Fyra amerikanska senatorer har infört ett nytt tvåpartitillägg till 2022 års National Defense Authorization Act (NDAA) som kommer att tvinga ägare och operatörer av kritisk infrastruktur såväl som civila federala myndigheter att rapportera alla cyberattacker och betalningar av ransomware till CISA.
Två demokrater – Gary Peters och Mark Warner – arbetade tillsammans med två republikaner – Rob Portman och Susan Collins – för att driva på ändringen, som de sa var baserad på Peters och Portmans lag om cyberincidentrapportering och Federal Information Security Modernization Act från 2021 .
Tillägget omfattar endast bekräftade cyberattacker och inte sådana som är misstänkta. Men det tvingar alla federala entreprenörer att rapportera attacker. Det finns ingen fin komponent i ändringsförslaget, en av de många bestämmelser som senatorerna hade kämpat om i månader.
Offrens organisationer kommer att ha 72 timmar på sig att rapportera attacker, ett annat hett omdebatterat ämne bland statliga cybersäkerhetsexperter. Vissa ville att det skulle ske inom 24 timmar och andra sa att det skulle ske inom en vecka.
Men gränsen på 72 timmar gäller inte alla organisationer. Vissa – som senatorerna sa inkluderade företag, ideella organisationer och statliga och lokala myndigheter – skulle tvingas rapportera betalningar av ransomware till den federala regeringen inom 24 timmar efter att betalningen gjordes.
“Dessutom skulle tillägget uppdatera nuvarande federala myndigheters cybersäkerhetslagar för att förbättra samordningen mellan federala myndigheter, tvinga regeringen att ta en riskbaserad strategi för säkerhet, samt kräva att alla civila myndigheter rapporterar alla cyberattacker till CISA, och större cyberincidenter till kongressen”, sade senatorerna i ett uttalande.
“Det ger också ytterligare myndigheter till CISA för att säkerställa att de är den ledande federala byrån med ansvar för att svara på cybersäkerhetsincidenter på federala civila nätverk.”< /p>
Warner, ordförande för senatens utskott för underrättelsetjänst, sa att SolarWinds-hacket förändrade hur regeringen behöver närma sig cyberattacker.
“Det verkar som om amerikaner varje dag vaknar upp till nyheten om ytterligare en ransomware-attack eller cyberintrång, men SolarWinds-hacket visade oss att det inte finns någon som är ansvarig för att samla in information om omfattningen och omfattningen av dessa incidenter,” sa Warner.
“Vi kan inte lita på frivillig rapportering för att skydda vår kritiska infrastruktur – vi behöver ett rutinmässigt rapporteringskrav så att när viktiga sektorer i vår ekonomi påverkas av ett cyberintrång, kan den federala regeringens fulla resurser mobiliseras för att svara på , och avvärja dess inverkan. Jag är glad att vi kunde komma fram till en tvåpartisk kompromiss om detta ändringsförslag som tar upp många av de centrala frågorna som tagits upp av dessa högprofilerade hackincidenter.”
Peters, ordförande från Homeland Security and Governmental Affairs Committee, noterade att cyberattacker och ransomware-incidenter har påverkat allt från energisektorföretag till den federala regeringen själv.
Han lovordade ändringsförslaget för att sätta CISA “i framkanten av vår nations svar på allvarliga intrång.”
Portman förklarade att tillägget uppdaterar Federal Information Security Modernization Act och ger den nationella cyberdirektören, CISA och andra lämpliga myndigheter “bred synlighet” i de cyberattacker som äger rum över hela landet.
“Detta tvåpartitillägg för att avsevärt uppdatera FISMA kommer att ge den ansvarsskyldighet som krävs för att lösa långvariga svagheter i federal cybersäkerhet genom att klargöra roller och ansvar och kräva att regeringen snabbt informerar det amerikanska folket om deras information äventyras”, sa Portman.
Den 740 miljarder dollar NDAA kommer säkerligen att passeras före årets slut, men senatens majoritetsledare Chuck Schumer fick motreaktioner från republikaner och medlemmar av sitt eget parti denna vecka för att ha försenat antagandet av lagförslaget. Huset godkände sin version av lagförslaget i september och House Armed Services Committee var klar med sin version i juli.
Det är oklart om cybersäkerhetsbestämmelserna i lagförslaget kommer att ändras när senatens och husets ledare förenar sina olika versioner av NDAA.
Medan vissa företag och organisationer har varit ovilliga att ta till sig alla obligatoriska rapporteringsåtgärder för cyberattacker, sa cybersäkerhetsexperter överlag, att landet behöver reglerna för att främja bättre vanor.
Hank Schless, senior manager på cybersäkerhetsföretaget Lookout, sa att när nationell säkerhet och cybersäkerhet blir mer sammanflätade, kommer det att hjälpa till att få mer gjort genom att erkänna dess betydelse från båda sidor av gången.
“Det här tillägget följer efter GDPR, som också kräver att organisationer informerar alla berörda parter om ett dataintrång inom 72 timmar. Detta håller organisationer mer ansvariga, och det ska bli intressant att se om det finns några böter förknippade med underlåtenhet att rapportera dessa incidenter. som det är med GDPR. Det intressanta är att de flesta enheter kommer att vara skyldiga att rapportera om de betalat lösen i händelse av en ransomware-attack. Det är svårt att gissa vilken typ av inverkan detta kan ha, säger Schless.
“Om de är skyldiga att avslöja när betalning görs, kanske dessa enheter är mindre villiga att betala lösensumman. Att se den här typen av åtgärder på federal nivå visar att USA kan vara närmare att implementera en rikstäckande dataskyddspolicy som motsvarar GDPR. Oavsett om det blir fallet är det uppmuntrande för nationens framtida cyberförsvar att se den här typen av åtgärder på högsta nivå.”
Rick Holland, CISO på Digital Shadows, sa att status quo inte fungerar och uttryckte stöd för intrångsmeddelanden och krav på betalning av ransomware.
“Vi har ingen holistisk syn på hur illa problemet är, och rapporteringsmandat kan åtminstone kvantifiera omfattningen av problemet. Utmaningen är att rapporteringen inte tar itu med grundorsaken till dessa incidenter. Status quo är analogt. till patienter med kroniska sjukdomar som hjärtsjukdomar; det har tagit år att komma till detta tillstånd. Det finns inget magiskt ingrepp som kommer att minska risken över en natt, säger Holland.
Han fortsatte med att jämföra finansieringsbeloppet för cybersäkerhet med finansieringen som ges till stridsflygplan och andra försvarsprioriteringar.
“Vi måste ta itu med grundorsakerna till sjukdomen, inte bara symptomen. Samordning och rapportering kommer inte att lösa våra problem; organisationer måste investera i cybersäkerhet, börja med människor,” tillade Holland. “Cybersäkerhet måste ha samma prioritet som dessa “nästa generations” vapensystem.”
Säkerhet
Det bästa nätfiskemålet? Din smartphone Varför du behöver denna säkerhetsnyckel på 29 $ FBI: Ransomware-grupper som knyter attacker till “betydande ekonomiska händelser” Signal avslöjar hur långt amerikansk brottsbekämpning kommer att gå för att få folks information De 10 värsta hårdvarusäkerhetsbristerna 2021 Cybersäkerhet 101: Skydda din integritet från hackare , spioner, regeringen Regeringen – USA | Säkerhets-TV | Datahantering | CXO | Datacenter