US Prez Joe Biden corre para proteger a rede elétrica à medida que as ameaças de hackers aumentam

Um plano da Casa Branca para reforçar rapidamente a segurança da rede elétrica dos EUA começará com um sprint de 100 dias, mas levará anos mais para transformar a capacidade das concessionárias de combater os hackers, de acordo com detalhes de uma versão preliminar do plano confirmada por duas pessoas.

O plano é a política equivalente a uma ação de alta velocidade: fornece incentivos para que as empresas elétricas mudem drasticamente a maneira como se protegem contra ataques cibernéticos enquanto tentam evitar disparates políticos que paralisaram os esforços anteriores, sugerem os detalhes.

Entre seus princípios básicos, o chamado “plano de ação” do governo Biden incentivará as concessionárias de energia a instalar novos e sofisticados equipamentos de monitoramento para detectar hackers mais rapidamente e compartilhar essas informações amplamente com o governo dos Estados Unidos.

Ele pedirá às concessionárias que identifiquem locais críticos que, se atacados, podem ter um impacto descomunal em toda a rede, de acordo com um rascunho de seis páginas do plano, que foi elaborado pelo Conselho de Segurança Nacional e descrito em detalhes para a Bloomberg News. E vai expandir um programa do Departamento de Energia parcialmente classificado para identificar falhas nos componentes da rede que podem ser explorados pelos ciber-adversários do país, incluindo Rússia, Irã e China.

O plano marca o primeiro passo em um amplo esforço para proteger as empresas de serviços públicos de ataques cibernéticos que podem deixar milhões de pessoas sem energia, água ou gás. Uma versão final do plano pode ser lançada ainda esta semana, de acordo com uma pessoa familiarizada com o momento. “Faz sentido em um plano como este começar com as operações da rede”, disse Christopher Painter, que foi o cibercriminoso mais graduado funcionário do Departamento de Estado durante o governo Obama.

“Tudo desmorona sem energia: setor financeiro, refinarias, água. A rede é a base do resto da infraestrutura crítica do país ”, acrescentou Painter, agora com a Comissão Global sobre a Estabilidade do Ciberespaço.

Especialistas dizem que as iniciativas para aumentar a segurança da rede elétrica dos Estados Unidos estão há anos atrás dos esforços mais conhecidos para melhorar a segurança de centros de dados e sistemas de computadores corporativos. Ao mesmo tempo, hackers da Rússia, China, Irã e Coreia do Norte estão lançando ataques cada vez mais agressivos contra empresas de energia dos EUA, na esperança de posicionar malwares que podem deixar cidades e vilas dos EUA no escuro. As recentes interrupções relacionadas ao clima no Texas , embora não sejam o resultado de um ataque cibernético, foram uma demonstração clara do potencial de devastação. As pessoas congelaram em suas casas, tiveram dificuldade para acessar água potável e perderam as comunicações porque seus telefones celulares não podiam carregar enquanto as operadoras de rede lutavam por dias para restaurar a energia.

Leia mais: Biden vai atrair ex-funcionários da NSA para as funções de segurança cibernética

O plano da Casa Branca estabelece a necessidade de um amplo esforço para proteger os computadores altamente especializados usados ​​não apenas pelas companhias elétricas, mas também pelas concessionárias municipais de água, operadoras de gasodutos e outros.

Duas pessoas familiarizadas com o pensamento do governo disseram que as empresas de energia foram escolhidas para começar porque elas já têm um forte histórico de trabalho com o governo dos EUA em ameaças à segurança. Embora as empresas privadas geralmente relutem em compartilhar amplamente os dados da rede de computadores com o governo, algumas empresas de energia já o fazem como parte de programas-piloto existentes, disse uma das pessoas.

Incentivos de participação

O plano da Casa Branca, que é voluntário, apresenta uma série de incentivos possíveis para fazer com que as empresas de energia assinem, uma rota politicamente menos precária do que obrigar sua participação por meio de regulamentação. Utilitários menores, como cooperativas rurais, podem obter financiamento do governo para cobrir o custo de novos equipamentos e softwares de segurança, por exemplo. O governo vai explorar se a participação pode ser coberta pela Lei de Segurança, que fornece proteção de responsabilidade para produtos e serviços antiterrorismo, de acordo com o plano – embora esteja longe de estar claro se os serviços prestados por uma empresa de eletricidade se qualificam.

Muitos dos detalhes sobre orçamentos e incentivos serão acertados posteriormente, por meio de um processo coordenado pelo Conselho de Segurança Nacional e outros, de acordo com o esboço.

As decisões das empresas de serviços públicos de participar dependerão de como esses detalhes serão resolvidos, disseram os especialistas em segurança cibernética. Por exemplo, o plano aborda preocupações de longa data sobre o compartilhamento automático de detalhes sobre ataques cibernéticos com o governo, proibindo “dados confidenciais” de serem coletados ou armazenados fora dos serviços públicos. Mas o plano ainda não define o que conta como dados confidenciais, e deixa claro que todos os dados coletados devem ser amplamente compartilhados em todo o governo federal.

O plano também expandirá a função de um programa do Departamento de Energia que verifica os equipamentos da rede em busca de falhas ou componentes ocultos que os hackers podem usar para atacar utilitários. Aspectos desse programa, conhecido como CyTRICS, são classificados porque envolvem esforços de agências de inteligência estrangeiras para enfraquecer intencionalmente a tecnologia de grade, de acordo com uma pessoa familiarizada com ela. (CyTRICS significa Cyber ​​Testing for Resilient Industrial Control Systems.) Embora os serviços públicos tenham apoiado esforços semelhantes no passado, a criação de uma lista de fornecedores aprovados poderia aumentar os custos dos fabricantes de equipamentos que seriam obrigados a tornar seus produtos mais seguros – uma proposta É provável que atraia resistência de fabricantes norte-americanos e estrangeiros, disse uma pessoa familiarizada com o setor.

Guerras territoriais

Para ter sucesso, o plano terá de superar os desafios que atrapalharam os esforços anteriores, incluindo guerras territoriais entre agências e questões sobre o papel que as agências de inteligência dos Estados Unidos deveriam ter na proteção da infraestrutura crítica do país.

O esforço do setor de energia será liderado pelo Departamento de Energia, e não pela Agência de Segurança de Infraestrutura e Cibersegurança, ou CISA, parte do Departamento de Segurança Interna, de acordo com o resumo. Isso poderia levantar preocupações sobre a CISA perder suas autoridades existentes e possivelmente ceder o programa inteiramente para o Departamento de Energia, de acordo com funcionários atuais e antigos do DHS, bem como um assessor do Comitê de Segurança Interna da Câmara. Esse painel aprovou um projeto de lei bipartidário em março para solidificar o papel de liderança da CISA na proteção dos sistemas de controle industrial do país (HR 1833). “O risco de não ter a CISA fazendo tudo é que a informação não chega onde precisa”, de acordo com Suzanne Spaulding, que liderou a antecessora do CISA, a Diretoria de Programas e Proteção Nacional, no governo Obama e agora trabalha no Centro de Estudos Estratégicos e Internacionais.

Como o plano da Casa Branca foi distribuído discretamente às autoridades recentemente, o secretário de Segurança Interna, Alejandro Mayorkas, reiterou o que ele acreditava ser o papel principal da CISA em um discurso político no final de março. Depois de elogiar os planos de segurança cibernética do governo, ele acrescentou: “Como alguns disseram, o o governo precisa de um zagueiro em sua equipe de segurança cibernética. CISA é o quarterback. ”