Nova proposta de cibersegurança da União Europeia visa o cibercrime

Os legisladores estão buscando fortalecer os requisitos de segurança cibernética em toda a União Europeia, avançando em nova legislação para reforçar os requisitos de segurança para todos os produtos digitais de hardware e software. A lei proposta, intitulada Lei de Resiliência Cibernética, cobriria tudo, desde computadores e telefones celulares até utensílios de cozinha inteligentes e brinquedos infantis digitais.

“Quando se trata de segurança cibernética, a Europa é tão forte quanto seu elo mais fraco: seja um Estado-Membro vulnerável ou um produto inseguro ao longo da cadeia de suprimentos”, disse Thierry Breton, comissário da UE para o mercado interno.

A legislação proposta, que foi divulgada pela Comissão Europeia no início deste mês, exige que os produtos sejam projetados, desenvolvidos e produzidos de forma a mitigar os riscos de segurança cibernética. Isso inclui, por exemplo, requisitos para vender produtos em uma configuração padrão segura, manter um sistema completo de identificação de produtos e garantir que vulnerabilidades exploráveis ​​possam ser abordadas por meio de atualizações de segurança, entre outras regras de divulgação de crimes cibernéticos.

Nos últimos anos, o número de dispositivos pessoais conectados à internet cresceu significativamente.

No entanto, muitos desses chamados Internet das Coisas produtos são altamente vulneráveis ​​a hacks e crimes cibernéticos. Na verdade, ataques de ransomware ocorrem em todo o mundo a cada 11 segundos e custaram à economia global cerca de 20 bilhões de euros no ano passado, de acordo com Empreendimentos de segurança cibernética. Enquanto isso, os ataques DDoS – esforços maliciosos para interromper ou cortar o acesso a serviços ou sites da Internet – custam apenas o Economia da UE cerca de € 65 bilhões em 2020.

Na Bélgica, por exemplo, quase 1,000 empresas foram atingidas por crimes cibernéticos em 2021 – um aumento de 300% em relação ao ano anterior, de acordo com um relatório análise da Mastercard. A maioria dos ataques cibernéticos envolveu ataques de malware e ransomware.

“Merecemos nos sentir seguros com os produtos que compramos no mercado único”, disse Margrethe Vestager, vice-presidente executiva da Comissão Europeia para uma Europa adequada à era digital. “A Lei de Resiliência Cibernética garantirá que os objetos e softwares conectados que compramos estejam em conformidade com fortes salvaguardas de segurança cibernética.”

Um funcionário da Unidade de Crimes Digitais da Microsoft mostra um mapa de calor de redes de computadores maliciosos na Europa Ocidental em 2013. Imagem: REUTERS/Jason Redmond

Espera-se também que protocolos de segurança cibernética reforçados ajudem empresas e fabricantes – especialmente empresas menores que podem não ter recursos técnicos ou meios financeiros para sobreviver a um ataque cibernético.

No início deste ano, o Fórum Econômico Mundial Perspectivas globais de segurança cibernética informou que o custo médio de uma violação cibernética para uma empresa foi de US$ 3.6 milhões. Além disso, as empresas visadas viram os preços das ações caírem e gastaram em média 280 dias identificando e respondendo a um ataque cibernético.

“Líderes de tecnologia, empresas e seus conselhos de administração fariam bem em prestar atenção a esses desenvolvimentos e reconhecer que a estratégia cibernética é uma estratégia de negócios e entender o risco cibernético faz parte da boa governança na era digital”, disse Daniel Dobrygowski, chefe de governança e confiança no Centro de Segurança Cibernética do Fórum.

A Lei de Resiliência Cibernética proposta foi bem recebida por grupos do setor, como o TIC Council, uma organização global que abrange os setores independentes de teste, inspeção e certificação. “A proposta constitui um bom primeiro passo para um mercado único cibernético mais resiliente”, disse Martin Michelot, diretor executivo do Conselho TIC para a Europa.

A legislação foi primeiro colocado pela presidente da Comissão Europeia, Ursula von der Leyen, em novembro de 2021. Se o ato for aprovado pelo Parlamento Europeu e pelo Conselho Europeu, os países da UE terão dois anos para adaptar as novas regras.

“A confiança digital é uma necessidade em uma economia global que depende de conectividade cada vez maior, uso de dados e novas tecnologias inovadoras”, disse Akshay Joshi, chefe de indústria e parcerias do Forum's Center for Cybersecurity. “À medida que os cidadãos comuns se tornam cada vez mais cautelosos com as tecnologias com as quais interagem, este regulamento aumentará ainda mais a transparência e permitirá que os usuários finais façam escolhas informadas.”

A Lei de Resiliência Cibernética da UE se junta a várias outras leis propostas em todo o mundo que visam conter o crime cibernético, que custou à economia global € 5.5 trilhões em 2021, de acordo com a Cybersecurity Ventures. Até 2025, danos de crimes cibernéticos deverá ultrapassar os 10 biliões de euros.

No início deste ano, os Estados Unidos promulgou uma nova lei reforçando os requisitos de divulgação de crimes cibernéticos para empresas que trabalham em setores de infraestrutura crítica. A política seguiu um grande ataque de ransomware em maio de 2021 contra a Colonial Pipeline, que opera o maior sistema de gasodutos do país para combustível de aviação, gasolina e diesel. O ataque, que teria sido lançado por meio de uma antiga rede privada virtual corporativa, paralisou oleodutos em toda a costa leste dos EUA e resultou em Gasoduto colonial pagando cerca de US $ 5 milhões em Bitcoin para os hackers. O Departamento de Justiça dos EUA mais tarde recuperou quase metade do pagamento do resgate.

Hoje, o Comissão de Valores Mobiliários e Câmbio dos EUA e os votos de Congresso dos EUA também estão buscando novas regulamentações para fortalecer e padronizar as referências de segurança cibernética e os requisitos de divulgação de crimes cibernéticos.

“A regulamentação tem um papel importante a desempenhar no incentivo à resiliência cibernética”, acrescentou Dobrygowski.