Quatro dias antes de deixar o cargo, o presidente dos EUA, Joe Biden, emitiu uma directiva abrangente de segurança cibernética ordenando melhorias na forma como o governo monitoriza as suas redes, compra software, utiliza inteligência artificial e pune hackers estrangeiros.
O Ordem executiva de 40 páginas revelado na quinta-feira é a tentativa final da Casa Branca de Biden de iniciar esforços para aproveitar os benefícios de segurança da IA, implementar identidades digitais para cidadãos dos EUA e preencher lacunas que ajudaram a China, a Rússia e outros adversários repetidamente penetrar Sistemas governamentais dos EUA.
A ordem “foi projetada para fortalecer as bases digitais da América e também colocar a nova administração e o país no caminho do sucesso contínuo”, disse Anne Neuberger, vice-conselheira de segurança nacional de Biden para tecnologias cibernéticas e emergentes, a repórteres na quarta-feira.
Pairando sobre a diretriz de Biden está a questão de saber se o presidente eleito Donald Trump continuará alguma dessas iniciativas depois de tomar posse na segunda-feira. Nenhum dos projetos altamente técnicos decretados na ordem é partidário, mas os conselheiros de Trump podem preferir abordagens (ou calendários) diferentes para resolver os problemas que a ordem identifica.
Trump não nomeou nenhum de seus principais funcionários cibernéticos, e Neuberger disse que a Casa Branca não discutiu a ordem com sua equipe de transição, “mas estamos muito felizes em, assim que a nova equipe cibernética for nomeada, ter quaisquer discussões durante este período final de transição.”
O núcleo da ordem executiva é uma série de mandatos para proteger as redes governamentais com base nas lições aprendidas com os recentes incidentes importantes – nomeadamente, as falhas de segurança dos prestadores de serviços federais.
A ordem exige que os fornecedores de software apresentem provas de que seguem práticas de desenvolvimento seguras, com base um mandato que estreou em 2022 em resposta a A primeira ordem executiva cibernética de Biden. A Agência de Segurança Cibernética e de Infraestrutura teria a tarefa de verificar novamente esses atestados de segurança e trabalhar com os fornecedores para corrigir quaisquer problemas. Para reforçar a exigência, o Gabinete do Diretor Nacional Cibernético da Casa Branca é “encorajado a encaminhar atestados que não tenham sido validados ao Procurador-Geral” para possível investigação e processo.
A ordem dá ao Departamento de Comércio oito meses para avaliar as práticas cibernéticas mais comumente usadas na comunidade empresarial e emitir orientações com base nelas. Pouco tempo depois, essas práticas se tornariam obrigatórias para empresas que buscassem fazer negócios com o governo. A diretriz também dá início a atualizações no Instituto Nacional de Padrões e Tecnologia orientação de desenvolvimento de software seguro.
Outra parte da directiva centra-se na protecção das chaves de autenticação das plataformas em nuvem, cujo compromisso abriu a porta à China roubo de e-mails governamentais dos servidores da Microsoft e seu recente hack da cadeia de suprimentos do Departamento do Tesouro. O Comércio e a Administração de Serviços Gerais têm 270 dias para desenvolver diretrizes para proteção de chaves, que teriam então de se tornar requisitos para fornecedores de nuvem dentro de 60 dias.
Para proteger as agências federais de ataques que dependem de falhas em dispositivos de Internet das Coisas, o pedido estabelece um prazo de 4 de janeiro de 2027 para que as agências comprem apenas dispositivos IoT de consumo que possuam o recém-lançado Selo de marca de confiança cibernética dos EUA.