A promessa oferece exemplos de como as empresas podem atender às metas, embora ressalte que as empresas “têm a discrição de decidir da melhor forma” como fazê-lo. O documento também enfatiza a importância de as empresas demonstrarem publicamente “progresso mensurável” em suas metas, bem como documentarem suas técnicas “para que outros possam aprender”.
A CISA desenvolveu a promessa em consulta com empresas de tecnologia, buscando entender o que seria viável para elas, ao mesmo tempo em que atendia às metas da agência, de acordo com Goldstein. Isso significava garantir que os compromissos fossem viáveis para empresas de todos os tamanhos, não apenas para gigantes do Vale do Silício.
A agência tentou inicialmente usar seu Colaborativo Conjunto de Defesa Cibernética para pressionar as empresas a assinarem a promessa, de acordo com o oficial da indústria de tecnologia, mas isso deu errado quando as empresas questionaram o uso de um grupo de colaboração operacional de defesa cibernética para “uma questão política e legal”, diz o oficial da indústria.
“A indústria expressou frustração sobre tentar usar o JCDC para obter promessas”, diz o oficial, e a CISA “sabiamente recuou nesse esforço”.
A CISA então realizou discussões com empresas por meio do Conselho de Coordenação do Setor de Tecnologia da Informação e ajustou a promessa com base em seus feedbacks. Inicialmente, a promessa continha mais de sete metas, e a CISA queria que os signatários se comprometessem com “métricas firmes” para mostrar progresso, de acordo com o oficial da indústria. No final, essa pessoa diz que a CISA removeu várias metas e “ampliou a linguagem” sobre a medição do progresso.
John Miller, vice-presidente sênior de política, confiança, dados e tecnologia no Conselho da Indústria de Tecnologia da Informação, um importante grupo comercial da indústria, diz que essa mudança foi inteligente, porque métricas de progresso concretas – como o número de usuários usando autenticação de vários fatores – poderiam ser “facilmente mal interpretadas”.
Goldstein diz que o número de signatários da promessa está “superando minhas expectativas sobre onde estaríamos” neste ponto. O oficial da indústria diz que não tem conhecimento de nenhuma empresa que tenha definitivamente se recusado a assinar a promessa, em parte porque os fornecedores querem “manter aberta a opção de aderir” após o evento de lançamento da CISA na RSA. “Todos estão em um tipo de espera para ver.”
A responsabilidade legal é uma grande preocupação para as empresas signatárias em potencial. “Se acabar havendo, inevitavelmente, algum tipo de incidente de segurança”, diz Miller, “qualquer coisa que [a] empresa tenha dito publicamente poderá ser usada em processos judiciais.”
Dito isso, Miller prevê que algumas empresas globais enfrentando novos requisitos de segurança europeus rigorosos assinarão a promessa dos EUA para “obter esse crédito” por algo que já precisam fazer.
A campanha Secure by Design da CISA é a peça central do ambicioso plano da administração Biden de transferir o ônus da cibersegurança dos usuários para os fornecedores, um tema central da Estratégia Nacional de Cibersegurança da administração. O esforço por responsabilidade cibernética corporativa vem após anos de ataques disruptivos à cadeia de suprimentos em fabricantes de software crítico, como Microsoft, SolarWinds, Kaseya e Change Healthcare, bem como uma lista crescente de vulnerabilidades de software generalizadas que alimentaram ataques de ransomware em escolas, hospitais e outros serviços essenciais. Autoridades da Casa Branca afirmam que o padrão de brechas custosas e muitas vezes evitáveis demonstra a necessidade de maior responsabilidade corporativa.
