Quando Anne Neuberger assumiu a função recém-criada de conselheira adjunta de segurança nacional para tecnologias cibernéticas e emergentes no Conselho de Segurança Nacional da Casa Branca, no início da administração Biden, ela já era uma das veteranas cibernéticas mais experientes do governo.
Neuberger passou uma década na Agência de Segurança Nacional, atuando como primeiro diretor de risco e, em seguida, vice-diretor de operações, e depois liderando a recém-criada diretoria de segurança cibernética. Poucas semanas depois de ela ter começado na Casa Branca, o incidente do ransomware Colonial Pipeline em maio de 2021 realinhou para sempre o foco do governo dos EUA nos atores criminosos online. Nos quase três anos desde então, o seu gabinete no Conselho de Segurança Nacional ajudou a impulsionar tanto a importante ordem executiva da administração Biden sobre segurança cibernética como a sua recente ordem executiva sobre inteligência artificial.
Antes de sua viagem na semana passada para a Conferência de Segurança de Munique, Neuberger conversou com a WIRED sobre as questões tecnológicas emergentes que são as mais lembradas em seu escritório hoje, desde as necessidades de banda larga dos tratores John Deere até como o ataque do Hamas em Israel identificou o novo ameaça à segurança representada pelas câmeras de trânsito, às preocupações de segurança sobre patches de software para veículos autônomos, aos avanços nas ameaças da IA, à pressão por criptografia resistente a quantum e aos próximos passos na luta contra ataques de ransomware. Esta entrevista foi levemente editada para maior extensão e clareza.
WIRED: Muitas vezes perguntam às pessoas em seu tipo de trabalho: “O que mantém você acordado à noite?” Quero perguntar o contrário: me conta uma coisa que está fazendo você dormir melhor hoje em dia? Qual problema ou ameaça com o qual você estava mais preocupado anteriormente e que hoje está menos preocupado? O que está melhorando?
Ana Neuberger: Deixe-me dar três porque felizmente há mais de um.
Primeiro, há muito que nos preocupamos com ataques cibernéticos disruptivos contra infraestruturas críticas. Historicamente, temos contado com parcerias voluntárias de partilha de informações entre o governo e as empresas porque os oleodutos, as centrais eléctricas e os bancos são propriedade e operados pelo sector privado. Mas estas parcerias não alcançaram resultados – melhorias na segurança cibernética – na escala e velocidade de que necessitamos. O ataque cibernético ao Oleoduto Colonial, que fez com que o principal oleoduto da Costa Leste dos EUA ficasse offline durante seis dias, mostrou quanta mudança era necessária. Com o apoio do presidente, adoptámos uma nova abordagem: interpretar as regras de segurança existentes para serem aplicadas à segurança cibernética, o que dá aos reguladores a capacidade de agir. Hoje, isso está a gerar grandes melhorias na segurança cibernética nos oleodutos, aeroportos, companhias aéreas, ferrovias e sistemas energéticos do país.
Há dois anos, começámos com pipelines, convidando CEOs de todo o país para briefings de inteligência sensíveis na Casa Branca, seguidos de um apelo à acção. Avançando para hoje: tenho um gráfico, fornecido pelo DHS e TSA [the US Department of Homeland Security and the Transportation Security Administration], que rastreia 97 pipelines críticos no país e onde cada um deles está fazendo avaliações de segurança cibernética e fazendo melhorias exigidas pela TSA. Vemos que este modelo – e o trabalho de perto que ele impulsiona com as empresas – consegue mudanças no terreno. Estamos trabalhando com reguladores e empresas para dimensionar isso para todos os setores de infraestrutura crítica.
Esse processo está em diversas formas de maturidade para diferentes setores. Baseia-se no que o DHS/CISA [the US Cybersecurity and Infrastructure Security Agency] está fazendo na comunicação sobre vulnerabilidades e mitigações de segurança cibernética, envolvendo reguladores para que possam garantir que estamos obtendo impactos no terreno. Os requisitos de cibersegurança são adaptados a um setor específico – os sistemas hídricos são diferentes dos sistemas de sinalização ferroviária – mas algumas das práticas básicas são as mesmas. Você não deveria ter um sistema em escala operacional conectado à Internet com uma senha padrão.
É uma mudança em toda a nossa abordagem e conseguimos fazê-lo utilizando os reguladores existentes. Não estamos a tratar a cibersegurança como algo isolado, mas estamos a aproveitar a experiência em sistemas e a combiná-la com as ações de fiscalização. É um trabalho em progresso. Quero que seja mais rápido e melhor. Há educação que precisamos de fazer – especialmente no Capitólio, para que os supervisores compreendam que também é preciso financiar a parte de aplicação da lei para realmente alcançarmos os resultados que pretendemos.
Então isso é algo em que a mudança foi boa e um progresso marcado. A segunda área que está a melhorar é “seguir o dinheiro” para combater o branqueamento de capitais através de criptomoedas, o que alimenta ataques cibernéticos por parte de países, nomeadamente da RPDC. [North Korea]e criminosos, principalmente ransomware. Após o 11 de Setembro, a comunidade de inteligência e o Departamento do Tesouro perceberam que havia todo um movimento de fundos no sistema hawala que estava a contornar o combate global ao branqueamento de capitais. Com o tempo, construímos – na medida do possível – controles. Estamos fazendo o mesmo com a criptomoeda, trabalhando com países e instituições financeiras em todo o mundo.
Isso incluiu o estabelecimento de uma célula de segmentação de criptomoedas no FBI com representantes de todo o governo dos EUA, equipando-os com ferramentas e capacidades analíticas; inclui a construção de relacionamentos próximos com VASPs [virtual asset service providers], empresas de análise de blockchain e outras, bem como novas parcerias internacionais, nomeadamente com a Coreia do Sul e o Japão. É pessoal para eles, dado que a RPDC roubou milhares de milhões de dólares em criptomoedas através de hackers e usou isso para alimentar o seu programa de mísseis. A RPDC lançou mísseis cada vez mais sofisticados em 2023 do que em qualquer ano anterior, e os hacks criptográficos estão a financiar isso. Ainda é um trabalho em andamento, mas todos estão energizados, com novos rolodexes, ferramentas e urgência. Quando ocorreram hacks recentes, havia agentes do FBI trabalhando durante a noite para receber dicas, a comunidade de inteligência tinha os relacionamentos necessários e sabíamos que, se precisássemos da ajuda de um governo estrangeiro, poderíamos atender o telefone. Em termos de KYC e AML [know-your-customer and anti-money-laundering] implementação para criptomoeda, o Tesouro oferece treinamento, ajudando os países a implementar isso também.
Então esse é o segundo. A última que gostaria de apontar no espaço internacional é a Iniciativa Contra Ransomware, que acaba de mudar totalmente a cooperação internacional em segurança cibernética: Cinquenta e seis países trabalham juntos desde que a Casa Branca a lançou em outubro de 2021. Acabamos de lançar uma plataforma onde eles podem colaborar no compartilhamento de TTPs [tactics, techniques, and procedures] e solicitar suporte durante um ataque de ransomware. O CRI fez a sua primeira declaração política anunciando que os governos não pagarão resgates. É uma parceria operacional e política de uma forma que nunca havíamos experimentado na cooperação cibernética internacional. Concentramo-nos muito intencionalmente no cibercrime, porque se dissermos: “Estamos a combater a actividade chinesa”, “Estamos a combater a actividade iraniana”, “Estamos a combater a actividade russa”, alguns países hesitam. Em vez disso, nos concentramos no crime cibernético. Todo mundo sabe silenciosamente onde muitos deles estão abrigados. Construímos as parcerias políticas operacionais e coordenamos o desenvolvimento de capacidades de que precisávamos desesperadamente no espaço internacional.
Houve o anúncio de 31 de outubro de cerca de 40 países que dizia: “Não vamos pagar resgate”. Você está vendo algum efeito disso em termos de ataques ou operadores de ameaças?
É sempre difícil vincular X a Y. Tem sido inspirador observar a minha equipe trabalhando país por país para obter aprovação, porque isso nos mostrou as lacunas nos países ciber-ricos e ciberpobres e como podemos ser úteis para outros países no combate ao crime cibernético, que está impactando empresas e pessoas ao redor do mundo. Fizemos várias rodadas de aulas de análise de blockchain. Quando os países compareceram para a reunião de dois dias da Iniciativa Contra Ransomware, no terceiro dia, fizemos um workshop voluntário de meio dia sobre análise de blockchain e depois um workshop de meio dia sobre análise forense digital. Os países que você esperaria ficaram – praticamente todos da América Latina, da África, de grandes partes da Ásia e até mesmo de alguns países europeus. Tem sido profundamente gratificante ver o impacto que podemos ter dessa forma
Entre um alerta recente sobre o Irão ter como alvo os sistemas de água dos EUA e o director da Avaliação Anual de Ameaças a nível mundial da inteligência nacional mencionar especificamente a China como alvo das infra-estruturas de petróleo e gás dos EUA, a administração parece estar a fazer uma escolha para ser mais franca sobre penetrações em infra-estruturas críticas. Qual é a estratégia por trás da decisão de tornar esses comentários mais públicos do que foram feitos no passado?
Nossa estratégia tem dois objetivos. Primeiro, essas declarações são sempre acompanhadas de conselhos práticos de segurança cibernética – aqui estão as coisas que você precisa fazer para estar seguro. E combinar isso com um apelo à ação por parte das empresas de infraestruturas críticas, das empresas de segurança cibernética. Dada a escala dos serviços críticos nos EUA, esta é uma boa forma de transmitir a mensagem. Quero salientar a profunda parceria entre a CISA, o FBI, a NSA e vários serviços de inteligência estrangeiros que produziram estes produtos.
Estes anúncios também nos ajudam a construir as nossas parcerias internacionais no domínio cibernético, porque a China tem como alvo vários dos nossos principais aliados e parceiros na região do Indo-Pacífico. Como parte da divulgação dessas informações, também realizamos briefings privados através das nossas estreitas parcerias bilaterais com o Japão, Taiwan e Coreia do Sul. Este conselho também funciona para eles e nós o compartilhamos dessa forma.
Paralelamente, como parte de uma abordagem mais ampla, comunicamos aos chineses – o comunicado do presidente, [national security advisor] Jake [Sullivan] comunicou, secretário [Antony] Blinken comunicou – que consideraríamos qualquer atividade cibernética perturbadora contra infraestruturas críticas como uma escalada e, ao contrário do que se poderia esperar – que nos absteríamos de nos envolver em áreas que acreditamos serem prioridades nacionais – em vez disso, trataríamos isso como uma escalada e responderíamos de acordo. Isso também faz parte da mensagem: dizer: “Nós sabemos disso. Sim, estamos a envolver a nossa comunidade defensiva para dizer que este é um apelo à ação para trancar as suas portas digitais, mas também como parte da nossa transmissão à China, levamos isto a sério.”
As forças dos EUA envolveram-se com rebeldes Houthi apoiados pelo Irão no Médio Oriente, na sequência dos ataques a navios no Mar Vermelho, do ataque de drones na Jordânia que matou três militares dos EUA e dos ataques aéreos retaliatórios dos EUA contra alvos do Corpo da Guarda Revolucionária Islâmica. Você está vendo novas atividades do Irã que o preocupam?
Os ataques iranianos aos sistemas de água cessaram depois que fomos a público e dissemos: “Este é o governo iraniano, não ‘hacktivistas’” e também emitimos as diretrizes para dizer: “Pessoal, vocês precisam tornar isso mais difícil. Seriamente? Senhas padrão 1111 em sistemas que protegem a água dos americanos?” Não vimos mais atividades cibernéticas iranianas contra os EUA. Certamente já vimos isso contra outros países da região, mas não contra os EUA. Mas sabemos que isso pode mudar a qualquer momento.
Na sequência do ataque do Hamas em Israel, em 7 de Outubro, e do desenrolar do conflito no Médio Oriente, como é que qualquer uma dessas actividades no espaço físico cinético mudou a sua maneira de pensar em torno do ciberespaço?
Tanto a invasão da Ucrânia pela Rússia como os ataques do Hamas contra Israel, bem como a actividade cibernética iraniana, mostraram que a cibersegurança faz parte de todos os conflitos actuais. Isso inclui ambas as formas criativas de espionagem: a Rússia tem como alvo as câmaras de rua ucranianas como parte dos seus ataques com drones, e o Hezbollah tem como alvo as câmaras rodoviárias para monitorizar os movimentos logísticos. Há tantos dispositivos conectados em nossas casas, ruas e cidades que isso ressalta o quão longe estamos da segurança cibernética que costumávamos pensar. Não pensávamos necessariamente nas câmeras de trânsito como uma infraestrutura de segurança nacional. A realidade é que se você tiver câmeras de trânsito perto de suas fronteiras – ou perto de seus pontos logísticos de defesa – elas são uma oportunidade de coleta. Tê-los seguros precisa ser uma prioridade de segurança nacional.
Eu observaria que é aí que entra o programa Cyber Trust Mark, à medida que tentamos dimensionar o número de dispositivos da Internet das Coisas de uma forma gerenciável. Esse programa é realmente um dos nossos esforços mais importantes, especialmente à medida que implementamos acordos com outros países, como acabamos de fazer com a UE, para torná-lo um mercado tão grande quanto possível.
Mais uma coisa que vimos é o compromisso entre espionagem e efeitos – o que não aconteceu com os serviços de inteligência que esperávamos lançar actividade cibernética ofensiva intensiva. Ao olharmos para isso, dissemos: “Bem, a espionagem dessas mesmas plataformas pode ter foram tão valiosos que não valia a pena derrubá-los.” Era mais importante coletar isso.
Vamos mudar de assunto e falar sobre o panorama geral e alguns desafios emergentes. Seu gabinete teve um papel importante na definição da ordem executiva do governo Biden sobre IA. No que as pessoas deveriam prestar atenção lá?
Então, primeiro, o panorama geral: a IA é um caso clássico em que vemos promessa e perigo ao mesmo tempo. Nosso trabalho é descobrir como realmente aproveitar a IA para o bem da sociedade, para fins de segurança nacional, ao mesmo tempo em que abordamos realmente os riscos desde o início, para que os americanos se sintam seguros com o que estamos fazendo.
Deixe-me falar sobre três exemplos. Se você olhar para o espaço educacional, as universidades estão super preocupadas com os alunos que usam o ChatGPT para escrever suas redações e não aprender. Por outro lado, você pensa em salas de aula com 30 crianças, cada uma aprendendo de maneira diferente – eu olho para meus dois filhos e cada um tem um estilo de aprendizagem diferente – então a oportunidade para os professores usarem a IA para personalizar a aprendizagem com base em estilos de aprendizagem é tão grande. tentador. Temos que descobrir como fazer as duas coisas – para que possamos usá-lo e também proteger as crianças nesse espaço.
Na área de clonagem de voz – outro bom exemplo do lado da promessa – meu marido e eu estamos envolvidos em uma instituição de caridade que faz “banco de voz” para indivíduos que sofrem de ELA, para que quando eles perderem a capacidade de falar e estiverem apenas se comunicando piscando ou batendo a cabeça, suas famílias podem ter essas ações traduzidas em voz. Dá a essas famílias a oportunidade de sentir que esta é uma pessoa viva, que o seu familiar ainda está lá.
Por outro lado, você viu a voz falsa do presidente Biden em New Hampshire. Vimos as falsificações da IA da Taylor Swift inundarem as redes sociais – esse é um tipo diferente de deepfake. Na verdade, temos outro esforço que estamos analisando sobre imagens íntimas não consensuais e potencialmente solicitando alguns compromissos voluntários, mas deixarei isso de lado por enquanto.
Organizámos aqui uma reunião de clonagem de voz na semana passada, reunindo as principais empresas de telecomunicações, os principais investigadores, os investigadores académicos da área – como Hany Farid, de Berkeley – bem como a FCC e a FTC. A FCC está engajada nisso. A FTC lançou um desafio – obteve 85 respostas para falar sobre o que poderia ser possível no espaço. Surgiram algumas ideias muito legais, com base na história que a indústria de telecomunicações fez para direcionar chamadas de spam.
E, em terceiro lugar, na área da segurança cibernética, existe o potencial de utilizar modelos de IA para ajudar os indivíduos a escrever códigos mais seguros. Acho que vimos que cerca de 46% do código no GitHub agora é gerado por IA. Agora, se isso foi treinado no código existente, isso é uma mistura. Se for treinado em código que sabemos ser mais seguro, bem como em algum malware para identificá-lo, acho que isso poderia ser uma mudança brusca na geração de código mais seguro que sustenta nossa economia. Por outro lado, você tem modelos treinados para encontrar vulnerabilidades. Há prós e contras neles.
Já estamos vendo atores malignos usarem IA para criar malware mais rapidamente. É por isso que coisas como o nosso Darpa AI Cyber Challenge para impulsionar as defesas orientadas pela IA, ou o esforço CASTLE na Darpa para impulsionar os agentes autônomos da IA, são tão necessários, para tentar ficar um passo à frente.
Qual você acha que é a parte mais importante da ordem executiva de IA à qual as pessoas não estão prestando atenção, em termos de seu trabalho?
Eu diria as avaliações de risco que temos para reguladores de infraestruturas críticas, em relação ao risco delta em infraestruturas críticas resultante da implantação de modelos de IA. Assim, por exemplo, em termos de optimização do tráfego ferroviário ou em termos de optimização da cloração dos sistemas de água – pode haver modelos que sejam treinados para determinar o que é óptimo após chuvas fortes, o que é óptimo em diferentes estações onde as pessoas têm constipações ou o que quer que seja – e garantir que, antes que esses modelos possam ser implantados, existam padrões para os dados nos quais eles são treinados, padrões para equipes vermelhas, etc. Acho que essa é uma forma super importante de aplicar as lições que aprendemos em segurança cibernética.
O facto de em 2023 estarmos a implementar pela primeira vez práticas mínimas obrigatórias de segurança cibernética em infraestruturas críticas – somos um dos últimos países a fazer isso.
Construir a equipe vermelha, os testes e o envolvimento humano antes que esses modelos sejam implantados é uma lição fundamental aprendida com a segurança cibernética que queremos implementar no espaço de IA.
Na ordem executiva da IA, os reguladores foram incumbidos de determinar onde as suas regulamentações existentes – digamos, de segurança – já contabilizam os riscos em torno da IA, e onde existem deltas? Essas primeiras avaliações de risco chegaram e vamos usá-las para informar o trabalho do Hill e também para pensar em como incluí-las nas mesmas práticas mínimas de segurança cibernética que acabamos de falar e que os reguladores estão fazendo.
Onde você está começando a ver os agentes de ameaças realmente usarem IA em ataques aos EUA? Existem lugares onde você vê essa tecnologia já sendo implantada por agentes de ameaças?
Mencionamos clonagem de voz e deepfakes. Podemos dizer que estamos vendo alguns atores criminosos – ou alguns países – fazendo experiências. Você viu o FraudGPT que aparentemente promove casos de uso criminoso. Isso é tudo que podemos dizer que estamos lançando agora.
Você tem estado mais envolvido recentemente com veículos autônomos. O que atraiu seu interesse por lá?
Há toda uma série de riscos que temos que analisar, os dados que são coletados, patches – patches em massa, deveríamos ter verificações para garantir que eles estão seguros antes que milhões de carros recebam um patch de software? A administração está a trabalhar num esforço que provavelmente incluirá alguns pedidos de contribuições e também uma avaliação da necessidade de novas normas. Então, parece-nos muito provável que, no curto prazo, elaboremos um plano para testar esses padrões, idealmente em parceria com os nossos aliados europeus. Isso é algo que nos preocupa e é outro exemplo de “Vamos nos adiantar”.
Você já vê grandes quantidades de dados sendo coletados com AVs. Vimos alguns estados, por exemplo, que aprovaram modelos de carros chineses para circular e colecionar. Estamos analisando isso e pensando: “Espere um segundo, talvez antes de permitirmos esse tipo de coleta de dados que pode potencialmente ocorrer em torno de bases militares, em torno de locais sensíveis, queremos realmente analisar isso com mais cuidado. ” Estamos interessados tanto na perspectiva de quais dados estão sendo coletados, quanto nos sentimos confortáveis em serem coletados, bem como quais novos padrões são necessários para garantir que os carros americanos e os carros fabricados no exterior sejam construídos com segurança. Os carros costumavam ser hardware e passaram a incluir uma grande quantidade de software, e precisamos reiniciar a forma como pensamos sobre segurança e proteção a longo prazo.
Você também tem trabalhado muito no espectro – você teve uma grande reunião sobre os padrões 6G no ano passado. Onde você vê esse trabalho indo e quais são os próximos passos?
Primeiro, eu diria que há uma parte doméstica e uma parte internacional. Isso vem de uma crença fundamental de que as telecomunicações sem fio são fundamentais para o nosso crescimento econômico – é tanto a fabricação de robótica em uma fábrica inteligente, e então fui à CES e a John Deere estava mostrando seus tratores inteligentes, onde eles usam conectividade para ajustar a irrigação com base sobre o clima. No plenário da CES, eles observaram que a integração da IA na agricultura exige mudanças nas políticas dos EUA sobre o espectro. Eu disse: “Não entendo, o plano de banda larga da América é implantado em áreas rurais”. Ele disse: “Sim, você está implantando na fazenda, mas há hectares e mais hectares de campos que não têm conectividade. Como vamos fazer essas coisas? Eu não esperava receber um sinal de espectro ali, no chão, falando sobre tratores. Mas mostra como isso é fundamental para o que queremos fazer: esta enorme promessa de drones monitorando a infraestrutura elétrica após tempestades e determinando que as linhas estão desligadas para tornar a manutenção muito mais eficiente, tudo isso precisa de conectividade.
Nosso espectro está congestionado e contestado. A maior parte do espectro mais utilizável é usada. O maior usuário é o governo dos EUA, Departamento de Defesa. E isso acontece historicamente porque temos muitas plataformas – pense na defesa contra mísseis balísticos, pense no treinamento, e também no futuro da conectividade por satélite. Portanto, a Estratégia Nacional do Espectro dizia que precisamos de uma abordagem estratégica ao espectro, tanto porque a segurança nacional da comunidade militar depende realmente da inovação, como porque precisamos que as empresas sejam capazes de inovar no espaço, desde o Starbucks Wi-Fi até ao espectro massivo. leilões.
Precisamos de uma abordagem estratégica. É complicado porque a escala de utilização do espectro é fascinante. Você se lembra que há um ano, no Natal, houve uma briga entre a indústria aérea e a indústria de telecomunicações em relação ao 5G. Uma parte que você deve ter visto na Estratégia Nacional do Espectro foi um memorando presidencial sobre como resolveremos essas disputas daqui para frente – porque ninguém quer que um americano ao entrar em um avião se sinta inseguro. A Casa Branca irá agora gerir diretamente essas disputas. Passamos grande parte do nosso tempo reunindo agências para dizer que estas são questões genuinamente difíceis, são muito técnicas, precisamos resolvê-las juntos, porque isso é fundamental não apenas para a nossa inovação, mas para a nossa liderança global.
Não foi coincidência que a Estratégia Nacional do Espectro tenha sido lançada imediatamente antes da Conferência Mundial de Rádios da ONU. Foi intencional porque íamos apresentar a nossa estratégia nesta conferência internacional que ocorre uma vez em quatro anos, e os países podem unir-se em torno dela, porque, no final das contas, os maiores mercados são aqueles que definem as abordagens corretas. Quando nós e a China entramos, os países que estão alinhados connosco dizem: “Sim, estamos na faixa para a qual vamos construir as nossas empresas”.
A questão internacional é que a administração Trump realmente iniciou esta resistência ao 5G. O grande desafio que tivemos com a nossa estratégia foi que não tínhamos alternativa [to China’s 5G standards]. Poderíamos entrar e dizer: “Olha, Huawei: riscos reais para a segurança nacional, roubo da propriedade intelectual da sua empresa, roubo dos segredos da sua nação”. E muitos países olharam para nós e disseram: “OK, mas são 30% mais baratos – o que vão fazer?” Demos um grande impulso na nossa parceria com a Índia porque a Índia, a China e nós somos os três maiores mercados de telecomunicações, e a Índia tem uma enorme inovação em telecomunicações. Eles fizeram grandes lançamentos de 5G. Dissemos que se os EUA e a Índia estiverem alinhados numa abordagem estratégica, impulsionaremos o mercado global. Podemos impulsionar a inovação global. É por isso que lançámos dois grupos de trabalho – um é realmente de governo para governo com as nossas telecomunicações, e outro está focado no 6G porque queríamos entrar diretamente no trabalho de padrões e fazer isso juntos. Estamos inovando juntos nesse espaço.
De acordo com a Lei CHIPs, o Departamento de Comércio anunciou um fundo de inovação aberta de US$ 1,5 bilhão. Uma das razões pelas quais estamos dando um grande impulso ao 5G baseado em padrões abertos é porque ele permite players mais diversificados. O comércio acaba de conceder um prêmio significativo por realizar testes de interoperabilidade transparentes e em grande escala, permitindo que empresas de telecomunicações de todo o mundo testem diferentes tipos de equipamentos. Isso realmente traz as empresas americanas para o terreno e traz inovação para as telecomunicações, que historicamente tem sido um setor que carece dela. A infraestrutura digital é fundamental para a força económica dos nossos aliados.
Por último, você também tem trabalhado em questões quânticas. O que você está pensando aí?
Estamos pensando muito sobre o lançamento da criptografia pós-quântica nos EUA. As atualizações de criptografia levam uma década para acontecer. O NIST emitirá o padrão final de seu conjunto de padrões nesta primavera. O NSM do presidente [National Security Memorandum] O número 10 anunciou que o governo dos EUA está começando com nossos inventários criptográficos, estamos iniciando esse movimento nesse empurrão. E já começámos a transição para sistemas de armas e informações de segurança nacional. Agora estamos a trabalhar em estreita colaboração com aliados em todo o mundo, inovando essencialmente na área quântica e também dizendo que temos de começar esta migração, porque, no final das contas, a criptografia sustenta toda a segurança cibernética. Planeamos reunir empresas importantes na Casa Branca nas próximas semanas para discutir o nosso plano de transição nacional.
Qual é o próximo passo para que os padrões de infraestrutura crítica funcionem?
Em breve você verá uma ordem executiva sendo emitida dando à Guarda Costeira autoridade para definir regras de segurança cibernética regras para os portos, além das regras físicas para os portos. Já foi assinado, essencialmente, mas queríamos emitir o edital de regulamentação pública, então está tudo realmente pronto para funcionar. Veremos isso nas próximas duas a três semanas. HHS [US Department of Health and Human Services]—Medicare e Medicaid têm o que é chamado de “condições de participação” para hospitais. Essencialmente, estabelece regras para dizer se o sangue derramar no chão, com que rapidez ele deve ser limpo? Com que rapidez uma enfermeira deve responder a uma chamada? Eles nunca tiveram regras de segurança cibernética. Agora vão divulgar as primeiras “condições de participação” para regras de segurança cibernética para hospitais. Foram realmente dois anos de trabalho para chegar lá.
Acredito que esses repetidos ataques de ransomware em grande escala contra hospitais realmente fizeram o setor perceber que tem um problema. Temos feito muita divulgação com a American Hospital Association, com o HHS, para usar as autoridades que temos, mas de uma forma que muda o jogo. Temos que fazer isso com cuidado e consideração. E depois há um conjunto de sectores – essencialmente sectores CISA – onde não temos autoridades para mandato, e então precisamos de ir ao Congresso para obter essas autoridades. É aí que você verá esse trabalho chegando. Por exemplo, 911. Acredite ou não, é um lugar onde a capacidade de ordenar é muito necessária.
Teste Agora! 
