O compromisso oferece exemplos de como as empresas podem atingir as metas, embora observe que as empresas “têm a discricionariedade de decidir da melhor forma” como fazer isso. O documento também enfatiza a importância de as empresas demonstrarem publicamente “progresso mensurável” em suas metas, bem como documentarem suas técnicas “para que outros possam aprender”.
A CISA desenvolveu o compromisso em consulta com empresas de tecnologia, procurando entender o que seria viável para elas, ao mesmo tempo em que atende aos objetivos da agência, de acordo com Goldstein. Isso significou garantir que os compromissos fossem viáveis para empresas de todos os tamanhos, não apenas os gigantes do Vale do Silício.
A agência tentou inicialmente usar seu Colaborativo de Defesa Cibernética Conjunta para pressionar as empresas a assinarem o compromisso, segundo um oficial da indústria de tecnologia, mas isso deu errado quando as empresas questionaram o uso de um grupo de colaboração operacional em defesa cibernética para “uma questão política e legal”, diz o oficial da indústria.
“A indústria expressou frustração sobre tentar usar o JCDC para obter compromissos”, diz o oficial, e a CISA “sabiamente recuou nesse esforço”.
A CISA então realizou discussões com empresas por meio do Conselho de Coordenação do Setor de Tecnologia da Informação e ajustou o compromisso com base no feedback delas. Inicialmente, o compromisso continha mais de sete metas, e a CISA queria que os signatários se comprometessem com “firmes métricas” para mostrar progresso, de acordo com o oficial da indústria. No final, essa pessoa diz, a CISA removeu várias metas e “ampliou a linguagem” sobre a medição do progresso.
John Miller, vice-presidente sênior de política, confiança, dados e tecnologia do Conselho da Indústria de Tecnologia da Informação, um importante grupo comercial da indústria, diz que essa mudança foi inteligente, porque as métricas de progresso concretas – como o número de usuários usando autenticação de dois fatores – poderiam ser “facilmente mal interpretadas”.
Goldstein diz que o número de signatários do compromisso está “excedendo minhas expectativas sobre onde estaríamos” neste momento. O oficial da indústria afirma que não tem conhecimento de nenhuma empresa que tenha definitivamente se recusado a assinar o compromisso, em parte porque os fornecedores desejam “manter aberta a opção de assinar” após o evento de lançamento da CISA na RSA. “Todos estão meio que em modo de esperar para ver.”
A responsabilidade legal é uma das principais preocupações das empresas que estão pensando em assinar o compromisso. “Se acabar havendo, inevitavelmente, algum tipo de incidente de segurança”, diz Miller, “qualquer coisa que uma empresa tenha dito publicamente pode ser usada em processos judiciais”.
Dito isso, Miller prevê que algumas empresas globais enfrentando novos requisitos de segurança rigorosos europeus irão assinar o compromisso dos EUA para “obter esse crédito” por algo que já precisam fazer.
A campanha Secure by Design da CISA é o ponto central do ambicioso plano da administração Biden de transferir o ônus da cibersegurança dos usuários para os fornecedores, um tema central da Estratégia Nacional de Cibersegurança da administração. A pressão pela responsabilidade cibernética corporativa segue anos de ataques disruptivos à cadeia de suprimentos de fabricantes de software crítico como Microsoft, SolarWinds, Kaseya e Change Healthcare, bem como uma lista crescente de amplas vulnerabilidades de software que têm alimentado ataques de ransomware em escolas, hospitais e outros serviços essenciais. Autoridades da Casa Branca dizem que o padrão de violações caras e frequentemente evitáveis demonstra a necessidade de aumentar a responsabilidade corporativa.
