Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 16 december 2021 | Ämne: Regering: USA
Den amerikanska senaten antog The National Defense Authorization Act (NDAA) på onsdagen och godkände den årliga försvarsutgiftsräkningen på 768 miljarder dollar som var full av cybersäkerhetsbestämmelser. Lagförslaget går nu till president Joe Bidens skrivbord.
I ett förklarande dokument som släppts tillsammans med texten i lagförslaget, sa representanthusets väpnade tjänstesutskott att cyberbestämmelserna i lagförslaget skulle initiera “den bredaste bemyndigandet och expansionen av CISA genom lagstiftning sedan SolarWinds-incidenten .”
Förutom betydligt fler cybersäkerhetsinvesteringar ger lagförslaget större budgetbefogenheter till Commander of US Cyber Command, “moderniserar” relationen mellan försvarsdepartementets Chief Information Officer och National Security Agencys komponenter som ansvarar för cybersäkerhet samtidigt som det etableras ett programkontor inom Joint Forces Headquarters-DODIN för att centralisera hanteringen av cyberhotinformationsprodukter över hela försvarsdepartementet.
Lagförslaget ger också mandat till den första klassificeringen av cybervapen och cyberkapacitet och kräver att försvarsministern skapar en programutvecklings- och anskaffningskadre för att hjälpa till med utveckling och förvärv av programvara genom att tillhandahålla expertråd, assistans och resurser. Ett anslagsprogram skapat av kongressen kommer att finansiera cybersäkerhetsforskning i samordning med Israel.
Ett nationellt cyberträningsprogram beskrivs också i propositionen. Det kommer att tvinga CISA och andra statliga organ att testa den nationella svarsplanen för cyberincidenter och, “i den utsträckning det är praktiskt möjligt, simulera den partiella eller fullständiga oförmågan hos ett statligt eller kritiskt infrastrukturnätverk till följd av en cyberincident.” En ändring kräver också att CISA uppdaterar sin incidentresponsplan minst vartannat år.
DOD måste nu lämna in en rapport om hur dess Cybersecurity Maturity Model Certification-program påverkar småföretag tack vare lagförslaget. Experter förespråkade också tillägget av lärlingsprogrammet för att utöka den tillgängliga cybertalangen såväl som veteranutbildningsprogrammet.
CISA får mer finansiering för ett program kallat “CyberSentry” som ger “kontinuerlig övervakning av cybersäkerhetsrisker för kritisk infrastruktur som äger eller driver industriella kontrollsystem som stöder nationella kritiska funktioner.”
Bill Lawrence, CISO på SecurityGate, sa att CyberSentry var en något kontroversiell bestämmelse eftersom den säger att CISA “kan komma åt all nätverkstrafik, inklusive innehållet i kommunikation, som lagras i CyberSentry-stacken för att ytterligare analysera ursprunget till en varning och/eller utvärdera nätverkets tillstånd.”
“Det finns giltiga skäl för CISA att hjälpa till att skydda USA:s kritiska infrastruktur precis som det är giltiga skäl för CI-ägare och -operatörer att inte vilja ha statliga sensorer på sina nätverk, såväl som giltiga argument från säkerhetsleverantörer att Regeringen ger bort cybertjänster gratis (med hjälp av skattebetalarnas pengar, förstås), säger Lawrence.
“DHS inkluderar en hel del sekretessöverväganden i CyberSentry-skrivet. Det skulle vara bra att också läsa om de taktiska och strategiska målen för detta program och se om snabb informationsdelning med alla CI-tillgångars ägare och operatörer ingår, och hjälp att avgöra om den här juicen är värd att klämma på de kommersiella leverantörerna. Jag har mina farhågor.”
Men det som väckte mest intresse var vad lagförslaget saknade, nämligen en bestämmelse om rapportering av cyberincidenter som debatterades livligt och som slutligen förkastades i sista minuten.
I månader har demokratiska och republikanska senatorer tjatat om språket i en bestämmelse om rapportering av cyberincidenter i NDAA. I november arbetade två demokrater – Gary Peters och Mark Warner – tillsammans med två republikaner – Rob Portman och Susan Collins – för att införa ett nytt tillägg till NDAA som skulle ha tvingat ägare och operatörer av kritisk infrastruktur såväl som civila federala myndigheter att rapportera alla cyberattacker och betalningar av ransomware till CISA.
Men i december rapporterade The Washington Post att Floridas senator Rick Scott tog sig an bestämmelsen om ransomwarerapportering och kallade den för bred och bad senatorer att begränsa språket till företag i de 16 kritiska industrierna. Källor berättade för CyberScoops Tim Starks att debatten om ransomware-språket pågick för lång och förhandlare i kammaren och senaten slutade med att utelämna hela bestämmelsen.
Lawrence noterade att vissa företag hade problem med att rapportera intrång eller ransomware-attacker inom 72 timmar efter upptäckt och lösensummabetalningar inom 24 timmar efter utbetalning. Han förklarade att mindre organisationer inte har 24/7 säkerhetsoperationscenter tillgängligt för dem, vilket begränsar deras förmåga att reagera på sådana incidenter, än mindre berätta för den amerikanska regeringen vad som händer under incidentresponsen.
Rep. Bennie Thompson och rep. Yvette Clarke noterade att lagstiftning om cybersäkerhetsincidenter inkluderades i House NDAA som godkändes i september. De två – som var respektive fungerar som ordförande för kommittén för inrikessäkerhet och ordförande för underkommittén för cybersäkerhet, infrastrukturskydd & Innovation — förklarade i ett uttalande att det fanns intensiva ansträngningar för att få rapportering av cyberincidenter i lagförslaget, men “till slut rann klockan ut för att få det i NDAA.”
“Det fanns dysfunktion och oenighet som härrörde från republikanskt ledarskap i senaten som inte löstes förrän mitt på morgonen idag – långt efter NDAA-deadline. Detta resultat är bortom en besvikelse och undergräver den nationella säkerheten,” sa Thompson och Clarke.
“Vi hade hoppats kunna markera ettårsdagen av upptäckten av SolarWinds supply chain-attack genom att skicka cyberincidentrapportering till presidentens skrivbord. Istället försenade senatens republikanska ledare saker så avsevärt att fönstret stängt på att få rapportering av cyberincidenter inkluderade i NDAA. Vi är djupt besvikna över att det momentum vi hade när vi kom in i NDAA inte gav framgång, men är fullt engagerade i att arbeta tvärs över gången och med senaten för att hitta en annan väg framåt.”
Säkerhet
Log4j-hot: Vad du behöver veta och hur du skyddar dig Ransomware 2022: Vi är alla skruvade Microsoft Patch Tisdag: Zero-day utnyttjas för att sprida Emotet skadlig programvara Kronos drabbades av ransomware, varnar för dataintrång och “flera veckors” avbrott De bästa VPN:erna för små och hembaserade företag 2021 Säkerhet | CXO | Innovation | Smarta städer