A 12 de maio de 2021, o Presidente Joe Biden assinou uma “ordem executiva” que visa melhorar a cibersegurança dos EUA e proteger as redes informáticas do governo federal. A iniciativa de Biden determina que o governo federal incorpora várias iniciativas:

1. Determina que a administração federal complete a transição para uma estrutura cloud segura com uma arquitectura “Zero Trust” com a implementação obrigatória de sistemas de autenticação por múltiplo factor (MFA) e encriptação. O governo tem agora um prazo específico para completar essa transição.

2. Melhoria da segurança informática na “Software Supply Chain” determinando regras mínimas comuns de segurança a todo o software vendido ao Governo e lançando as bases para uma parceria público-privada para desenvolver iniciativas inovadoras que garantam o desenvolvimento de software seguro a partir de grandes programas federais.

3. A criação de um selo idêntico ao “energy star” que comprove ao governo e ao público em geral que o software foi desenvolvido de forma segura e que permita que o governo federal, utilizando o seu imenso poder aquisitivo, forçar os fabricantes a desenvolverem para todo o seu mercado, software mais seguro e sem vulnerabilidades.

4. Estabeleça um “Cybersecurity Safety Review Board” em que tenham assento representantes do governo e do sector privado que, depois de um incidente de segurança significativo possa analisar o que se passou e fazer recomendações concretas para melhorar os componentes de cibersegurança que falharam. Assim se procurará garantir que todas as organizações podem beneficiar da resolução de falhas de alguns seguindo de perto o modelo já amplamente testado e usado do “National Transportation Safety Board” que analisa e produz uma série de recomendações após cada acidente com aeronaves ou com outros engenhos.

5. A ordem executiva de Biden cria também um “Livro de Regras” para resposta a Ciberincidentes que deve ser seguido pelas organizações do governo norte-americano e que crie um padrão uniforme mínimo de resposta entre todas as organizações e que, mais tarde, possa ser seguido também pelas organizações do sector privado.

6. Biden quer ainda que as capacidades federais para detectarem a ocorrência de um ciberataque às suas redes sejam melhoradas através da criação de um sistema único de detecção e de partilha de informação entre as diferentes agências federais.

7. A ordem executiva, por fim, determina que o governo deve melhorar as suas capacidades de investigação e remediação em cibersegurança definindo padrões de registo (logs) mínimos e padronizados que facilitem a detecção de intrusões, mitiguem os que estão em progresso e facilitem a determinação da extensão de um incidente.

Tendo sido criada e desenhada para a realidade dos EUA esta ordem executiva deveria, contudo, estar a ser analisada e replicada na Europa e, em particular, em Portugal. Pela nossa (pequena) parte assim faremos.