O compromisso oferece exemplos de como as empresas podem cumprir as metas, embora observe que as empresas “têm o poder de decidir a melhor forma” de fazê-lo. O documento também enfatiza a importância de as empresas demonstrarem publicamente “progressos mensuráveis” em seus objetivos, bem como documentarem suas técnicas “para que outros possam aprender”.
A CISA desenvolveu o compromisso em consulta com empresas de tecnologia, buscando entender o que seria viável para elas e ao mesmo tempo atender aos objetivos da agência, segundo Goldstein. Isso significava garantir que os compromissos fossem viáveis para empresas de todos os tamanhos, e não apenas para os gigantes do Vale do Silício.
A agência originalmente tentou usar sua Colaboração Conjunta de Defesa Cibernética para incitar as empresas a assinar o compromisso, de acordo com o funcionário da indústria de tecnologia, mas o tiro saiu pela culatra quando as empresas questionaram o uso de um grupo operacional de colaboração de defesa cibernética para “uma questão política e legal”, a indústria oficial diz.
“A indústria expressou frustração ao tentar usar o JCDC para obter promessas”, disse o funcionário, e a CISA “sabiamente recuou nesse esforço”.
A CISA manteve então discussões com empresas através do Conselho de Coordenação do Setor de Tecnologia da Informação e ajustou o compromisso com base no seu feedback. Originalmente, o compromisso continha mais de sete objetivos, e a CISA queria que os signatários se comprometessem com “métricas firmes” para mostrar o progresso, de acordo com o responsável da indústria. No final, diz essa pessoa, a CISA removeu vários objetivos e “ampliou a linguagem” sobre como medir o progresso.
John Miller, vice-presidente sênior de política, confiança, dados e tecnologia do Information Technology Innovation Council, um importante grupo comercial do setor, diz que a mudança foi inteligente, porque métricas concretas de progresso – como o número de usuários que usam autenticação multifatorial – poderia ser “facilmente mal interpretado”.
Goldstein diz que o número de signatários do compromisso “excede as minhas expectativas sobre onde estaríamos” neste momento. O responsável da indústria diz que não tem conhecimento de nenhuma empresa que se tenha recusado definitivamente a assinar o compromisso, em parte porque os fornecedores querem “manter aberta a opção de assinar” após o evento de lançamento da CISA na RSA. “Todo mundo está em uma espécie de modo de esperar para ver.”
A responsabilidade legal é uma das principais preocupações das potenciais empresas signatárias. “Se houver, inevitavelmente, algum tipo de incidente de segurança”, diz Miller, “qualquer coisa que (uma) empresa tenha dito publicamente poderá ser usada em ações judiciais”.
Dito isto, Miller prevê que algumas empresas globais que enfrentam novos e rigorosos requisitos de segurança europeus assinarão o compromisso dos EUA de “obter esse crédito” por algo que já têm de fazer.
A campanha Secure by Design da CISA é a peça central do ambicioso plano da administração Biden para transferir o fardo da segurança cibernética dos utilizadores para os fornecedores, um tema central da Estratégia Nacional de Segurança Cibernética da administração. A pressão pela responsabilidade cibernética corporativa segue anos de ataques disruptivos à cadeia de suprimentos contra fabricantes de software críticos como Microsoft, SolarWinds, Kaseya e Change Healthcare, bem como uma lista crescente de vulnerabilidades generalizadas de software que alimentaram ataques de ransomware em escolas, hospitais e outros serviços essenciais. Funcionários da Casa Branca dizem que o padrão de violações dispendiosas e muitas vezes evitáveis demonstra a necessidade de uma maior responsabilização empresarial.
