A promessa oferece exemplos de como as empresas podem alcançar os objetivos, embora destaque que as empresas têm “discrição para decidir da melhor forma” como fazê-lo. O documento também enfatiza a importância de as empresas demonstrarem publicamente “progresso mensurável” em seus objetivos, documentando suas técnicas “para que outros possam aprender”.
CISA desenvolveu a promessa em consulta com empresas de tecnologia, buscando entender o que seria viável para elas, ao mesmo tempo em que atendia aos objetivos da agência, de acordo com Goldstein. Isso significava garantir que os compromissos fossem viáveis para empresas de todos os tamanhos, não apenas para gigantes do Vale do Silício.
A agência tentou inicialmente usar seu Joint Cyber Defense Collaborative para incentivar as empresas a assinarem a promessa, segundo um oficial da indústria de tecnologia, mas isso teve efeito contrário quando as empresas questionaram o uso de um grupo de colaboração operacional de ciberdefesa para “uma questão de política e legal”, diz o oficial da indústria.
“A indústria expressou frustração ao tentar usar o JCDC para obter compromissos”, diz o oficial, e o CISA “sabiamente recuou nesse esforço”.
O CISA então realizou discussões com as empresas por meio do Conselho Coordenador do Setor de Tecnologia da Informação e ajustou a promessa com base em seus feedbacks. Originalmente, a promessa continha mais de sete objetivos, e o CISA queria que os signatários se comprometessem com “métricas firmes” para mostrar progresso, de acordo com o oficial da indústria. No final, essa pessoa diz, o CISA removeu vários objetivos e “ampliou a linguagem” sobre a medição do progresso.
John Miller, vice-presidente sênior de política, confiança, dados e tecnologia no Conselho da Indústria de Tecnologia da Informação, um grande grupo comercial do setor, diz que essa mudança foi inteligente, porque métricas de progresso concretas, como o número de usuários usando autenticação de vários fatores, poderiam ser “facilmente mal interpretadas”.
Goldstein diz que o número de signatários da promessa está “superando minhas expectativas sobre onde estaríamos” neste momento. O oficial da indústria diz que não tem conhecimento de nenhuma empresa que tenha definitivamente se recusado a assinar a promessa, em parte porque os fornecedores desejam “manter aberta a opção de assinar” após o evento de lançamento do CISA na RSA. “Todos estão em um tipo de modo de esperar para ver”.
A responsabilidade legal é uma das principais preocupações das empresas potenciais signatárias. “Se houver, inevitavelmente, algum tipo de incidente de segurança,” Miller diz, “qualquer coisa [que] a empresa tenha dito publicamente poderia ser usada em processos judiciais”.
Isso dito, Miller prevê que algumas empresas globais enfrentando novos requisitos rigorosos de segurança europeus assinarão a promessa dos EUA para “obter esse crédito” por algo que já precisam fazer.
A campanha Secure by Design do CISA é o destaque do ambicioso plano da administração Biden para transferir o ônus da cibersegurança dos usuários para os fornecedores, um tema central da Estratégia Nacional de Cibersegurança da administração. O impulso pela responsabilidade cibernética corporativa segue anos de ataques disruptivos à cadeia de suprimentos em fabricantes de software críticos, como Microsoft, SolarWinds, Kaseya e Change Healthcare, bem como uma lista crescente de vulnerabilidades generalizadas de software que alimentaram ataques de ransomware em escolas, hospitais e outros serviços essenciais. Oficiais da Casa Branca afirmam que o padrão de violações custosas e frequentemente preveníveis demonstra a necessidade de aumentar a responsabilidade corporativa.
