Ann Dunkin é CIO do Departamento de Energia dos EUA (DOE). Entre suas responsabilidades, ela dirige TI e supervisiona a segurança cibernética. Esta semana ela falou na Cyber Week de Israel, e Cibersegurança Notícias aproveitou a oportunidade para falar com Dunkin.
O DOE pode traçar suas origens ao Projeto Manhattan (bomba atômica) da Segunda Guerra Mundial sob o Corpo de Engenheiros do Exército dos EUA. À medida que o DOE surgiu, ele manteve suas responsabilidades nucleares. “Somos responsáveis por administrar e manter o estoque nuclear do governo dos Estados Unidos”, explicou Dunkin, “e atualizá-lo porque os componentes das armas nucleares se tornam obsoletos e devem ser substituídos. Somos responsáveis pela não proliferação nuclear e por trabalhar em todo o mundo para reduzir a proliferação de material nuclear. E construímos propulsão para submarinos nucleares como um esforço conjunto dentro da Marinha dos EUA.”
O departamento também é responsável por cerca de 70 laboratórios nacionais – como o Lawrence Livermore National Laboratory, o Los Alamos National Laboratory e o Princeton Plasma Physics Laboratory. Eles realizam tudo, desde pesquisa científica básica até pesquisa aplicada e pesquisa classificada. “Eles são”, ela sugere, “o motor da inovação no país e, sem dúvida, no mundo”.
Ademais, o departamento opera a rede elétrica em 35 estados dos EUA e é responsável pelo espectro de radiofrequência necessário para manter a rede – e outras partes do DOE – funcionando.
“Sou responsável por todas essas coisas do ponto de vista de TI, incluindo a parte do setor de energia que o DOE possui e opera. Não sou responsável pelo setor de energia onde o DOE não opera os ativos. A energia do setor privado não é minha responsabilidade, mas sou responsável pela parte que o DOE possui e opera.”
função de segurança cibernética
Parte dessa responsabilidade é a supervisão da segurança cibernética. Isso levanta uma questão fundamental que tem relevância além do DOE: como um especialista em TI adquire experiência em segurança cibernética?
“Cada trabalho que tive nos últimos 13 ou 14 anos como CIO incluiu segurança cibernética”, diz ela. Isso ocorre fundamentalmente porque a segurança se reporta, e ainda o faz em grande parte, à TI. Mas flerta com uma questão recorrente entre os CISOs – um CISO deve se reportar ao CIO?
Muitos CISOs pensam que não e acreditam que há um conflito de interesses inerente e inevitável entre as duas funções. Dunkin descarta isso e sugere que o desempenho e a segurança de TI andam de mãos dadas.
“Os CIOs são os responsáveis finais pelo sucesso ou fracasso dos programas de segurança porque são os responsáveis finais pelo sucesso ou fracasso de TI, OT e IoT em sua organização. Do meu ponto de vista, é extremamente importante para mim ter um parceiro forte no diretor de segurança da informação e que tenhamos um forte programa de segurança cibernética.”
Ela não acredita que haja conflito entre TI e segurança – ao contrário, são dois aspectos de um sistema bem-sucedido. “Na verdade”, acrescenta ela, “o Congresso acredita que essa abordagem é tão importante que determinou no governo federal que os CISOs devem se reportar aos CIOs. Isso é especificamente para garantir que a TI e a segurança estejam sincronizadas e tenham os mesmos drivers para seu desempenho.”
Ela acredita que há mais risco se você pegar a segurança e colocá-la em sua própria parte isolada da organização, potencialmente criando uma situação em que cada um deles terá motivadores e incentivos diferentes.
Dunkin usou o programa atual dentro do DOE para ilustrar a inseparabilidade de TI e segurança. “Há duas coisas que você está tentando realizar na transformação digital, se estiver fazendo certo”, disse ela. “Em primeiro lugar, você está tentando projetar soluções que sejam mais intuitivas, mais fáceis de usar e focadas na experiência do usuário – você não quer simplesmente automatizar o processo de papel e nem mesmo redesenhar. Você não quer pegar o processo atual que pode ou não ser automatizado e pegá-lo e movê-lo porque, em muitos casos, nem sempre é fácil de usar.”
Essa parte da transformação digital quase poderia ser considerada independente de segurança. “Mas, em segundo lugar”, ela acrescenta, “você quer se livrar de um monte de tecnologias e sistemas legados antigos que são difíceis de proteger”. Entre as opções de reconstruir ou automatizar um sistema antigo que não foi automatizado, ou comprar um novo aplicativo ‘de prateleira’, a última costuma ser a melhor solução.
“Essa solução agora é geralmente um serviço em nuvem. E uma das razões pelas quais você compra um serviço de nuvem é porque acredita que o fornecedor pode fazer melhor, mais rápido e mais barato do que você mesmo. Parte de ‘melhor’ é ‘mais seguro’.”
Ela usa a Microsoft e o Google como exemplo. “Ambos provavelmente podem proteger um sistema de e-mail melhor do que eu, porque é sua principal competência. Eles certamente podem administrá-lo melhor do que eu. Então, vou deixá-los fazer isso por mim. E essa transformação de ir de um e-mail local que eu mesmo construí e gerenciei para um serviço deles vai reduzir meu risco de segurança, não aumentá-lo. Embora qualquer nova tecnologia, ou qualquer novo projeto, possa introduzir novos riscos, um dos principais objetivos da transformação digital é reduzir seu risco e reduzir sua exposição.”
Mas a transformação digital não é um exemplo de confiança e reza, mas sim um caso de esperar pelo melhor e se preparar para o pior. Por exemplo, a transformação digital inevitavelmente leva a pelo menos alguma migração para a nuvem. O uso da nuvem leva a uma maior comunicação de máquina ou usuário para máquina, e isso leva a uma maior dependência de APIs.
“APIs são um risco”, ela admitiu. “Mas há riscos em todos os lugares e simplesmente não sabemos o que não sabemos. A nuvem é apenas o data center de outra pessoa. Se eu pegar um aplicativo e colocá-lo na nuvem, não é mais arriscado do que se eu o mantiver em meu próprio data center. As APIs podem apresentar novos riscos, mas elas e os microsserviços oferecem grandes vantagens – elas ajudam você a se livrar de aplicativos monolíticos antigos que têm seus próprios riscos, incluindo a dificuldade de modernizá-los e protegê-los.”
A solução de segurança cibernética, diz ela, é defesa em profundidade, começando pela avaliação do aplicativo. “Temos o Programa Federal de Gerenciamento de Risco e Autorização (FedRAMP). Os fornecedores devem demonstrar que seus produtos são seguros passando por esse processo.” O FedRAMP fornece uma abordagem padrão para avaliação de segurança e autorização de produtos e serviços em nuvem.
Outras camadas de defesa são adicionadas. “Usaremos o MFA sempre que possível. Nem tudo é compatível com o MFA, mas os desafios do MFA estão muito mais relacionados às nossas tecnologias operacionais do que aos aplicativos corporativos e, certamente, aos itens que estamos comprando agora. E nunca vamos assumir que alguém ou alguma coisa é confiável.”
A MFA faz parte do conceito de confiança zero, obrigatório para departamentos governamentais. “Não vou deixar você passar pelo perímetro da minha rede ou entrar na minha nuvem e apenas dizer, tudo bem, corra solto lá. Vou fazer você se autenticar novamente onde quer que vá. E já terei criptografado todos os meus dados. Nunca poderei garantir completamente a segurança contra o desconhecido, contra as vulnerabilidades de dia zero que continuamos a ver. Mas se fizermos todo o possível para proteger os aplicativos por meio de defesa em profundidade, se os colocarmos no ambiente mais moderno e seguro possível e fizermos tudo o que pudermos para autenticar nossos usuários, proteger todos os pontos de entrada e corrigir as vulnerabilidades o mais o mais rápido possível, então estaremos tão seguros quanto pudermos.”
Perguntamos a ela de onde ela achava que essas ameaças desconhecidas poderiam vir e o que ela faz para mitigá-las. A cadeia de suprimentos está no topo da lista e é uma ameaça que afeta a todos.
“Temos um programa de gerenciamento de riscos da cadeia de suprimentos em meu escritório”, disse ela, “e há vários programas em todo o DOE. Compartilhamos informações entre esses programas e estamos desenvolvendo um modelo de centro de excelência para ajudar a coordená-los. É a maneira como já lidamos com inteligência e informações sobre ameaças.”
Parte da mitigação de riscos da cadeia de suprimentos de software vem do uso de SBOMs, embora tenha havido muitas preocupações sobre a eficácia atual deles. Dunkin aponta para a Estratégia Nacional de Segurança Cibernética, que define o tom para a segurança cibernética nas agências governamentais. “Um dos objetivos é transferir a responsabilidade pelas vulnerabilidades para aqueles mais capazes de lidar com elas e para aqueles que são responsáveis por elas. Estamos trabalhando para encorajar nossos fornecedores a seguir as melhores práticas, para proteger seus sistemas e nos fornecer boas informações sobre o que está lá.”
Em outro lugar, ela sente que a maior ameaça não é necessariamente qualquer tipo específico de ataque ou atacante, mas a velocidade dos ataques. “Acho que o maior desafio que vejo é que o tempo entre a descoberta de um dia zero e o tempo em que ele é explorado continua diminuindo, enquanto a escala continua aumentando.”
Muitos comentaristas acreditam que o surto de inteligência artificial nos últimos meses, e especialmente grandes modelos de linguagem e IA generativa, como a usada pelo ChatGPT, aumentará a velocidade e a escala dos ataques adversários. Dunkin não quis entrar em detalhes, mas comentou: “A inteligência artificial ajuda a todos, independentemente de qual lado do jogo eles estão jogando. A inteligência artificial nos ajuda a melhorar e ajuda nossos adversários a melhorar.”
A implicação é clara. Ainda não sabemos como a IA afetará a segurança cibernética, mas sabemos que as melhorias na IA adversária precisarão ser contrabalançadas por melhorias na IA defensiva. A IA defensiva pode precisar se tornar outra camada de defesa em profundidade.