Fire amerikanske senatorer har innført en ny todelt endring av 2022 National Defense Authorization Act (NDAA) som vil tvinge eiere og operatører av kritisk infrastruktur så vel som sivile føderale byråer til å rapportere alle nettangrep og løsepengevarebetalinger til CISA.
To demokrater – Gary Peters og Mark Warner – jobbet sammen med to republikanere – Rob Portman og Susan Collins – for å fremme endringsforslaget, som de sa var basert på Peters og Portmans lov om rapportering av cyberhendelser og føderal lov om modernisering av informasjonssikkerhet fra 2021. .
Endringen dekker kun bekreftede nettangrep og ikke de som er mistenkt. Men det tvinger alle føderale entreprenører til å rapportere angrep. Det er ingen fin komponent i endringsforslaget, en av de mange bestemmelsene senatorer hadde kjempet om i flere måneder.
Ofsorganisasjoner vil ha 72 timer på seg til å rapportere angrep, et annet heftig omdiskutert tema blant offentlige eksperter på nettsikkerhet. Noen ønsket at det skulle være innen 24 timer og andre sa at det skulle være innen en uke.
Men 72 timers grensen gjelder ikke for alle organisasjoner. Noen – som senatorene sa inkluderte bedrifter, ideelle organisasjoner og statlige og lokale myndigheter – ville bli tvunget til å rapportere løsepengevarebetalinger til den føderale regjeringen innen 24 timer etter at betalingen ble utført.
«I tillegg vil endringen oppdatere gjeldende føderale myndigheters cybersikkerhetslover for å forbedre koordineringen mellom føderale byråer, tvinge regjeringen til å ta en risikobasert tilnærming til sikkerhet, samt kreve at alle sivile byråer rapporterer alle cyberangrep til CISA, og større cyberhendelser til Kongressen,” sa senatorene i en uttalelse.
“Det gir også ytterligere myndighet til CISA for å sikre at de er det ledende føderale byrået med ansvar for å svare på cybersikkerhetshendelser på føderale sivile nettverk.”< /p>
Warner, leder av Senatets utvalgte etterretningskomité, sa at SolarWinds-hacket endret hvordan regjeringen må nærme seg nettangrep.
“Det virker som om amerikanere hver dag våkner til nyhetene om nok et løsepengevareangrep eller cyberinntrenging, men SolarWinds-hacket viste oss at det ikke er noen som er ansvarlige for å samle inn informasjon om omfanget og omfanget av disse hendelsene,” sa Warner.
“Vi kan ikke stole på frivillig rapportering for å beskytte vår kritiske infrastruktur – vi trenger et rutinemessig rapporteringskrav slik at når vitale sektorer av økonomien vår blir berørt av et cyberbrudd, kan de fulle ressursene til den føderale regjeringen mobiliseres for å svare på , og avverge virkningen. Jeg er glad for at vi klarte å komme til et topartisk kompromiss om dette endringsforslaget som tar for seg mange av kjernespørsmålene reist av disse høyprofilerte hackinghendelsene.»
Peters, styreleder fra Homeland Security and Governmental Affairs Committee, bemerket at cyberangrep og løsepengevarehendelser har påvirket alt fra energisektorselskaper til den føderale regjeringen selv.
Han roste endringsforslaget for å sette CISA “i forkant av vår nasjons respons på alvorlige brudd.”
Portman forklarte at endringen oppdaterer Federal Information Security Modernization Act og gir den nasjonale cyberdirektøren, CISA og andre passende byråer “bred synlighet” i cyberangrepene som finner sted over hele landet.
“Denne todelte endringen for å oppdatere FISMA betydelig vil gi den ansvarligheten som er nødvendig for å løse langvarige svakheter i føderal cybersikkerhet ved å klargjøre roller og ansvar og kreve at regjeringen raskt informerer det amerikanske folket hvis informasjonen deres er kompromittert,” sa Portman.
Den 740 milliarder dollar NDAA vil garantert bli vedtatt før slutten av året, men majoritetslederen i Senatet Chuck Schumer møtte tilbakeslag fra republikanere og medlemmer av sitt eget parti denne uken for å ha forsinket vedtaket av lovforslaget. Huset godkjente deres versjon av lovforslaget i september, og House Armed Services Committee var ferdig med sin versjon i juli.
Det er uklart om cybersikkerhetsbestemmelsene i lovforslaget vil endres når Senatets og Husets ledere forener sine forskjellige versjoner av NDAA.
Selv om noen selskaper og organisasjoner har vært tilbakeholdne med å omfavne obligatoriske rapportering av nettangrep, sa cybersikkerhetseksperter generelt at landet trenger reglene for å fremme bedre vaner.
Hank Schless, seniorleder i cybersikkerhetsfirmaet Lookout, sa at ettersom nasjonal sikkerhet og cybersikkerhet blir mer sammenvevd, vil det å ha erkjent viktigheten fra begge sider av midtgangen bidra til å få mer gjort.
“Denne endringen følger etter GDPR, som også krever at organisasjoner informerer alle berørte parter om et databrudd innen 72 timer. Dette holder organisasjoner mer ansvarlige, og det vil være interessant å se om det er noen bøter knyttet til manglende rapportering av disse hendelsene. som det er med GDPR. Det som er interessant er at de fleste enheter vil bli pålagt å rapportere om de har betalt løsepenger i tilfelle et løsepenge-angrep. Det er vanskelig å gjette hvilken type innvirkning dette kan ha,” sa Schless.
“Hvis de er pålagt å avsløre når betalingen er utført, vil kanskje disse enhetene være mindre villige til å betale løsepenger. Å se denne typen handlinger på føderalt nivå viser at USA kan være nærmere å implementere en landsomfattende databeskyttelsespolicy som tilsvarer GDPR. Uansett om det ender opp med å være tilfellet, er det oppmuntrende for nasjonens fremtidige nettforsvar å se denne typen handlinger på høyeste nivå.”
Rick Holland, CISO ved Digital Shadows, sa at status quo ikke fungerer og uttrykte støtte for bruddvarsling og krav om løsepengebetaling.
“Vi har ikke et helhetlig syn på hvor ille problemet er, og rapporteringsmandater kan i det minste kvantifisere omfanget av problemet. Utfordringen er at rapportering ikke tar for seg årsaken til disse hendelsene. Status quo er analog. til pasienter med kroniske sykdommer som hjertesykdom; det har tatt år å komme til denne tilstanden. Det er ikke en magisk intervensjon som vil redusere risikoen over natten,” sa Holland.
Han fortsatte med å sammenligne mengden av midler som er utpekt til cybersikkerhet med finansieringen som ble gitt til jagerflyprogrammer og andre forsvarsprioriteringer.
“Vi må ta tak i de grunnleggende årsakene til sykdommen, ikke bare symptomene. Koordinering og rapportering vil ikke løse problemene våre; organisasjoner må investere i cybersikkerhet, og starter med mennesker,” la Holland til. “Sybersikkerhet må ha samme prioritet som disse 'neste generasjons' våpensystemene.”
Sikkerhet
Det beste phishing-målet? Smarttelefonen din Hvorfor trenger du denne sikkerhetsnøkkelen til $29 FBI: Ransomware grupperer som knytter angrep til “betydelige økonomiske hendelser” Signal avslører hvor langt amerikansk rettshåndhevelse vil gå for å få folks informasjon De 10 verste maskinvaresikkerhetsfeilene i 2021 Cybersecurity 101: Beskytt personvernet ditt mot hackere , spioner, regjeringen Regjeringen – USA | Sikkerhets-TV | Databehandling | CXO | Datasentre