O compromisso oferece exemplos de como as empresas podem alcançar os objetivos, embora observe que as empresas “têm a discrição de decidir como melhor” fazê-lo. O documento também enfatiza a importância de as empresas demonstrarem publicamente “progresso mensurável” em seus objetivos, além de documentar suas técnicas “para que outros possam aprender”.
CISA desenvolveu o compromisso em consulta com empresas de tecnologia, buscando entender o que seria viável para elas, ao mesmo tempo em que atende aos objetivos da agência, de acordo com Goldstein. Isso significava garantir que os compromissos fossem viáveis para empresas de todos os tamanhos, e não apenas para gigantes do Vale do Silício.
A agência tentou inicialmente usar seu Colaborativo Conjunto de Defesa Cibernética para pressionar as empresas a assinarem o compromisso, de acordo com o oficial da indústria de tecnologia, mas isso teve um efeito contrário quando as empresas questionaram o uso de um grupo de colaboração operacional em defesa cibernética para “uma questão política e legal”, diz o oficial da indústria.
“Indústria expressou frustração em tentar usar o JCDC para obter compromissos,” diz o oficial, e a CISA “sabiamente recuou nesse esforço.”
Em seguida, a CISA realizou discussões com empresas por meio do Conselho de Coordenação do Setor de Tecnologia da Informação e ajustou o compromisso com base em seus feedbacks. Originalmente, o compromisso continha mais de sete objetivos, e a CISA queria que os signatários se comprometessem com “métricas firmes” para mostrar progresso, de acordo com o oficial da indústria. No final, essa pessoa diz, a CISA removeu vários objetivos e “ampliou a linguagem” sobre a medição do progresso.
John Miller, vice-presidente sênior de política, confiança, dados e tecnologia no Conselho de Indústria de Tecnologia da Informação, um importante grupo comercial da indústria, afirma que essa mudança foi inteligente, porque métricas de progresso concretas – como o número de usuários usando autenticação multifator – poderiam ser “facilmente mal interpretadas.”
Goldstein diz que o número de signatários do compromisso está “excedendo minhas expectativas sobre onde estaríamos” neste ponto. O oficial da indústria diz que não tem conhecimento de nenhuma empresa que tenha definitivamente se recusado a assinar o compromisso, em parte porque os fornecedores querem “manter aberta a opção de assinar” após o evento de lançamento da CISA no RSA. “Todos estão em espera para ver o que acontece.”
A responsabilidade legal é uma das principais preocupações para as empresas signatárias em potencial. “Se acabar havendo, inevitavelmente, algum tipo de incidente de segurança,” diz Miller, “tudo que uma empresa disse publicamente poderá ser usado em processos judiciais.”
Isso dito, Miller prevê que algumas empresas globais enfrentando novos requisitos rigorosos de segurança europeus assinarão o compromisso dos EUA para “obter esse crédito” por algo que já têm que fazer.
A campanha Secure by Design da CISA é o centro do ambicioso plano da administração Biden para mudar o peso da cibersegurança dos usuários para os fornecedores, um tema central da Estratégia Nacional de Cibersegurança da administração. A pressão por responsabilidade cibernética empresarial segue anos de ataques disruptivos à cadeia de suprimentos de fabricantes de software crítico como a Microsoft, SolarWinds, Kaseya e Change Healthcare, bem como uma lista crescente de vulnerabilidades de software generalizadas que têm alimentado ataques de ransomware em escolas, hospitais e outros serviços essenciais. Autoridades da Casa Branca dizem que o padrão de violações onerosas e muitas vezes evitáveis demonstra a necessidade de maior responsabilidade empresarial.
