Trabalhando em conjunto com o Congresso, demos em dezembro mais um passo em frente neste esforço com a aprovação da Lei de Cibersegurança de 2015, que fornece ferramentas importantes necessárias para reforçar a cibersegurança da Nação, em particular ao facilitar que as empresas privadas partilhem entre si e com o Governo informações sobre ameaças cibernéticas.

Mas o Presidente acredita que é preciso fazer mais – para que os cidadãos tenham as ferramentas de que necessitam para se proteger, as empresas possam defender as suas operações e informações, e o Governo faça a sua parte para proteger o povo americano e as informações que nos confia. É por isso que, hoje, o Presidente está a orientar a sua Administração para implementar um Plano Nacional de Ação em Cibersegurança (CNAP) que adota medidas de curto prazo e estabelece uma estratégia de longo prazo para reforçar a consciencialização e as proteções em cibersegurança, proteger a privacidade, manter a segurança pública, bem como a segurança económica e nacional, e capacitar os americanos a assumir um melhor controlo da sua segurança digital.

O Desafio

Desde comprar produtos até gerir empresas, encontrar direções ou comunicar com as pessoas que amamos, o mundo online transformou fundamentalmente o nosso quotidiano. Mas, assim como a era digital em constante evolução apresenta oportunidades ilimitadas para a nossa economia, as nossas empresas e o nosso povo, também apresenta uma nova geração de ameaças às quais temos de nos adaptar. Criminosos, terroristas e países que nos querem prejudicar perceberam todos que atacar-nos online é muitas vezes mais fácil do que atacar-nos pessoalmente. À medida que cada vez mais dados sensíveis são armazenados online, as consequências desses ataques tornam-se mais significativas a cada ano. O roubo de identidade é agora o crime de crescimento mais rápido na América. Os nossos inovadores e empreendedores reforçaram a nossa liderança global e fizeram crescer a nossa economia, mas com cada nova história de uma empresa de alto perfil hackeada ou de um vizinho burlado, mais americanos ficam a perguntar-se se os benefícios da tecnologia poderão estar a ser ultrapassados pelos seus custos.

O Presidente acredita que enfrentar estas novas ameaças é necessário e está ao nosso alcance. Mas isso exige uma reavaliação ousada da forma como abordamos a segurança na era digital. Se vamos estar ligados, precisamos de estar protegidos. Precisamos de unir esforços—Governo, empresas e indivíduos—para sustentar o espírito que sempre fez a América महान? Great.

A Nossa Abordagem

É por isso que, hoje, a Administração está a anunciar uma série de medidas de curto prazo para reforçar as capacidades de cibersegurança no Governo Federal e em todo o país. Mas, dada a complexidade e a gravidade da questão, o Presidente também está a pedir a alguns dos principais pensadores estratégicos, empresariais e técnicos da Nação, de fora do Governo, que estudem e apresentem relatórios sobre o que mais podemos fazer para reforçar a consciencialização e as proteções em cibersegurança, proteger a privacidade, manter a segurança pública, bem como a segurança económica e nacional, e capacitar os americanos a assumir um melhor controlo da sua segurança digital. É necessária uma ação ousada para proteger a nossa sociedade digital e manter a competitividade da América na economia digital global.

O Plano Nacional de Ação em Cibersegurança (CNAP) do Presidente é a culminação de mais de sete anos de esforço determinado desta Administração, construindo sobre as lições aprendidas com tendências, ameaças e intrusões em cibersegurança. Este plano orienta o Governo Federal a tomar novas medidas agora e promove as condições necessárias para melhorias de longo prazo na nossa abordagem à cibersegurança em todo o Governo Federal, no setor privado e nas nossas vidas pessoais. Os destaques do CNAP incluem ações para:

• Estabelecer a “Comissão para o Reforço da Cibersegurança Nacional.” Esta Comissão será composta por pensadores estratégicos, empresariais e técnicos de topo, de fora do Governo – incluindo membros a serem designados pela liderança bipartidária do Congresso. A Comissão fará recomendações sobre ações que podem ser tomadas ao longo da próxima década para reforçar a consciencialização e as proteções em cibersegurança nos setores público e privado, protegendo a privacidade; mantendo a segurança pública e a segurança económica e nacional; promovendo a descoberta e o desenvolvimento de novas soluções técnicas; e fortalecendo as parcerias entre o Governo Federal, estadual e local e o setor privado no desenvolvimento, promoção e utilização de tecnologias, políticas e melhores práticas de cibersegurança.

• Modernizar a TI do Governo e transformar a forma como o Governo gere a cibersegurança através da proposta de um Fundo de Modernização de Tecnologias de Informação de 3,1 mil milhões de dólares, que permitirá a desativação, substituição e modernização da TI legada, que é difícil de proteger e cara de manter, bem como a criação de um novo cargo – o Responsável Federal pela Segurança da Informação – para impulsionar estas mudanças em todo o Governo.

• Capacitar os americanos para protegerem as suas contas online, indo além das palavras-passe e adicionando uma camada extra de segurança. Ao combinar judiciosamente uma palavra-passe forte com fatores adicionais, como uma impressão digital ou um código de utilização única enviado por mensagem de texto, os americanos podem tornar as suas contas ainda mais seguras. Esta aposta na autenticação multifator será central para uma nova Campanha Nacional de Sensibilização para a Cibersegurança lançada pela National Cyber Security Alliance, concebida para dotar os consumidores de informações simples e acionáveis para se protegerem num mundo cada vez mais digital. A National Cyber Security Alliance irá estabelecer parcerias com empresas líderes de tecnologia como Google, Facebook, DropBox e Microsoft para facilitar a milhões de utilizadores a proteção das suas contas online, e com empresas de serviços financeiros como MasterCard, Visa, PayPal e Venmo, que estão a tornar as transações mais seguras. Além disso, o Governo Federal tomará medidas para salvaguardar os dados pessoais em transações online entre os cidadãos e o governo, incluindo através de um novo plano de ação para impulsionar a adoção e utilização, pelo Governo Federal, de métodos eficazes de verificação de identidade e autenticação multifator forte, bem como uma revisão sistemática de onde o Governo Federal pode reduzir a dependência dos Números de Segurança Social como identificador dos cidadãos.

• Investir mais de 19 mil milhões de dólares em cibersegurança no âmbito do Orçamento do Ano Fiscal (FY) 2017 do Presidente. Isto representa um aumento de mais de 35 por cento em relação ao FY 2016 nos recursos federais globais para cibersegurança, um investimento necessário para proteger a nossa Nação no futuro.

Através destas ações, das medidas adicionais delineadas abaixo e de outros esforços de política espalhados por todo o Governo Federal, a Administração traçou um caminho para reforçar a nossa segurança de longo prazo e consolidar a liderança americana no desenvolvimento das tecnologias que alimentam o mundo digital.

Comissão para o Reforço da Cibersegurança Nacional

Durante mais de quatro décadas, a tecnologia informática e a Internet proporcionaram uma vantagem estratégica aos Estados Unidos, aos seus cidadãos e aos seus aliados. Mas, se as questões fundamentais de cibersegurança e identidade não forem tratadas, a dependência da América das infraestruturas digitais arrisca tornar-se uma fonte de vulnerabilidade estratégica. Para enfrentar estas questões, temos de diagnosticar e tratar as causas das ciber-vulnerabilidades, e não apenas os sintomas. Enfrentar este desafio exigirá um compromisso nacional de longo prazo.

Para conduzir esta análise, o Presidente está a criar a Comissão para o Reforço da Cibersegurança Nacional, composta por pensadores estratégicos, empresariais e técnicos de topo, de fora do Governo – incluindo membros a serem designados pela liderança bipartidária do Congresso. A Comissão tem a tarefa de formular recomendações detalhadas sobre ações que podem ser tomadas ao longo da próxima década para reforçar a consciencialização e as proteções em cibersegurança em todo o setor privado e em todos os níveis de Governo, para proteger a privacidade, manter a segurança pública e a segurança económica e nacional, e capacitar os americanos a assumir um melhor controlo da sua segurança digital. O Instituto Nacional de Normas e Tecnologia fornecerá apoio à Comissão para lhe permitir cumprir a sua missão. A Comissão apresentará ao Presidente as suas conclusões e recomendações específicas antes do final de 2016, fornecendo ao país um roteiro para futuras ações que se basearão no CNAP e protegerão a nossa segurança de longo prazo online.

Elevar o Nível de Cibersegurança em Todo o País

Enquanto a Comissão realiza esta análise prospetiva, continuaremos a elevar o nível de cibersegurança em toda a Nação.

Reforçar a Cibersegurança Federal

O Governo Federal fez progressos significativos na melhoria das suas capacidades de cibersegurança, mas ainda há mais trabalho a fazer. Para expandir esse progresso e enfrentar os desafios sistémicos de longa data da cibersegurança federal, temos de reexaminar a abordagem legada do nosso Governo à cibersegurança e às tecnologias de informação, que exige que cada agência construa e defenda as suas próprias redes. Estas ações constroem sobre a base estabelecida pelos Objetivos Prioritários de Cibersegurança entre Agências e pelo Plano de Estratégia e Implementação de Cibersegurança de 2015.

• O Orçamento de 2017 do Presidente propõe um Fundo de Modernização de Tecnologias de Informação de 3,1 mil milhões de dólares, como um adiantamento da reformulação abrangente que terá de ser realizada nos próximos anos. Este fundo rotativo permitirá às agências investir dinheiro antecipadamente e obter o retorno ao longo do tempo, desativando, substituindo ou modernizando infraestruturas, redes e sistemas de TI antiquados, que são caros de manter, oferecem fraca funcionalidade e são difíceis de proteger.

• A Administração criou o cargo de Responsável Federal pela Segurança da Informação para impulsionar a política, o planeamento e a implementação da cibersegurança em todo o Governo Federal. Esta é a primeira vez que existirá um alto responsável dedicado que se concentrará exclusivamente no desenvolvimento, gestão e coordenação da estratégia, política e operações de cibersegurança em todo o domínio federal.

• A Administração está a exigir que as agências identifiquem e priorizem os seus ativos de TI de maior valor e mais expostos ao risco e, em seguida, tomem medidas concretas adicionais para melhorar a sua segurança.

• O Departamento de Segurança Interna, a Administração de Serviços Gerais e outras agências federais irão aumentar a disponibilidade de serviços partilhados governamentais para TI e cibersegurança, com o objetivo de retirar cada agência individual do negócio de construir, possuir e operar a sua própria TI quando existirem opções mais eficientes, eficazes e seguras, bem como garantir que as agências individuais não ficam entregues a si próprias para se defenderem contra as ameaças mais sofisticadas.

• O Departamento de Segurança Interna está a reforçar a cibersegurança federal através da expansão dos programas EINSTEIN e Continuous Diagnostics and Mitigation. O Orçamento de 2017 do Presidente apoia a adoção destas capacidades por todas as agências civis federais.

• O Departamento de Segurança Interna está a aumentar drasticamente o número de equipas federais civis de defesa cibernética para um total de 48, recrutando os melhores talentos de cibersegurança de todo o Governo Federal e do setor privado. Estas equipas permanentes protegerão redes, sistemas e dados em todo o Governo Civil Federal, realizando testes de penetração e caçando proativamente intrusos, bem como prestando resposta a incidentes e conhecimentos de engenharia de segurança.

• O Governo Federal, através de esforços como a National Initiative for Cybersecurity Education, irá reforçar a educação e a formação em cibersegurança em todo o país e contratar mais especialistas em cibersegurança para proteger as agências federais. No âmbito do CNAP, o Orçamento do Presidente investe 62 milhões de dólares em pessoal de cibersegurança para:

  • Expandir o programa Scholarship for Service através da criação de um programa CyberCorps Reserve, que oferecerá bolsas a americanos que desejem obter formação em cibersegurança e servir o seu país no governo civil federal;

  • Desenvolver um Currículo Central de Cibersegurança que garantirá que os graduados em cibersegurança que desejem juntar-se ao Governo Federal tenham os conhecimentos e competências necessários; e,

  • Reforçar o Programa National Centers for Academic Excellence in Cybersecurity para aumentar o número de instituições académicas e estudantes participantes, apoiar melhor essas instituições atualmente participantes, aumentar o número de estudantes a estudar cibersegurança nessas instituições e melhorar o conhecimento dos estudantes através da evolução do programa e do currículo.

• O Orçamento do Presidente toma medidas adicionais para expandir a força de trabalho de cibersegurança através de:

  • Reforço dos programas de perdão de empréstimos estudantis para especialistas em cibersegurança que ingressem na força de trabalho federal;

  • Promoção do investimento na educação em cibersegurança como parte de um currículo robusto de informática através da Iniciativa do Presidente Computer Science for All.

Capacitar os Indivíduos

A privacidade e a segurança de todos os americanos online no seu dia a dia estão cada vez mais integradas na nossa segurança nacional e na nossa economia. As seguintes novas ações baseiam-se na Iniciativa BuySecure de 2014 do Presidente para reforçar a segurança dos dados dos consumidores.

• O Presidente está a apelar aos americanos para que vão além da simples palavra-passe e utilizem múltiplos fatores de autenticação ao iniciar sessão em contas online. As empresas privadas, as organizações sem fins lucrativos e o Governo Federal estão a trabalhar em conjunto para ajudar mais americanos a permanecerem seguros online através de uma nova campanha de sensibilização pública centrada na adoção generalizada da autenticação multifator. Com base na campanha Stop.Think.Connect. e nos esforços decorrentes da National Strategy for Trusted Identities in Cyberspace, a National Cyber Security Alliance irá estabelecer parcerias com empresas líderes de tecnologia e com a sociedade civil para promover este esforço e facilitar a milhões de utilizadores a proteção das suas contas online. Isto apoiará um esforço mais amplo para aumentar a consciencialização pública sobre o papel do indivíduo na cibersegurança.

• O Governo Federal está a acelerar a adoção de autenticação multifator forte e de verificação de identidade para serviços digitais federais dirigidos aos cidadãos. A Administração de Serviços Gerais criará um novo programa que protegerá melhor os dados e as informações pessoais dos americanos à medida que interagem com serviços do Governo Federal, incluindo dados fiscais e informações sobre benefícios.

• A Administração está a realizar uma revisão sistemática de onde o Governo Federal pode reduzir a utilização dos Números de Segurança Social como identificador dos cidadãos.

• A Comissão Federal do Comércio relançou recentemente o IdentityTheft.Gov, para servir como um recurso único para as vítimas reportarem roubo de identidade, criarem um plano de recuperação pessoal e imprimirem cartas e formulários pré-preenchidos para enviar às agências de informação de crédito, empresas e cobradores de dívidas.

• A Small Business Administration (SBA), em parceria com a Comissão Federal do Comércio, o Instituto Nacional de Normas e Tecnologia (NIST) e o Departamento de Energia, oferecerá formação em cibersegurança para alcançar mais de 1,4 milhões de pequenas empresas e partes interessadas das pequenas empresas através de 68 escritórios distritais da SBA, 9 Centros de Parceria para Extensão de Fabrico do NIST e outras redes regionais em todo o país.

• A Administração está a anunciar novos marcos na Iniciativa BuySecure do Presidente para tornar seguras as transações financeiras. Até hoje, o Governo Federal forneceu mais de 2,5 milhões de cartões de pagamento Chip-and-PIN mais seguros e converteu toda a frota de leitores de cartões gerida pelo Departamento do Tesouro para esta nova tecnologia. Através da liderança do governo e do setor privado, foram emitidos nos Estados Unidos mais cartões com chip seguros do que em qualquer outro país do mundo.

Reforçar a Segurança e a Resiliência das Infraestruturas Críticas

A segurança nacional e económica dos Estados Unidos depende do funcionamento fiável das infraestruturas críticas da Nação. Uma parceria contínua com os proprietários e operadores de infraestruturas críticas melhorará a cibersegurança e reforçará a resiliência da Nação. Este trabalho baseia-se nas anteriores Ordens Executivas do Presidente centradas na Infraestrutura Crítica (2013) e na Partilha de Informações (2015).

• O Departamento de Segurança Interna, o Departamento do Comércio e o Departamento de Energia estão a contribuir com recursos e capacidades para estabelecer um Centro Nacional para a Resiliência em Cibersegurança, onde empresas e organizações de todo o setor possam testar a segurança dos sistemas num ambiente controlado, como sujeitar uma réplica da rede elétrica a um ciberataque.

• O Departamento de Segurança Interna irá duplicar o número de conselheiros de cibersegurança disponíveis para ajudar organizações do setor privado com avaliações de cibersegurança presenciais e personalizadas e com a implementação de melhores práticas.

• O Departamento de Segurança Interna está a colaborar com a UL e outros parceiros da indústria para desenvolver um Programa de Garantia de Cibersegurança para testar e certificar dispositivos em rede dentro da “Internet das Coisas”, sejam eles frigoríficos ou bombas de infusão médicas, para que, quando comprar um novo produto, possa ter a certeza de que foi certificado para cumprir normas de segurança.

• O Instituto Nacional de Normas e Tecnologia está a solicitar feedback para informar o desenvolvimento adicional da sua Estrutura de Cibersegurança para melhorar a cibersegurança das infraestruturas críticas. Isto sucede após dois anos de adoção por organizações em todo o país e em todo o mundo.

• Ontem, a Secretária do Comércio, Pritzker, inaugurou o novo Centro Nacional de Excelência em Cibersegurança, uma parceria de investigação e desenvolvimento público-privada que permitirá à indústria e ao governo trabalhar em conjunto para desenvolver e implementar soluções técnicas para desafios de cibersegurança de alta prioridade e partilhar esses resultados em benefício da comunidade em geral.

• A Administração está a apelar às principais seguradoras de saúde e às partes interessadas do setor da saúde para as ajudar a dar novos e significativos passos para reforçar as suas práticas de gestão de dados e garantir que os consumidores podem confiar que os seus dados de saúde sensíveis estarão seguros, protegidos e disponíveis para orientar a tomada de decisões clínicas.

Proteger a Tecnologia

Mesmo enquanto trabalhamos para melhorar as nossas defesas hoje, sabemos que a Nação deve investir agressivamente na ciência, na tecnologia, nas ferramentas e na infraestrutura do futuro para garantir que são concebidas com segurança sustentável em mente.

• Hoje, a Administração está a divulgar o seu Plano Estratégico de Investigação e Desenvolvimento em Cibersegurança Federal de 2016. Este plano, previsto na Lei de Reforço da Cibersegurança de 2014, estabelece metas estratégicas de investigação e desenvolvimento para a Nação avançar nas tecnologias de cibersegurança orientadas pela evidência científica de eficácia e eficiência.

• Além disso, o Governo trabalhará com organizações como a Core Infrastructure Initiative da Linux Foundation para financiar e proteger “utilitários” de internet amplamente utilizados, como software de código aberto, protocolos e normas. Tal como as nossas estradas e pontes precisam de reparação e manutenção regulares, também precisam as ligações técnicas que permitem o fluxo da autoestrada da informação.

Dissuadir, Desencorajar e Perturbar a Atividade Maliciosa no Ciberespaço

Proteger melhor a nossa própria infraestrutura digital é apenas parte da solução. Devemos liderar o esforço internacional na adoção de princípios de comportamento estatal responsável, mesmo enquanto tomamos medidas para deter e perturbar a atividade maliciosa. Não podemos prosseguir estes objetivos sozinhos – temos de os prosseguir em conjunto com os nossos aliados e parceiros em todo o mundo.

• Em 2015, membros do G20 juntaram-se aos Estados Unidos ao reafirmar normas importantes, incluindo a aplicabilidade do direito internacional ao ciberespaço, a ideia de que os Estados não devem realizar o roubo de propriedade intelectual facilitado por cibermeios para ganho comercial, e ao acolher o relatório de um Grupo de Peritos Governamentais das Nações Unidas, que incluía várias normas adicionais para promover a cooperação internacional, prevenir ataques contra infraestruturas críticas civis e apoiar equipas de resposta a emergências informáticas que prestam serviços de restabelecimento e mitigação. A Administração pretende institucionalizar e implementar estas normas através de novos compromissos bilaterais e multilaterais e de medidas de reforço da confiança.

• O Departamento de Justiça, incluindo o Federal Bureau of Investigation, está a aumentar o financiamento para atividades relacionadas com a cibersegurança em mais de 23 por cento para melhorar as suas capacidades de identificar, perturbar e deter atores cibernéticos maliciosos.

• O U.S. Cyber Command está a construir uma Cyber Mission Force de 133 equipas, constituídas por 6.200 militares, civis e pessoal de apoio contratado de todos os departamentos militares e componentes de defesa. A Cyber Mission Force, que estará plenamente operacional em 2018, já está a empregar capacidades em apoio aos objetivos do Governo dos EUA em todo o espectro das operações cibernéticas.

Melhorar a Resposta a Incidentes Cibernéticos

Mesmo enquanto nos concentramos em prevenir e dissuadir atividades cibernéticas maliciosas, também temos de manter a resiliência à medida que os eventos ocorrem. No ano passado, o país enfrentou uma vasta gama de intrusões, desde atividade criminosa a espionagem cibernética. Aplicando as lições aprendidas com incidentes passados, podemos melhorar a gestão de futuros incidentes cibernéticos e reforçar a ciber-resiliência do país.

• Nesta primavera, a Administração divulgará publicamente uma política de coordenação nacional de incidentes cibernéticos e uma metodologia de gravidade associada para avaliar incidentes cibernéticos, para que as agências governamentais e o setor privado possam comunicar eficazmente e fornecer um nível de resposta adequado e consistente.

Proteger a Privacidade das Pessoas

Em coordenação com os esforços de tecnologia da informação e cibersegurança acima referidos, a Administração lançou um esforço pioneiro para melhorar a forma como as agências de todo o Governo Federal protegem a privacidade das pessoas e as suas informações. A privacidade tem sido central para a nossa Nação desde a sua fundação, e na era digital de hoje proteger a privacidade é mais crítico do que nunca.

• Hoje, o Presidente assinou uma Ordem Executiva que criou um Conselho Federal de Privacidade permanente, que reunirá os responsáveis pela privacidade de todo o Governo para ajudar a garantir a implementação de orientações federais de privacidade mais estratégicas e abrangentes. Tal como a cibersegurança, a privacidade tem de ser abordada de forma eficaz e contínua à medida que a nossa nação adota novas tecnologias, promove a inovação, colhe os benefícios do big data e se defende contra ameaças em evolução.

Financiar a Cibersegurança

Para implementar estas mudanças abrangentes, o Governo Federal precisará de investir recursos adicionais na sua cibersegurança. É por isso que o Orçamento de 2017 aloca mais de 19 mil milhões de dólares para a cibersegurança – um aumento de mais de 35 por cento em relação ao nível aprovado em 2016. Estes recursos permitirão que as agências elevem o seu nível de cibersegurança, ajudem as organizações do setor privado e os indivíduos a protegerem-se melhor, perturbem e dissuadam a atividade adversária e respondam de forma mais eficaz aos incidentes.

Contacto para a Imprensa:

Jessica Beffa
Thatcher+Co.
720-413-4938
ncsa@thatcherandco.com