Os militares dos EUA receberão cerca de US$ 30 bilhões em financiamento para segurança cibernética no ano fiscal de 2025, dos US$ 895,2 bilhões destinados às operações militares dos EUA sob a Lei de Autorização de Defesa Nacional (NDAA), uma lei anual obrigatória assinada pelo presidente Joe Biden no mês passado.
O orçamento de quase 1.000 projetos de lei não permite um cálculo claro ou rápido de quanto dinheiro total vai para atividades de segurança cibernética. No entanto, como orientação aproximada, o orçamento NDAA proposto pela administração para o ano fiscal de 2025, divulgado em Março, atribuiu 30 mil milhões de dólares ao esforço cibernético global dos militares. A regra final provavelmente não é muito diferente neste nível.
Como acontece todos os anos, o projeto de lei contém uma série de disposições importantes e secundárias relacionadas à segurança cibernética. As disposições mais importantes do projecto de lei vão desde disposições importantes que tratam da substituição de tecnologia chinesa potencialmente problemática nas redes de telecomunicações, à protecção do pessoal do DoD contra spyware estrangeiro, à criação de uma agência de contra-espionagem e muito mais.
Como acontece todos os anos, a NDAA excedeu as disposições que alguns esperavam que aparecessem no projecto de lei, incluindo uma que asseguraria o financiamento contínuo dos esforços do Departamento de Estado para rastrear informações contra adversários estrangeiros. Algumas omissões dão à administração Trump mais poder para examinar os cidadãos dos EUA que identificam como inimigos.
Uma disposição cibernética importante na NDAA 2025
As disposições sobre gastos com segurança cibernética estão espalhadas por toda a NDAA, com referências à criação de programas militares digitais mais seguros ou ao estabelecimento de alianças internacionais que buscam maior cooperação em segurança cibernética aparecendo em toda a lei.
Os resumos a seguir destacam algumas das disposições de segurança cibernética mais importantes e notáveis da NDAA:
US$ 3 bilhões foram alocados para cobrir a mudança de marcha chinesa
A NDAA deu à Comissão Federal de Comunicações dos EUA quase 5 mil milhões de dólares para ajudar as empresas de telecomunicações locais a remover e substituir equipamentos potencialmente problemáticos fabricados por fornecedores de tecnologia chineses, incluindo Huawei e ZTE. Este financiamento compensa um défice de 3 mil milhões de dólares que resultou na atribuição pelo Congresso de apenas 1,9 mil milhões de dólares para este fim.
Protegendo dispositivos móveis do DoD contra a proliferação e uso de espionagem comercial estrangeira
O projeto de lei visa proteger dispositivos móveis militares, incluindo smartphones, tablets e laptops, contra spyware estrangeiro. Orienta as agências governamentais apropriadas a emitir padrões, diretrizes, melhores práticas e políticas para o pessoal do Departamento e a Agência dos Estados Unidos para o Desenvolvimento Internacional (USAID) para proteger os equipamentos cobertos de serem comprometidos por espionagem comercial estrangeira.
Também orienta essas agências a reverem os procedimentos utilizados pelo Departamento e pela USAID para identificar e catalogar casos em que um dispositivo coberto tenha sido comprometido por espionagem comercial estrangeira nos últimos dois anos, resultando na divulgação não autorizada de informações sensíveis. Além disso, exige que essas organizações apresentem às comissões parlamentares apropriadas um relatório possivelmente confidencial sobre as medidas tomadas para identificar e catalogar os eventos de tal cumplicidade por parte da espionagem comercial estrangeira.
Criando uma estrutura de risco para aplicativos móveis externos:
A lei exige que o diretor de informação do Departamento de Defesa, em cooperação com o subsecretário de defesa para inteligência e segurança, desenvolva um relatório sobre a viabilidade e conveniência de desenvolver uma estrutura de risco para dispositivos móveis pessoais e aplicações móveis para o pessoal do DoD. .
O quadro deverá incluir a recolha, o armazenamento, a venda e a possível utilização indevida de dados, a exposição à informação errada e à desinformação, software, materiais e aplicações provenientes do governo da Federação Russa, da República Popular da China, da República Islâmica do Irão , ou a República Popular Democrática da Coreia.
Estabelecendo uma agência de defesa de inteligência artificial
A NDAA tem muitas disposições relacionadas com a inteligência artificial, muitas das quais abordam questões de segurança. No entanto, destaca-se uma medida relacionada com a IA: uma medida que orienta o diretor da Agência de Segurança Nacional a estabelecer uma agência de inteligência de defesa dentro do Centro de Colaboração da agência.
O Centro de IA trabalhará para desenvolver orientações para prevenir ou mitigar “técnicas de inteligência artificial”, definidas como “técnicas ou processos para extrair informações sobre o comportamento ou características de um sistema de inteligência artificial, ou aprender como usar um sistema de inteligência artificial. , para destruir a privacidade, integridade ou disponibilidade de um sistema de inteligência artificial ou de um sistema próximo.” Um dos seus mandatos claros é promover abordagens seguras para a aquisição de inteligência artificial para gestores de programas de segurança nacional.
Uma avaliação independente da necessidade de um exército cibernético
O projeto de lei exige que os Institutos Nacionais de Ciência, Engenharia e Medicina examinem modelos organizacionais alternativos para forças cibernéticas para as forças armadas dos EUA. Esta disposição está em linha com a visão frequentemente defendida de que os EUA deveriam ter uma força cibernética independente que trabalhasse em pé de igualdade com o resto das forças armadas.
A avaliação de outros modelos deverá incluir, entre outras coisas, o aperfeiçoamento e a melhoria da actual estrutura organizacional das forças cibernéticas nas Forças Armadas, a viabilidade e conveniência de estabelecer uma força cibernética no Departamento de Defesa e considerações sobre aquisição. ou a transformação de outros modelos organizacionais das forças cibernéticas das forças armadas dos EUA.
Após sua avaliação, os Institutos Nacionais de Educação devem reportar um relatório de consenso às comissões de defesa do Congresso contendo sua avaliação de outros tipos de organização.
Tornar a Rede de Informações do Quartel-General da Força Conjunta-Departamento de Defesa um comando conjunto unificado sob o Comando Cibernético dos EUA
A NDAA designa o Quartel-General da Força Conjunta-Departamento de Redes de Informação de Defesa (JFHQ-DODIN) responsável por proteger as redes do Pentágono em todo o mundo, um “comando conjunto conjunto” sob o Comando Cibernético dos EUA, tornando o JFHQ-DODIN o é uma organização líder em desempenho de rede e segurança. e protegendo a Rede de Informações do DoD.
Declarar atores de ransomware e estados hospedeiros como atores cibernéticos hostis
O projeto de lei contém linguagem que eleva os ataques de ransomware ao nível de terrorismo, ao declarar as organizações estrangeiras de ransomware e os agentes estrangeiros a elas associados como atores cibernéticos hostis, transferindo essa designação para países que dirigem ou hospedam esses atores.
Enfrentar ameaças de ransomware a infraestruturas críticas é uma prioridade da inteligência nacional
A NDAA contém linguagem que considera as ameaças de ransomware a infraestruturas críticas uma prioridade nacional de inteligência como parte do Quadro Nacional de Prioridades de Inteligência. Exige que o Diretor de Inteligência Nacional, em consulta com o Diretor do FBI, apresente um relatório aos comitês apropriados do Congresso sobre as implicações da ameaça de ransomware à segurança nacional dos EUA.
Estudo do GAO sobre a interrupção intencional do programa nacional do espaço aéreo
O projeto de lei exige que o Government Accountability Office conduza uma investigação e emita um relatório sobre a vulnerabilidade do sistema do espaço aéreo nacional à interferência potencial de adversários dos EUA que possam usar energia eletromagnética e a vulnerabilidade de segurança do Sistema de Comunicações, Relatórios e Comunicação de Aeronaves e Comunicações de link de dados piloto do controlador. O relatório pretende ser público, com qualquer informação confidencial removida.
Limitação de fundos para a Arquitetura Conjunta de Combate à Guerra Cibernética
A NDAA congela ou limita o financiamento para componentes militares da Arquitetura Conjunta de Guerra Cibernética (JCWA) até que o Comando Cibernético dos EUA apresente um plano para a próxima iteração do desenvolvimento da JCWA. JCWA é um programa baseado em software que fornece ferramentas e recursos cibernéticos para a Força de Missão Cibernética.
Duas exceções óbvias à lei
Apesar das muitas disposições gerais sobre segurança cibernética na NDAA, a lei carece de duas disposições importantes e esperadas.
A primeira foi a falta de financiamento contínuo para o Centro de Engajamento Global (GEC) do Departamento de Estado, que foi forçado a fechar em 12 de dezembro. 26 de outubro de 2024 por falta de recursos. O mandato do GEC era servir como “uma organização orientada por dados que lidera os esforços dos EUA no combate aos esforços dos adversários estrangeiros para minar os interesses dos EUA usando desinformação e propaganda”.
O grupo tem sido alvo de ativistas de direita, incluindo Elon Musk, procuradores-gerais republicanos dos EUA e outros que acusam o GEC de sufocar o “discurso liberal”.
Outra omissão notável do projecto de lei é o fracasso do Congresso em reduzir uma expansão significativa do controverso programa de vigilância dos EUA, a Secção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA).
Grupos de direitos humanos têm pressionado os legisladores para colmatar uma lacuna na lei que reautorizou a FISA no início do ano passado. Este hack promoveu o direito das autoridades de solicitar dados da FISA para agências de inteligência sobre as comunicações de cidadãos dos EUA sem mandado.
O fracasso em verificar a capacidade do governo dos EUA de aceder a escutas telefónicas entre americanos e imigrantes no estrangeiro dá agora à administração Trump um poder incrível para espiar cidadãos americanos que considera inimigos.
