Read, hack, repeat

Fornecedores de TI do governo dos EUA podem ser obrigados a divulgar vazamentos de dados

Guilherme Petry

Fornecedores de tecnologia e software podem ser obrigados a notificar clientes do governo dos Estados Unidos em caso de violação de dados ou qualquer outro comprometimento de segurança, propõe um projeto de ordem executiva do presidente Joe Biden.

De acordo com a Reuters, que ouviu um porta-voz do Conselho de Segurança Nacional dos EUA (CSN), o projeto ainda está em fase de desenvolvimento e deve ser apresentado às autoridades no final desta semana.

Caso seja aprovado, vai obrigar as empresas afetadas a trabalharem diretamente com o FBI e com a Agência de Segurança Cibernética e Infraestrutura (CISA) para resolver o caso.

Além disso, as organizações governamentais devem configurar autenticação multifator por padrão em seus sistemas, assim como criptografia de dados.

O governo acredita que a regra pode anular os acordos de não divulgação em casos de incidentes de segurança da informação, evitando que funcionários tenham acesso a mais dados durante a investigação, além de outros danos causados pela não divulgação de vazamentos.

Resposta ao incidente da SolarWinds

O projeto foi desenvolvido como uma resposta ao ataque à cadeia de suprimentos da SolarWinds, que ficou conhecido como “um dos ataques mais sofisticados da década”.

Segundo a fonte da Reuters, "o governo federal precisa ser capaz de investigar e remediar ameaças aos serviços que fornece ao povo norte-americano o mais rápido possível".

Os EUA não possuem uma lei única para o país todo com relação à segurança e vazamento de dados, por isso, a criptografia e a autenticação multifator ainda não é um padrão entre as empresas do governo. Alguns estados, como a Califórnia, por exemplo, exigem que qualquer empresa notifique seus clientes de vazamentos de dados, mas essa não é uma regra de nível nacional.

Segundo a Reuters, o congresso dos EUA já tentou estabelecer uma lei como essa no passado, mas não foi concluída ir contra o interesse da indústria. Este projeto pode ser o marco inicial para uma lei desse tipo, ao nível nacional.

Assim como a Lei Geral de Proteção de Dados (LGPD) no Brasil e o Regulamento Geral sobre a Proteção de Dados (GDPR) na Europa, o projeto propõe a criação de uma agência reguladores, representada por membros de agências governamentais e empresas de segurança da informação, mas nesse caso, só interfere fornecedores do governo.


Fonte: Reuters.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.