Fornecedores de tecnologia e software podem ser obrigados a notificar clientes do governo dos Estados Unidos em caso de violação de dados ou qualquer outro comprometimento de segurança, propõe um projeto de ordem executiva do presidente Joe Biden.
- Projeto de lei visa criminalizar venda de vazamentos, mas pode afetar trabalho de pesquisadores e mídia especializada
- Não somos polícia para investigar vazamentos, diz diretor presidente da ANPD
- Lei quer adiar as multas da LGPD para 2022; em pesquisa, 82% discordam
De acordo com a Reuters, que ouviu um porta-voz do Conselho de Segurança Nacional dos EUA (CSN), o projeto ainda está em fase de desenvolvimento e deve ser apresentado às autoridades no final desta semana.
Caso seja aprovado, vai obrigar as empresas afetadas a trabalharem diretamente com o FBI e com a Agência de Segurança Cibernética e Infraestrutura (CISA) para resolver o caso.
Além disso, as organizações governamentais devem configurar autenticação multifator por padrão em seus sistemas, assim como criptografia de dados.
O governo acredita que a regra pode anular os acordos de não divulgação em casos de incidentes de segurança da informação, evitando que funcionários tenham acesso a mais dados durante a investigação, além de outros danos causados pela não divulgação de vazamentos.
Resposta ao incidente da SolarWinds
O projeto foi desenvolvido como uma resposta ao ataque à cadeia de suprimentos da SolarWinds, que ficou conhecido como “um dos ataques mais sofisticados da década”.
Segundo a fonte da Reuters, "o governo federal precisa ser capaz de investigar e remediar ameaças aos serviços que fornece ao povo norte-americano o mais rápido possível".
Os EUA não possuem uma lei única para o país todo com relação à segurança e vazamento de dados, por isso, a criptografia e a autenticação multifator ainda não é um padrão entre as empresas do governo. Alguns estados, como a Califórnia, por exemplo, exigem que qualquer empresa notifique seus clientes de vazamentos de dados, mas essa não é uma regra de nível nacional.
Segundo a Reuters, o congresso dos EUA já tentou estabelecer uma lei como essa no passado, mas não foi concluída ir contra o interesse da indústria. Este projeto pode ser o marco inicial para uma lei desse tipo, ao nível nacional.
Assim como a Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral sobre a Proteção de Dados (GDPR) na Europa, o projeto propõe a criação de uma agência reguladores, representada por membros de agências governamentais e empresas de segurança da informação, mas nesse caso, só interfere fornecedores do governo.
Fonte: Reuters.