Casa Branca quer reforçar defesa digital e reduzir regras para empresas

A Casa Branca apresentou uma nova Estratégia Nacional de Cibersegurança, delineando as prioridades da administração de Donald Trump para reforçar a segurança digital dos Estados Unidos até ao final do mandato. O documento, com apenas quatro páginas, destaca uma abordagem mais ofensiva contra ciberameaças e propõe também reduzir o peso da regulação sobre empresas e infraestruturas críticas.

Entre as principais medidas está o compromisso de intensificar operações cibernéticas ofensivas contra redes criminosas e governos adversários. A estratégia prevê desmantelar infraestruturas de cibercriminosos, sancionar empresas estrangeiras envolvidas em atividades ilícitas e expor campanhas de espionagem digital e operações de influência online.

Sean Cairncross, Diretor Nacional de Cibersegurança dos EUA, reforçou esta abordagem durante o USTelecom Cybersecurity Innovation Forum, afirmando que o país pretende “impor custos” aos adversários no ciberespaço. Segundo o responsável, tanto estados hostis como cibercriminosos “vão sentir cada vez mais as consequências das suas ações”.

Apesar destas metas, o documento gerou críticas no Congresso norte-americano por apresentar poucos detalhes operacionais. A estratégia anterior, divulgada em 2023 pela administração Biden, tinha mais de 30 páginas e incluía planos de implementação detalhados.

O congressista Bennie Thompson, membro do Comité de Segurança Interna da Câmara dos Representantes, citado pelo The Record, criticou o documento, classificando-o como “surpreendentemente pobre em conteúdo”. Segundo o legislador, o plano apresenta sobretudo declarações genéricas e carece de um roteiro concreto para alcançar os objetivos definidos.

Entre as medidas anunciadas está também o lançamento de programas-piloto para reforçar a defesa das redes federais e acelerar a adoção de novas tecnologias de cibersegurança em diferentes agências governamentais. A estratégia prevê igualmente criar incentivos para que empresas privadas ajudem a identificar e neutralizar redes adversárias em cooperação com o governo.

Outro eixo central da nova estratégia é a redução de requisitos regulatórios considerados excessivos, com o objetivo de facilitar a inovação e a resposta a incidentes de segurança. A administração indicou que pretende rever regras como a obrigação de empresas cotadas divulgarem a ocorrência de um ciberataque num prazo de quatro dias, bem como a futura legislação de reporte de incidentes em infraestruturas críticas.

Segundo o Diretor Nacional de Cibersegurança dos EUA, o objetivo não é transformar a cibersegurança num exercício de conformidade burocrática, mas criar um modelo de cooperação entre o governo e a indústria para responder a ameaças externas.

Apesar da intenção de aliviar obrigações regulatórias, o governo espera que o setor privado eleve a cibersegurança ao nível estratégico das empresas, envolvendo diretamente conselhos de administração e equipas executivas.

A estratégia inclui ainda planos para reforçar a segurança das infraestruturas críticas, muitas delas geridas por entidades privadas, incentivar a utilização de tecnologias norte-americanas em detrimento de fornecedores considerados adversários e investir em criptografia pós-quântica e soluções de cibersegurança baseadas em Inteligência Artificial (IA).

Outro foco do plano é a proteção do ecossistema tecnológico da IA, incluindo modelos de inteligência artificial e centros de dados. Embora o documento não detalhe medidas concretas, responsáveis governamentais sugeriram a adoção de princípios semelhantes à abordagem “secure-by-design”, que procura integrar requisitos de segurança desde a conceção de sistemas de IA.

Por fim, a administração anunciou a criação de um programa interagências para reforçar a formação de profissionais de cibersegurança, incluindo um acelerador de academias especializadas que pretende reunir iniciativas governamentais existentes e atrair investimento privado para expandir a formação de talento na área. Está ainda previsto um documento adicional com medidas de implementação e financiamento, embora ainda não exista uma data definida para a sua publicação.