Como o fortalecimento da Lei Americana de Segurança Cibernética afeta os MSPs em 2026

Presidente Joe Biden assinou a lei Strengthening American Cybersecurity Act em março de 2022. A lei consiste em vários regulamentos, incluindo novas regras sobre requisitos de relatórios de incidentes de segurança. Naquela época, a lei criou uma agitação na comunidade de TI devido à incerteza em torno das novas regras, pois ainda não estava claro quem seria obrigado a relatar incidentes e com que rapidez.

essa era a situação geral até que as organizações receberam alguma clareza em 2024, quando a Cybersecurity and Infrastructure Security Agency (CISA) publicou suas regras propostas (Notice of Proposed Rulemaking). Embora a lei tenha como alvo principal as organizações de infraestrutura crítica, as regras propostas indicam que outros setores, incluindo Provedores de Serviços Gerenciados (MSPs) que oferecem suporte à infraestrutura crítica, também poderão precisar cumprir a lei quando os requisitos finais entrarem em vigor.

Como as regras não serão finalizadas e não entrarão em vigor até 2026, é razoável pensar que qualquer organização que opere ou ofereça suporte a clientes em setores de infraestrutura crítica tenha começado a se preparar para essas exigências de relatórios.

Neste artigo, discutiremos os conceitos básicos da Lei de Segurança Cibernética e como os MSPs podem navegar pelas mudanças que vêm junto com ela. 

O que é a Lei de Fortalecimento da Segurança Cibernética Americana de 2022?

Em 1º de março, o Senado dos EUA aprovou um projeto de lei que afeta a postura de segurança de agências federais e organizações de infraestrutura crítica. 

Obtendo apoio unânime, a Lei de Fortalecimento da Segurança Cibernética Americana de 2022 estabelece requisitos de relatórios para “entidades cobertas” e infraestrutura essencial, tudo com o objetivo de reforçar a segurança cibernética da infraestrutura americana. 

A Lei de Fortalecimento da Segurança Cibernética Americana de 2022  (denominada “Lei” neste artigo) é composta por três regulamentações:

• A Lei Federal de Melhoria da Nuvem Segura e Empregos de 2022
• Lei de 2022 sobre relatórios de incidentes cibernéticos para infraestruturas críticas
• Lei de Modernização da Segurança da Informação Federal de 2022

Essa legislação diz respeito, em grande parte, à infraestrutura essencial, mas é provável que seja o prenúncio de uma tendência. Certamente, regulamentações semelhantes serão implementadas no futuro, e o crescente interesse do governo na segurança digital terá implicações generalizadasno futuro. 

Isso não é nenhuma surpresa, pois os ataques e as vulnerabilidades que afetam a infraestrutura essencial estão nas manchetes dos jornais em um ritmo alarmante. 

O que essa regulamentação significa para os provedores de serviços gerenciados

As regras propostas esclareceram a inclusão altamente plausível dos MSPs como “entidades cobertas” se eles oferecerem suporte a clientes em setores de infraestrutura crítica. Devido a isso, muitos departamentos de TI e MSPs começaram a se preparar para o caso de serem obrigados a relatar incidentes cibernéticos que os afetem ou aos sistemas que gerenciam para os clientes. Sem mencionar que essa possibilidade também foi destacada na Lei:

A lei faz uma referência direta à Diretriz de Política Presidencial 21, criada em 2013. Essa política define o setor de infraestrutura crítica como “sistemas e ativos, físicos ou virtuais, tão vitais para os Estados Unidos que a incapacidade ou destruição de tais sistemas e ativos teria um impacto debilitante na segurança, na segurança econômica nacional, na saúde ou segurança pública nacional ou em qualquer combinação dessas questões”

Mais diretamente, a Diretriz de Política 21 define os seguintes setores:

• Alimentos e agricultura
• Instalações governamentais
• Assistência médica e saúde pública
• Tecnologia da Informação
• Química
• Instalações comerciais
• Comunicações
• Sistemas de transporte
• Sistemas de resíduos e águas residuais
• Fabricação crítica
• Barragens
• Base Industrial de Defesa
• Serviços de emergência
• Energia
• Serviços financeiros
• Reatores nucleares, materiais e resíduos

 O setor de Tecnologia da Informação é mencionado especificamente, No entanto, isso não significa automaticamente a inclusão de MSPs como “entidades cobertas”. , As regras propostas  são interpretadas como exigindo que os MSPs relatem incidentes SOMENTE se eles oferecerem suporte a clientes em qualquer setor de infraestrutura crítica.

Enquanto isso, antes da publicação das regras propostas, os MSPs e os provedores de serviços de TI estavam preocupados com a possibilidade de sofrerem o “golpe duplo”. No entanto, as regras propostas descrevem que os MSPs só precisam relatar incidentes que afetem seus próprios sistemas, enquanto as entidades cobertas continuam responsáveis por relatar incidentes que afetem seus ambientes.

Relatórios de incidentes de segurança cibernética

Uma parte importante da lei envolve o estabelecimento de um caminho claro para os requisitos de relatórios para a CISA. O caminho, conforme definido, facilita o compartilhamento multifuncional de informações entre a CISA e outros órgãos federais, como o FBI. De fato, esses requisitos permitirão que as agências coletem dados e identifiquem agentes de ameaças mais rapidamente. Além disso, essa lei descreve os requisitos mínimos de relatório para pagamentos de ransomware e outros incidentes de segurança cibernética.

No caso de um incidente de segurança cibernética, as regras propostas exigem as seguintes medidas:

• Uma notificação deve ser enviada à CISA dentro de 24 a 72 horas.
• Essa notificação deve incluir uma descrição abrangente do incidente e das vulnerabilidades exploradas, bem como de todas as defesas que estavam em vigor quando o incidente ocorreu.
• O relatório deve divulgar o tipo de informação que pode ter sido comprometida.
• Qualquer informação de contato ou qualquer outra informação adicional sobre as partes responsáveis (o atacante) deve ser divulgada.
• Os detalhes de contato da organização afetada devem ser compartilhados pela CISA.
• Se um ataque de ransomware estiver sendo relatado, a divulgação da data do pagamento, as instruções de pagamento, a demanda de pagamento do resgate e o valor do resgate devem ser incluídos.

Como você pode imaginar, uma vez que esses requisitos entrem em vigor em 2026, eles podem exercer uma pressão significativa sobre muitas organizações que não têm a capacidade de identificar e classificar rapidamente uma violação antes de relatá-la. 

Todos sabemos que as empresas maiores podem contar com uma equipe interna de TI ou com um provedor de serviços gerenciados capaz de relatar esses incidentes de forma rápida e eficiente, mas as empresas menores podem não ter essa capacidade. É ainda menos provável que a PME média saiba como coletar as informações relevantes e enviar um relatório por conta própria. 

Avaliação e mitigação de riscos

Embora a Lei de Fortalecimento da Segurança Cibernética de 2022 possa não afetar imediatamente as entidades que operam fora da infraestrutura crítica, os MSPs devem, caso ainda não o tenham feito, instruir todos os seus clientes de que a proteção da segurança cibernética é uma etapa crucial na avaliação e mitigação de riscos.

Os padrões definidos nesta lei provavelmente afetarão o setor privado no futuro. Esse é um passo na direção certa para a segurança, e as empresas já deveriam ter começado a se preparar, avaliando seus riscos de segurança cibernética e tomando as medidas necessárias para lidar com eles antes que as novas regulamentações entrem em vigor. 

Algumas práticas recomendadas que toda empresa deve sempre considerar incluem:

• Adotar a arquitetura de confiança zero e o controle de acesso: Muitas organizações ainda operam com acesso irrestrito a dados e sistemas confidenciais. Ao implementar a confiança zero e configurar o controle de acesso usando o princípio do menor privilégio, eles podem restringir o acesso às redes e ao ambiente de TI e minimizar o risco geral.
• Aprimoramento da segurança móvel e remota: A prevalência do ambiente de trabalho remoto e das políticas de Bring Your Own Device (BYOD) criou riscos adicionais para muitas empresas. Como os criminosos cibernéticos geralmente visam dispositivos móveis e estações de trabalho remotas, os usuários devem tomar as medidas adequadas para proteger essas superfícies de ameaça. 
• Mitigação dos vetores de ameaças mais comuns: Medidas simples para melhorar as práticas de segurança podem ser um divisor de águas para muitas PMEs. A implementação de um gerenciador de senhas, a ativação da autenticação multifatorial sempre que possível e o fornecimento de treinamento em segurança cibernética podem reduzir significativamente o risco cibernético de uma empresa.

Considerações adicionais

Estamos começando a ver mais padronização na forma como as organizações previnem e corrigem incidentes de segurança cibernética em todas as áreas. A assinatura dessa lei traz algumas implicações adicionais que vale a pena considerar.

O FedRAMP foi criado para facilitar a adoção e o uso de tecnologias de nuvem pelo governo federal e ajuda os órgãos a implementar tecnologias modernas de nuvem com ênfase na segurança. A implementação da Lei de Fortalecimento da Segurança Cibernética Americana de 2022 apresenta uma oportunidade para as organizações do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) fazerem a transição para tecnologias baseadas em nuvem. 

Os regulamentos que afetam as organizações do setor privado que se enquadram na infraestrutura crítica já estão sendo moldados por meio das regras propostas e serão finalizados em 2026. Dito isso, sabemos que os requisitos de segurança e de geração de relatórios descritos por lei costumam ter um custo proibitivo para organizações menores e, em breve, poderá ser necessário que o governo subsidie o financiamento do monitoramento e da correção.

Muitos concordam que um incentivo fiscal para as PMEs que reforçam sua segurança cibernética pode estar a caminho. Isso provavelmente seria uma vantagem para os provedores de serviços gerenciados que, muitas vezes, têm dificuldades para convencer os clientes de que os custos de segurança cibernética são justificados. 

Como os MSPs permanecem em conformidade com o American Cybersecurity Act de 2022?

Quando as regras de relatório entrarem em vigor em 2026, elas poderão impor penalidades às organizações que não estiverem em conformidade.

Em termos de responsabilidade do MSP, é essencial observar que a CISA tem autoridade considerável para solicitar informações de uma entidade coberta, incluindo o poder de emitir intimações.  Se uma empresa ou MSP não estiver em conformidade com as investigações da CISA, o caso poderá ser encaminhado ao Departamento de Justiça dos EUA para aplicação da regulamentação, o que pode envolvermultas, penalidades e até mesmo prisão.

O outro lado da questão é que as entidades em conformidade receberão um certo nível de proteção do governo. Ao manter a conformidade, uma empresa estaria isenta de qualquer processo civil, e as informações fornecidas não poderiam ser usadas contra ela, mesmo que a vulnerabilidade tivesse ocorrido devido a um erro por parte da empresa. 

Para entender melhor como a lei pode afetar seu MSP, vamos dar uma olhada em cinco seções específicas. Observe que as seções a seguir apenas descrevem os requisitos definidos na lei. Os detalhes específicos de aplicação serão finalizados na regra de 2026:

Seção 107. Requisitos da agência para notificar entidades do setor privado afetadas por incidentes

Esta seção descreve os requisitos para que as entidades cobertas relatem incidentes que possam comprometer a confidencialidade ou a integridade de informações confidenciais, especialmente informações relacionadas a requisitos estatutários ou regulamentares. Esta seção também descreve os requisitos de relatório sobre incidentes que possam afetar os sistemas de informação usados para transmitir ou armazenar informações confidenciais.

Seção 108. Padrões de segurança móvel

Esta seção trata da avaliação da segurança de aplicativos móveis e fornece diretrizes sobre a manutenção de um inventário contínuo de todos os dispositivos móveis operados pela empresa. Naturalmente, ele descreve a postura de segurança móvel desejada e como os dados relevantes devem ser compartilhados com a CISA usando a automação (quando aplicável).

Seção 109. Retenção de dados e registros para resposta a incidentes

Os detalhes ainda estão em andamento, mas a lei acabará determinando quais tipos de registros e dados você precisará armazenar para as entidades afetadas, bem como por quanto tempo esses dados precisarão ser mantidos. Haverá uma metodologia precisa para garantir que os registros permaneçam disponíveis para agências governamentais selecionadas para geração de relatórios, mas também confidenciais para proteger as informações de identificação pessoal. Os detalhes precisos sobre essa seção devem ser finalizados nos próximos dois anos. 

Seção 112. Programa de caça a ameaças em andamento

Essa seção afirma que as entidades cobertas devem “estabelecer um programa para fornecer serviços contínuos de caça a ameaças orientados por hipóteses na rede de cada agência” Eles precisarão ser capazes de relatar quais são essas atividades, quais ameaças ou vulnerabilidades podem ter sido reveladas, bem como tudo o que foi aprendido com essas atividades de caça a ameaças.

A caça às ameaças faz parte de uma abordagem mais proativa da segurança cibernética. Esta seção mostra que os legisladores não estão mais satisfeitos com o fato de as entidades simplesmente esperarem por um ataque e responderem conforme necessário. Isso cria muitas oportunidades para os MSPs focados em segurança cibernética que podem fornecer esses serviços de caça a ameaças.

Seção 114. Implementação da arquitetura Zero Trust

A confiança zero é uma metodologia que aumenta a segurança do sistema de rede interna ao presumir que nenhum software, usuário ou dado pode ser considerado seguro ou legítimo. Como parte dessa abordagem, somente aqueles que precisam de acesso devem tê-lo. Em suma, isso significa que os usuários, administradores e aplicativos só podem acessar as áreas da rede que são essenciais para suas funções.

Em resumo, a lei estabelece que os departamentos de TI devem:

• Estabeleça uma equipe ou dedique recursos para identificar, isolar e remover ameaças o mais rápido possível. Em muitos casos, o MSP ou MSSP atenderá a essa sugestão assumindo essa responsabilidade. 
• Pare de pensar em redes como confiáveis e, em vez disso, “assuma o acesso” e sempre implemente controles com base na suposição de que há um risco ou uma ameaça.
• Adote o Princípio do Menor Privilégio ao criar programas de segurança da informação e gerenciar o acesso administrativo.
• Use métodos e arquitetura que limitem o movimento lateral em uma rede, por exemplo, usando microssegmentação.

Parceria com a NinjaOne

A NinjaOne está aqui para ajudar os MSPs a gerenciar seus negócios de forma eficiente e segura. Milhares de usuários confiam em nosso software RMM de ponta para navegar pelas complexidades do gerenciamento moderno de TI. 

Ainda não é um parceiro Ninja? Ainda queremos ajudá-lo a expandir seus negócios! Visite nosso blog para obter recursos e guias úteis para MSPs, inscreva-se no Bento para receber orientações importantes em sua caixa de entrada e participe de nossos bate-papos ao vivo para discussões individuais com especialistas em canais. 

Se você está pronto para se tornar um parceiro NinjaOne, agende uma demonstração ou inicie seu testepara ver por que mais de 9.000 clientes já escolheram a Ninja como sua parceira em segurança e gerenciamento remoto.