Vier Amerikaanse senatoren hebben een nieuwe tweeledige wijziging van de National Defense Authorization Act (NDAA) van 2022 geïntroduceerd die eigenaren en operators van kritieke infrastructuur en civiele federale instanties zal dwingen alle cyberaanvallen en ransomwarebetalingen aan CISA te melden.
Twee democraten — Gary Peters en Mark Warner — werkten samen met twee Republikeinen — Rob Portman en Susan Collins — om het amendement door te drukken, dat volgens hen was gebaseerd op Peters en Portman's Cyber Incident Reporting Act en Federal Information Security Modernization Act van 2021 .
Het amendement heeft alleen betrekking op bevestigde cyberaanvallen en niet op vermoedelijke cyberaanvallen. Maar het dwingt alle federale aannemers om aanvallen te melden. Er zit geen fijne component in het amendement, een van de vele bepalingen waar senatoren al maanden om vechten.
Slachtofferorganisaties hebben 72 uur de tijd om aanvallen te melden, een ander veelbesproken onderwerp onder cyberbeveiligingsexperts van de overheid. Sommigen wilden dat het binnen 24 uur zou zijn en anderen zeiden dat het binnen een week zou moeten zijn.
Maar de limiet van 72 uur geldt niet voor alle organisaties. Sommigen – waarvan de senatoren zeiden dat het bedrijven, non-profitorganisaties en staats- en lokale overheden waren – zouden gedwongen worden om ransomwarebetalingen binnen 24 uur na betaling aan de federale overheid te melden.
“Bovendien zou de wijziging de huidige cyberbeveiligingswetten van de federale overheid actualiseren om de coördinatie tussen federale instanties te verbeteren, de regering dwingen een op risico's gebaseerde benadering van beveiliging te volgen, en alle civiele instanties verplichten om alle cyberaanvallen aan CISA te melden, en grote cyberincidenten aan het Congres”, zeiden de senatoren in een verklaring.
“Het biedt ook extra autoriteiten aan CISA om ervoor te zorgen dat zij de leidende federale instantie zijn die verantwoordelijk is voor het reageren op cyberbeveiligingsincidenten op federale civiele netwerken.”< /p>
Warner, voorzitter van de Senaat Select Committee on Intelligence, zei dat de SolarWinds-hack de manier heeft veranderd waarop de overheid cyberaanvallen moet aanpakken.
“Het lijkt alsof Amerikanen elke dag wakker worden met het nieuws van een nieuwe ransomware-aanval of cyberinbraak, maar de SolarWinds-hack heeft ons laten zien dat er niemand is die verantwoordelijk is voor het verzamelen van informatie over de reikwijdte en omvang van deze incidenten,” zei Warner.
“We kunnen niet vertrouwen op vrijwillige rapportage om onze kritieke infrastructuur te beschermen – we hebben een routinematige rapportagevereiste nodig, zodat wanneer vitale sectoren van onze economie worden getroffen door een cyberinbreuk, de volledige middelen van de federale overheid kunnen worden gemobiliseerd om te reageren op , en de impact ervan af te wenden. Ik ben blij dat we tot een tweeledig compromis konden komen over dit amendement dat veel van de kernproblemen aanpakt die door deze spraakmakende hackincidenten naar voren zijn gebracht.”
Peters, voorzitter van de Homeland Security and Governmental Affairs Committee, merkte op dat cyberaanvallen en ransomware-incidenten alles hebben getroffen, van bedrijven in de energiesector tot de federale overheid zelf.
Hij prees het amendement omdat het CISA “op de voorgrond plaatst bij de reactie van ons land op ernstige inbreuken.”
Portman legde uit dat de wijziging de Federal Information Security Modernization Act bijwerkt en de National Cyber Director, CISA en andere relevante instanties “breed inzicht” geeft in de cyberaanvallen die in het hele land plaatsvinden.
“Dit tweeledige amendement om de FISMA aanzienlijk te updaten, zal de verantwoordelijkheid bieden die nodig is om langdurige zwakheden in de federale cyberbeveiliging op te lossen door de rollen en verantwoordelijkheden te verduidelijken en de regering te verplichten het Amerikaanse volk snel te informeren als hun informatie in gevaar komt”, zei Portman.
De NDAA van $ 740 miljard zal zeker voor het einde van het jaar worden aangenomen, maar senaatsleider Chuck Schumer kreeg deze week te maken met kritiek van Republikeinen en leden van zijn eigen partij voor het vertragen van de goedkeuring van het wetsvoorstel. Het Huis keurde hun versie van het wetsvoorstel in september goed en de House Armed Services Committee was in juli klaar met zijn versie.
Het is onduidelijk of de cyberbeveiligingsbepalingen in het wetsvoorstel zullen veranderen zodra de leiders van de Senaat en het Huis hun verschillende versies van de NDAA met elkaar verzoenen.
Hoewel sommige bedrijven en organisaties terughoudend zijn geweest met het omarmen van verplichte maatregelen voor het melden van cyberaanvallen, zeiden cyberbeveiligingsexperts over het algemeen dat het land de regels nodig heeft om betere gewoonten te bevorderen.
Hank Schless, senior manager bij cyberbeveiligingsbedrijf Lookout, zei dat naarmate nationale veiligheid en cyberbeveiliging meer met elkaar verweven raken, erkenning van het belang van beide kanten van het gangpad zal helpen om meer gedaan te krijgen.
“Deze wijziging volgt de AVG, die organisaties ook verplicht om alle betrokken partijen binnen 72 uur op de hoogte te stellen van een datalek. Dit houdt organisaties meer verantwoordelijk en het zal interessant zijn om te zien of er boetes zijn in verband met het niet melden van deze incidenten Zoals er zijn met de AVG. Wat interessant is, is dat de meeste entiteiten zullen moeten melden of ze het losgeld hebben betaald in het geval van een ransomware-aanval. Het is moeilijk te raden wat voor soort impact dit kan hebben, “zei Schless.
“Als ze verplicht zijn om te onthullen wanneer de betaling is gedaan, zullen deze entiteiten misschien minder bereid zijn om het losgeld te betalen. Het zien van dit soort actie op federaal niveau toont aan dat de VS misschien dichter bij de implementatie zijn een landelijk gegevensbeschermingsbeleid dat het equivalent is van de AVG. Ongeacht of dat het geval is, het zien van dit soort actie op het hoogste niveau is bemoedigend voor de toekomstige cyberbeveiliging van het land.”
Rick Holland, CISO bij Digital Shadows, zei dat de status-quo niet werkt en sprak zijn steun uit voor de melding van inbreuken en betalingsverplichtingen voor ransomware.
“We hebben geen holistisch beeld van hoe erg het probleem is, en rapportagemandaten kunnen op zijn minst de omvang van het probleem kwantificeren. De uitdaging is dat rapportage niet de oorzaak van deze incidenten aanpakt. De status-quo is analoog voor patiënten met chronische ziekten zoals hartaandoeningen; het heeft jaren geduurd om deze toestand te bereiken. Er is geen magische interventie die het risico van de ene op de andere dag zal verminderen, “zei Holland.
Vervolgens vergeleek hij de hoeveelheid financiering die voor cyberbeveiliging was bestemd met de financiering voor straaljagerprogramma's en andere defensieprioriteiten.
“We moeten de grondoorzaken van de ziekte aanpakken, niet alleen de symptomen. Coördinatie en rapportage zullen onze problemen niet oplossen; organisaties moeten investeren in cyberbeveiliging, te beginnen bij mensen”, voegde Holland eraan toe. “Cyberbeveiliging moet dezelfde prioriteit hebben als deze 'next generation' wapensystemen.”
Beveiliging
Het beste phishing-doelwit? Je smartphone Waarom je deze beveiligingssleutel van $ 29 nodig hebt FBI: Ransomware-groepen koppelen aanvallen aan 'belangrijke financiële gebeurtenissen' Signaal onthult hoe ver de Amerikaanse wetshandhavers gaan om informatie van mensen te krijgen De 10 ergste hardware-beveiligingsfouten in 2021 Cybersecurity 101: bescherm je privacy tegen hackers , spionnen, de overheid Overheid – VS | Beveiliging TV | Gegevensbeheer | CXO | Datacenters