Como a Ordem Executiva 14028 afetou a cibersegurança federal até agora?

Recentemente, o United States Government Accountability Office emitiu uma atualização sobre o progresso da Ordem Executiva 14028, Melhoria da Cibersegurança da Nação.

Em 2021, a Casa Branca identificou 55 requisitos de liderança e supervisão que precisavam ser atendidos para melhorar a cibersegurança em sistemas federais de TI, com todos os sistemas precisando atender ou exceder a norma descrita. A Ordem Executiva (14028) sobre Melhoria da Cibersegurança da Nação detalhou as razões da exigência, afirmando que "prevenção, detecção, avaliação e remediação de incidentes cibernéticos são prioridades máximas e essenciais para a segurança nacional e econômica".

Além disso, a ordem executiva (EO) disse que a conclusão dessas etapas era essencial, pois o governo deve liderar pelo exemplo para incentivar o setor privado a também reduzir o risco de violações e ataques à segurança cibernética.

A EO designou as agências responsáveis pela implementação dos requisitos: a Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA), o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) e o Office of Management and Budget (OMB).

Os principais requisitos desse pedido se concentraram em soluções de cibersegurança, incluindo:

  • Remoção de barreiras às informações sobre ameaças
  • Modernização da cibersegurança do governo federal
  • Aprimoramento da segurança da cadeia de suprimentos de software
  • Criação de um conselho de avaliações de segurança cibernética
  • Padronização do playbook do governo federal para responder a vulnerabilidades e incidentes de cibersegurança
  • Melhoria dos recursos de investigação e remediação do governo federal

Atualização sobre o progresso em direção aos requisitos

A atualização de abril de 2024 relatou que as três agências responsáveis concluíram 49 dos requisitos. O requisito de padronização do playbook para responder a vulnerabilidades e incidentes de cibersegurança foi determinado como não aplicável. Além disso, os órgãos atenderam parcialmente aos cinco requisitos restantes.

Dos principais requisitos, a modernização da cibersegurança do governo federal é o único completamente atendido. Os esforços nessa área incluíram a implementação ou o início da implementação de uma arquitetura zero trust para órgãos federais, a segurança de serviços de nuvem e a centralização do acesso aos dados de cibersegurança.

Outras iniciativas incluíram lidar com dados não classificados, fazer progresso na implementação da autenticação multifator e da criptografia e desenvolver uma documentação de arquitetura de referência técnica para segurança na nuvem.

Os requisitos pendentes permanecem

Embora a atualização tenha elogiado as agências por seus esforços para melhorar a cibersegurança federal, a conclusão destacou a importância de cumprir os requisitos remanescentes.

Os cinco requisitos restantes são:

1. Incorporar ao processo orçamentário anual uma análise de custo das etapas a serem executadas nesta seção.

Embora o OMB tenha incorporado parcialmente uma análise de custos no processo orçamentário anual, ele não forneceu evidências para detalhes sobre a implementação de todos os requisitos de liderança e supervisão na ordem.

2. Identificar e disponibilizar para as agências uma lista de categorias de software e produtos de software em uso ou no processo de aquisição que atenda à definição de “software crítico”.

A CISA e o OMB auxiliaram o NIST com os critérios e diretrizes para as medidas de segurança de software do governo federal necessárias. CISA, OMB e NIST também criaram uma definição de software crítico e uma lista preliminar de categorias comuns de software que são consistentes com essa definição. No entanto, a CISA não emitiu a lista de categorias comuns de software até o prazo de setembro de 2023.

3. Avaliar as avaliações fornecidas ao presidente para melhorar as operações do conselho e tomar medidas para implementá-las conforme apropriado.

A CISA não forneceu evidências das medidas adotadas para melhorar as operações por meio de recomendações para melhorar as operações futuras. A atualização afirma que essa etapa é fundamental para permitir que o conselho conduza efetivamente suas avaliações de incidentes futuros.

4. Garantir que os órgãos tenham recursos adequados para cumprir os requisitos para adotar abordagens de EDR.

Embora o OMB tenha relatado que incorporou a detecção e resposta de endpoint (EDR) em sua orientação às agências para envio de orçamento e incluiu a EDR na lista de métricas da FISMA no ano fiscal de 2023, a agência não conseguiu apresentar comprovação dessa documentação. A atualização compartilha a preocupação de que, sem a prova, é possível que as agências não recebam financiamento suficiente para iniciativas de EDR.

5. Trabalhar com os chefes dos órgãos para garantir que as agências tenham recursos adequados para cumprir os requisitos de registro, retenção de logs e gerenciamento de logs.

O OMB deu orientações às agências sobre a criação de log, como retenção de logs e gerenciamento de logs. No entanto, o OMB não demonstrou que os órgãos do governo tinham recursos suficientes para implementar o registro, a retenção de registro ou o gerenciamento de log.

A atualização fez recomendações específicas de ações executivas para os cinco requisitos restantes a serem concluídos até 31 de dezembro de 2024.

