O compromisso oferece exemplos de como as empresas podem atingir os objetivos, apesar de observar que as empresas “têm a discricionariedade de decidir a melhor forma” de fazê-lo. O documento também enfatiza a importância das empresas demonstrarem publicamente “progressos mensuráveis” em seus objetivos, bem como documentar suas técnicas “para que outros possam aprender”.
A CISA desenvolveu o compromisso em consulta com empresas de tecnologia, buscando entender o que seria viável para elas, ao mesmo tempo em que atende aos objetivos da agência, de acordo com Goldstein. Isso significava garantir que os compromissos fossem viáveis para empresas de todos os tamanhos, não apenas para gigantes do Vale do Silício.
A agência originalmente tentou usar seu Colaborativo de Defesa Cibernética Conjunta para pressionar empresas a assinarem o compromisso, de acordo com um oficial da indústria de tecnologia, mas isso deu errado quando as empresas questionaram o uso de um grupo operacional de colaboração em defesa cibernética para “uma questão política e legal”, diz o oficial da indústria.
“A indústria expressou frustração ao tentar usar o JCDC para obter compromissos”, diz o oficial, e a CISA “sabiamente recuou nesse esforço”.
A CISA então realizou discussões com empresas por meio do Conselho Coordenador do Setor de Tecnologia da Informação e ajustou o compromisso com base em seus feedbacks. Originalmente, o compromisso continha mais de sete objetivos, e a CISA queria que os signatários se comprometessem com “métricas sólidas” para mostrar progresso, de acordo com o oficial da indústria. No final, essa pessoa diz, a CISA removeu vários objetivos e “ampliou a linguagem” sobre a medição do progresso.
John Miller, vice-presidente sênior de política, confiança, dados e tecnologia no Conselho da Indústria de Tecnologia da Informação, um importante grupo comercial do setor, diz que essa mudança foi inteligente, porque métricas de progresso concretas, como o número de usuários que utilizam autenticação multifatorial, podem ser “facilmente mal interpretadas”.
Goldstein diz que o número de signatários do compromisso está “superando minhas expectativas sobre onde estaríamos” neste momento. O oficial da indústria diz que eles não têm conhecimento de nenhuma empresa que tenha definitivamente se recusado a assinar o compromisso, em parte porque os fornecedores querem “manter aberta a opção de aderir” após o evento de lançamento da CISA no RSA. “Todos estão em uma espécie de espera para ver modo.”
A responsabilidade legal é uma das principais preocupações para empresas signatárias em potencial. “Se houver, inevitavelmente, algum tipo de incidente de segurança”, diz Miller, “qualquer coisa que uma empresa tenha dito publicamente poderia ser usada em ações judiciais”.
Dito isso, Miller prevê que algumas empresas globais enfrentando novos requisitos rigorosos de segurança europeus assinarão o compromisso dos EUA para “obter esse crédito” por algo que elas já têm que fazer.
A campanha Secure by Design da CISA é o centro do plano ambicioso da administração Biden para transferir o ônus da segurança cibernética dos usuários para os fornecedores, um tema central da Estratégia Nacional de Segurança Cibernética da administração. A busca por responsabilidade cibernética corporativa segue anos de ataques disruptivos à cadeia de suprimentos de fabricantes de software crítico como Microsoft, SolarWinds, Kaseya e Change Healthcare, bem como uma crescente lista de vulnerabilidades de software difundidas que alimentaram ataques de ransomware em escolas, hospitais e outros serviços essenciais. Autoridades da Casa Branca dizem que o padrão de violações caras e frequentemente evitáveis demonstra a necessidade de aumentar a responsabilidade corporativa.
