ela veio e quais termos são atualmente cobertos ou propostos para serem cobertos.
Neste artigo, examinaremos as leis existentes de Safe Harbor e veremos onde elas se aplicam atualmente e o que oferecem às empresas que as cumprem.
Quais são as leis de Safe Harbor existentes? Explorando as leis que atualmente fornecem porto seguro
A partir de hoje, vários estados introduziram violação de dados litígio Leis de “porto seguro” que oferecem uma defesa afirmativa à responsabilidade resultante de violações de dados com o objetivo de incentivar as empresas a serem proativas com a sua segurança cibernética. Uma organização deve implementar e manter programas de segurança cibernética que adiram aos padrões de melhores práticas reconhecidos pelo setor e ser capaz de demonstrar conformidade razoável com eles no momento da violação, a fim de se qualificar para a proteção Safe Harbor.
Ohio foi o primeiro estado a aprovar a defesa afirmativa de segurança cibernética em 2018. Connecticut e Utah adoptaram recentemente as suas leis em 2021. Leis semelhantes de Safe Harbor foram propostas por vários outros estados. Em particular, por Iowa e Nova Jersey em 2020 e por Geórgia e Illinois em 2021 (ver aqui para mais detalhes). Embora todas essas propostas ofereçam às empresas com programas de segurança cibernética uma defesa positiva, as condições exatas dependem do estado. Por exemplo, as estruturas padrão da indústria mencionadas nos projetos de lei de Connecticut, Ohio e Utah não estão especificamente listadas no projeto de lei da Geórgia. Em vez disso, a lei da Geórgia exige uma estrutura “razoável” que leva em conta o tamanho da empresa, a complexidade e a sensibilidade das informações que estão sendo protegidas. Embora esta estratégia seja uma componente chave das leis nos outros estados, o projecto de lei da Geórgia parece ter tomado a decisão de não restringir as opções a esses quadros específicos.
Em termos de padrões aceitáveis, a estrutura de segurança cibernética mais comum nos EUA atualmente é o SSDF do NIST (NIST 800-218) e este quadro também é mencionado no documento de estratégia da Casa Branca.
É importante observar que em nenhum desses casos a proteção contra responsabilidade é absoluta. O Safe Harbor não pode ser utilizado como defesa se uma organização tiver conhecimento de uma ameaça ou vulnerabilidade e não tiver tomado medidas razoáveis para a resolver em tempo útil, levando a uma violação de dados. No geral, a ideia por trás da legislação é incentivar as empresas a exercerem as melhores práticas para se protegerem. Se não conseguirem cumprir o mínimo exigido pelas melhores práticas reconhecidas pela indústria, não poderão ser exonerados da sua responsabilidade quando ocorrer inevitavelmente uma violação de dados.
Qual é o papel da CISA nesta estratégia de segurança cibernética?
Em abril de 2023, a CISA lançou um novo guia conjunto para segurança de software chamado Mudando o equilíbrio do risco de segurança cibernética: Princípios de segurança por design e padrão. Este guia político foi publicado cerca de um mês após a divulgação do documento estratégico da Casa Branca e a sua influência pode ser claramente vista. Com o apoio de diversas agências de cibersegurança de todo o mundo, a CISA pretende adotar a mesma abordagem que a Casa Branca propõe e torná-la global. O guia pretende obter fabricantes de software assumam a responsabilidade por seus produtos e códigos usando transparência radical e construindo produtos seguros, desenvolvendo produtos que sejam seguros por design e seguros por padrão.
Outra camada de informação útil sobre seus componentes é a licença. Muitos componentes de código aberto vêm com uma licença que não é compatível com uso comercial. É importante ter certeza de que todos os seus componentes de código aberto, mesmo aqueles que você não incluiu, mas foram incluídos por algum outro componente, sejam compatíveis com tudo o que você está tentando fazer em termos de licença.
Essas ideias fundamentais são ampliadas no guia CISA, que também oferece aos desenvolvedores de software uma longa lista de recomendações práticas para tornar seus produtos mais seguros.
É interessante ver quantas destas recomendações específicas se baseiam em Estrutura SSDF do NIST mas expresso de uma forma menos voluntária e mais prática. Por exemplo, o guia afirma que os desenvolvedores de software devem incorporar a criação de an SBOM em seu SDLC para fornecer visibilidade dos componentes de seu software. Embora o SSDF recomende o SBOM, ele nunca é mencionado como uma instrução clara e obrigatória.
Legalizando a mudança de responsabilidade
A Estratégia Nacional de Cibersegurança, ou pelo menos esta parte dela, propõe a criação de um quadro unificado de Porto Seguro baseado nas leis estaduais existentes, mas muito mais extenso e abrangente. Por um lado, as leis existentes apenas oferecem proteção contra responsabilidade no caso de violação de dados. O quadro proposto funcionaria para qualquer responsabilidade por um incidente cibernético, desde que a empresa processada pudesse demonstrar a sua conformidade com as melhores práticas existentes, como o SSDF.
A estrutura proposta deve ser adaptável e capaz de evoluir para incorporar novas estruturas de segurança e novas práticas recomendadas à medida que são descobertas e implementadas. A estratégia propõe continuar a investir em programas de divulgação de segurança e no desenvolvimento de ferramentas e casos de utilização adicionais do SBOM.
O ecossistema de software não pode continuar avançando como tem feito até agora sem uma mudança séria de responsabilidade. Deve ficar claro para todos, tanto produtores como utilizadores, que a segurança está em primeiro lugar em qualquer produto de software, desde a ideia inicial e a fase de design. A segurança não deve ser algo adicionado posteriormente após a conclusão do desenvolvimento. A transferência de responsabilidade não pode acontecer sem o sector privado e como este sector é notório pela sua aversão ao envolvimento federal de forma pesada, a ideia de oferecer uma “cenoura” sob a forma de um cartão para “sair da prisão” é um bom incentivo .
Como provar a adesão às melhores práticas de segurança cibernética
Ter uma lei que diz que você precisa 'provar sua adesão às melhores práticas existentes' é muito bom. Como você faria isso? As atuais regulamentações e melhores práticas dos EUA, como o SSDF, incentivam os produtores de software a fazer uso de atestados para proteger sua cadeia de suprimentos e assim para fornecer tal prova.
Atestados são evidências verificáveis e assinadas criptograficamente (como arquivos, pastas, repositórios, procedência de arquivos ou resultados de testes). Tais provas devem estar vinculadas a um contexto ambiental específico, tornando o atestado uma prova imutável e passível de verificação para comprovar a existência do fato ou dos autos testemunhados.
Scribe oferece uma ferramenta chamada Valint que fornece a capacidade de gerar evidências, assiná-las em um atestado e, posteriormente, recuperá-las e verificá-las. Usando esta ferramenta em conjunto com o Plataforma Scribe Hub você pode gerar uma trilha de evidências de atestados não apenas para seu produto final, mas para cada uma das construções que levam a ele, demonstrando sua adesão às práticas recomendadas de segurança continuamente e ao longo do tempo, em vez de apenas em um ponto singular, como logo após a conclusão da construção .
Scribe oferece o uso do Valint gratuitamente e oferece o uso de sua plataforma em regime freemium – você pode começar a experimentá-lo gratuitamente agora mesmo. Experimente o Scribe gratuitamente e veja quais ferramentas e recursos ele oferece. A coleta contínua dessas evidências para cada uma de suas construções também pode oferecer uma perspectiva única da segurança de seus produtos ao longo do tempo. Uma vez que parece que os ventos predominantes da mudança apontam para a expansão da responsabilidade dos produtores de software, parece uma boa ideia começar a recolher as suas provas concretas e atestados agora, em vez de esperar até que sejam codificados em lei.
Este conteúdo é oferecido a você pela Scribe Security, um fornecedor líder de soluções de segurança de cadeia de suprimentos de software ponta a ponta – fornecendo segurança de última geração para artefatos de código e processos de desenvolvimento e entrega de código em todas as cadeias de suprimentos de software. Saiba mais.
Artigos Relacionados
