Especialistas em contraterrorismo dizem que é hora de dar às empresas capacidades cibernéticas ofensivas

O governo dos EUA deve substituir as empresas privadas para contra-atacar os ataques cibernéticos, como forma de desencorajar as ameaças generalizadas contra os negócios do país, disse um ex-funcionário do governo. para desenvolver capacidades mais “agressivas” para desencorajar ataques cibernéticos, disse Juan Zarate, ex-vice-assessor de segurança nacional para o contraterrorismo durante o governo do presidente George W. Bush. O governo dos EUA deve considerar permitir que as empresas desenvolvam “recursos de retaguarda personalizados” Zarate disse segunda-feira em um fórum sobre economia e cyberespionage hospedado por think tank o Instituto Hudson. O governo dos EUA poderia emitir cyberwarrants, dando uma licença de empresa privada "para proteger seu sistema, para ir e destruir dados que foram roubados ou talvez até algo mais agressivo", acrescentou.

[Leia mais: Como remover malware do seu Zarate, agora um conselheiro sênior focado em sanções contra o terrorismo na Fundação de Defesa das Democracias, também pediu melhores ferramentas de segurança cibernética, mas sugeriu uma nova maneira de pensar sobre as ferramentas que não só nos coloca na defensiva, mas também na ofensiva. ”

Com grandes novas violações relatadas nos EUA a cada poucos dias, a atual resposta contra ciberataques não está funcionando, disse Zarate e Steven Chabinsky, diretor de risco da empresa de segurança cibernética CrowdStrike. Vários palestrantes do evento Hudson contribuíram para um novo relatório, “Guerra Econômica com Enfoque Cibernético: Um Desafio em Evolução”.

EUA. vulnerabilidades, com mais e mais dispositivos conectados à Internet, estão aumentando ao longo do tempo, não diminuindo, disse Zarate. Enquanto isso, não custa muito dinheiro aos cibercriminosos ou estados-nações desenvolver ataques, disse ele. No lado defensivo, as empresas americanas estão despejando bilhões de dólares em defesas cibernéticas e ainda estão sendo hackeadas, disse Chabinsky. O foco da maioria das empresas na mitigação de vulnerabilidades tem sido uma "tarefa tola", disse ele.

"Economicamente, nós respondemos da pior maneira possível", acrescentou Chabinsky. “Afundamos bilhões de dólares de nosso orçamento no método de sucesso menos provável. Estamos sangrando a nós mesmos com a nossa resposta. ”

Em vez de se concentrar principalmente na correção de vulnerabilidades, as empresas devem se voltar para deter ameaças, incluindo a detecção de ataques e a resposta a elas, disse ele. Tem que haver penalidades para os atacantes, acrescentou Chabinsky. No mundo dos tijolos e argamassa, a maioria das empresas percebe que não pode colocar fechaduras suficientes em suas portas para impedir a entrada de um determinado ladrão, disse ele. Em vez disso, eles instalam sistemas de alarme que alertam a polícia quando alguém interrompe.

O foco na correção de vulnerabilidades é como construir um “muro de 3 metros ao preço de US $ 1 milhão em torno do seu complexo”, acrescentou. “Então, [os criminosos] saem e compram uma escada de 15 pés por US $ 30.”

Outros palestrantes do evento desencorajaram as empresas a contra-atacar os ciberatautas. Com muitos ataques vindos de outras nações, muitas empresas acabarão fora de seu alcance em um conflito cada vez maior, disse Mike Rogers, ex-congressista republicano de Michigan e ex-agente do FBI.

Além disso, a capacidade das empresas de atribuir os atacantes estão "por todo o mapa", disse Rogers. "Alguns podem fazer isso muito bem", disse ele. “Alguns não têm a menor ideia de como fazê-lo, mas isso não os impediria de [responder] de qualquer maneira. Como você contém isso? ”