Pesquisa de site

O que é a Lei de Investimentos e Empregos em Infraestrutura (IIJA)?

Em novembro de 2021, o presidente Joe Biden assinou a Lei de Investimentos e Empregos em Infraestrutura (IIJA), que autoriza um plano para investir US$1,2 trilhão na infraestrutura do país. Este projeto de infraestrutura bipartidário planeja reforçar os setores de transporte, energia, água, serviços públicos e governos estaduais e locais.

Uma disposição importante dentro do IIJA é a alocação de US$2 bilhões para melhorar a segurança cibernética das organizações governamentais. Dado o investimento atualmente limitado em segurança cibernética na América, o IIJA é um grande passo à frente na aplicação das defesas cibernéticas do país.

Por que o IIJA é importante para a segurança cibernética?

Apesar de representar apenas uma fração do orçamento de US$1,2 trilhão, os US$2 bilhões em financiamento federal representam o maior investimento em segurança cibernética da história dos Estados Unidos. Juntamente com muitas outras leis de segurança cibernética aprovadas nos últimos anos, o IIJA é o primeiro de muitos passos para proteger as defesas cibernéticas gerais do país.

O objetivo do IIJA é incentivar todos os governos locais e estaduais a implementar fortes infraestruturas de segurança, independentemente de receberem financiamento. Como o financiamento é condicional, os candidatos a subsídios têm mais motivos para criar e desenvolver o melhor plano para receber o dinheiro do subsídio.

Mais importante, o presidente Biden e a Casa Branca esperam que o IIJA possa elevar o nível de segurança cibernética no setor privado. Todos os anos, ocorrem quantidades recordes de ataques cibernéticos que afetam empresas privadas, incluindo grandes empresas como Facebook, LinkedIn, JP Morgan Chase e Microsoft.

O IIJA certamente não será o último programa de subsídios para obter financiamento de segurança cibernética. Ao estabelecer a importância da segurança de dados e informações com este projeto de lei, espera-se que as organizações públicas e privadas comecem a lutar contra as crescentes ameaças de ataques cibernéticos.

Quem recebe financiamento do IIJA?

Neste momento, as dotações de segurança cibernética do IIJA são alocadas apenas para agências federais. Aqui está um detalhamento dos US$2 bilhões alocados para defesa de segurança cibernética:

  • US$1 bilhão para subsídios para melhorar a segurança cibernética de entidades governamentais estaduais e locais (incluindo escolas, hospitais, parques, etc.) até 2025. As dotações por ano fiscal são as seguintes: US$200 milhões em 2022, US$400 milhões em 2023, US$300 milhões em 2024 e US$100 milhões em 2025.
  • US$250 milhões para o Programa de Assistência Técnica e Subsídio Avançado de Segurança Cibernética de Serviços Públicos Rurais e Municipais para apoiar serviços públicos e outras entidades elegíveis em cidades ou vilarejos menores
  • US$250 milhões para desenvolver "aplicativos e tecnologias avançadas de segurança cibernética para o setor de energia"
  • US$20 milhões a cada ano fiscal de 2022 a 2028 para criar um Fundo de Resposta e Recuperação Cibernética para ajudar organizações públicas e privadas a responder a incidentes cibernéticos
  • US$157,5 milhões para a Diretoria de Ciência e Tecnologia do Departamento de Segurança Interna (DHS-S&T) para construir "pesquisa, desenvolvimento, teste e avaliação de segurança e resiliência de infraestrutura crítica"
  • US$35 milhões para a Agência de Segurança Cibernética e Infraestrutura (CISA) para "operações de gerenciamento de risco e engajamento e requisitos das partes interessadas"
  • US$21 milhões para o Escritório do Diretor Nacional de Cibersegurança (ONCD).

Principais conclusões do IIJA

  • Para receber uma parte do US$1 bilhão disponível para governos estaduais e locais, todos os candidatos devem criar um plano detalhado de segurança cibernética e enviá-lo às autoridades federais para aprovação. Os planos devem delinear medidas de controle de segurança, testes de vulnerabilidade, avaliações de ameaças e práticas de prevenção de ataques descritas na estrutura do NIST. Qualquer financiamento recebido pelos governos estaduais e locais deve ser igualado pelos próprios governos, com um limite máximo para a participação federal no investimento.
  • O Secretário de Energia tem a tarefa de desenvolver uma Parceria Público-Privada, uma parceria entre as concessionárias de energia elétrica e as organizações de confiabilidade elétrica. A Parceria Público-Privada ajudará as concessionárias com autoavaliações de possíveis ameaças cibernéticas, treinamento de segurança, assistência técnica e compartilhamento das melhores práticas de segurança e coleta de dados.
  • O Secretário de Energia também deve criar um Programa Energy Cyber Sense para lidar com os riscos de segurança cibernética da cadeia de suprimentos. O programa deve estabelecer processos de relatórios de vulnerabilidades de segurança cibernética e um banco de dados relacionado, bem como fornecer assistência tecnológica a concessionárias de energia elétrica, fabricantes de produtos e outras partes interessadas do setor de energia para desenvolver soluções de mitigação e correção para quaisquer vulnerabilidades.
  • O IIJA aborda e altera a Parte II da Lei Federal de Energia, adicionando incentivos para investimentos em segurança cibernética. A Federal Energy Regulatory Commission (FERC) será responsável por conduzir um estudo de um ano para identificar tratamentos tarifários baseados em incentivos para a transmissão e venda de eletricidade para incentivar o investimento em tecnologia de segurança cibernética e a participação no compartilhamento de informações entre serviços públicos.

Quais são alguns desafios com o IIJA?

Embora o IIJA atenda a muitas necessidades de segurança cibernética, especialmente na infraestrutura de organizações e programas governamentais, ele ainda enfrenta alguns desafios. Um dos desafios imediatos é que atualmente não há nenhum plano para fornecer treinamento em segurança cibernética para equipes desses grupos governamentais. Distritos ou municípios menores podem ter dificuldade para solicitar e manter o mesmo nível de padrões que vilas, cidades ou mesmo estados maiores. Comparativamente, empresas menores de serviços públicos ou de energia também podem enfrentar os mesmos problemas.

Outro problema com o governo federal adotando uma postura mais forte de segurança cibernética é a falta de comunicação com organizações de nível inferior. Muitas organizações acreditam que cabe à Casa Branca proteger seus interesses de segurança cibernética, mas o governo afirma que cada organização individual precisa se proteger. A CISA deve fornecer serviços de avaliação de segurança ou fornecer as soluções necessárias para proteger contra possíveis ameaças? Ou é simplesmente papel do governo federal implementar os sistemas para permitir o acesso dos governos locais e estaduais?