O compromisso oferece exemplos de como as empresas podem atingir os objetivos, embora ressalte que as empresas “têm a autonomia para decidir como melhor fazê-lo”. O documento também enfatiza a importância das empresas demonstrarem publicamente “progressos mensuráveis” em seus objetivos, bem como documentar suas técnicas “para que outros possam aprender”.
CISA desenvolveu o compromisso em consulta com empresas de tecnologia, buscando entender o que seria viável para elas, ao mesmo tempo em que atendia aos objetivos da agência, de acordo com Goldstein. Isso significava garantir que os compromissos fossem viáveis para empresas de todos os tamanhos, não apenas gigantes do Vale do Silício.
A agência tentou inicialmente usar seu Joint Cyber Defense Collaborative para pressionar as empresas a assinar o compromisso, de acordo com o oficial da indústria de tecnologia, mas isso fracassou quando as empresas questionaram o uso de um grupo de colaboração operacional de ciberdefesa para “uma questão política e legal”, diz o oficial da indústria.
“A indústria expressou frustração ao tentar usar o JCDC para obter compromissos”, diz o oficial, e o CISA “sabiamente recuou nesse esforço”.
Posteriormente, o CISA realizou discussões com empresas por meio do Conselho de Coordenação do Setor de Tecnologia da Informação e ajustou o compromisso com base em seus feedbacks. Inicialmente, o compromisso continha mais de sete metas, e o CISA queria que os signatários se comprometessem com “métricas firmes” para mostrar progresso, de acordo com o oficial da indústria. No final, essa pessoa diz que o CISA removeu várias metas e “ampliou a linguagem” sobre a medição do progresso.
John Miller, vice-presidente sênior de política, confiança, dados e tecnologia no Conselho da Indústria de Tecnologia da Informação, um importante grupo comercial da indústria, diz que essa mudança foi inteligente, porque métricas de progresso concretas – como o número de usuários utilizando autenticação de dois fatores – poderiam ser “facilmente mal interpretadas”.
Goldstein diz que o número de signatários do compromisso está “superando minhas expectativas sobre onde estaríamos” neste momento. O oficial da indústria diz que não tem conhecimento de nenhuma empresa que tenha definitivamente se recusado a assinar o compromisso, em parte porque os fornecedores querem “manter aberta a opção de assinar” após o evento de lançamento do CISA na RSA. “Todos estão em uma espécie de espera para ver modo.”
A responsabilidade legal é uma das principais preocupações das empresas signatárias em potencial. “Se houver, inevitavelmente, algum tipo de incidente de segurança”, diz Miller, “qualquer coisa que a empresa tenha dito publicamente pode ser usada em processos judiciais”.
Dito isso, Miller prevê que algumas empresas globais enfrentando novos e rigorosos requisitos de segurança europeus assinarão o compromisso dos EUA para “obter esse crédito” por algo que já têm que fazer.
A campanha Secure by Design do CISA é o ponto central do ambicioso plano da administração Biden de transferir o ônus da cibersegurança dos usuários para os fornecedores, um tema central da Estratégia Nacional de Cibersegurança da administração. O incentivo à responsabilidade cibernética corporativa segue anos de ataques disruptivos à cadeia de suprimentos a fabricantes de software crítico como Microsoft, SolarWinds, Kaseya e Change Healthcare, bem como uma lista crescente de vulnerabilidades generalizadas de software que alimentaram ataques de ransomware em escolas, hospitais e outros serviços essenciais. Autoridades da Casa Branca afirmam que o padrão de violações caras e muitas vezes evitáveis demonstra a necessidade de aumento da responsabilidade corporativa.
