Jonathan Greig er journalist baseret i New York City.
Fuld biografi den 16. december 2021 | Emne: Regering: USA
Det amerikanske senat vedtog i onsdags The National Defense Authorization Act (NDAA) og godkendte den årlige regning på 768 milliarder dollars til forsvarsudgifter, der var spækket med cybersikkerhedsbestemmelser. Lovforslaget er nu på vej til præsident Joe Bidens skrivebord.
I et forklarende dokument udgivet sammen med teksten til lovforslaget sagde Repræsentanternes Hus for væbnede tjenesters komité, at cyberbestemmelserne i lovforslaget ville indlede “den bredeste bemyndigelse og udvidelse af CISA gennem lovgivning siden SolarWinds-hændelsen .”
Ud over væsentligt flere cybersikkerhedsinvesteringer giver lovforslaget større budgetautoritet til den øverstbefalende for US Cyber Command, “moderniserer” forholdet mellem Department of Defense Chief Information Officer og National Security Agencys komponenter, der er ansvarlige for cybersikkerhed, samtidig med at der etableres et programkontor. inden for Joint Forces Headquarters-DODIN for at centralisere styringen af cybertrusselsinformationsprodukter på tværs af forsvarsministeriet.
Lovforslaget giver også mandat til den første taksonomi af cybervåben og cyberkapaciteter og kræver, at forsvarsministeren opretter en softwareudviklings- og anskaffelseskadre til at hjælpe med udvikling og erhvervelse af software ved at yde ekspertrådgivning, assistance og ressourcer. Et tilskudsprogram oprettet af Kongressen vil finansiere cybersikkerhedsforskning i koordination med Israel.
Et nationalt cyberøvelsesprogram er også skitseret i lovforslaget. Det vil tvinge CISA og andre regeringsorganer til at teste den nationale indsatsplan for cyberhændelser og “i det omfang det er praktisk muligt, simulere den delvise eller fuldstændige uarbejdsdygtighed af et regerings- eller kritisk infrastrukturnetværk som følge af en cyberhændelse.” En ændring kræver også, at CISA opdaterer sin hændelsesplan mindst hvert andet år.
DOD er nu forpligtet til at indsende en rapport om, hvordan dens Cybersecurity Maturity Model Certification-program påvirker små virksomheder takket være lovforslaget. Eksperter udråbte også tilføjelsen af lærlingeprogrammet for at udvide det tilgængelige cybertalent såvel som veterantræningsprogrammet.
CISA får flere midler til et program kaldet “CyberSentry”, der giver “kontinuerlig overvågning af cybersikkerhedsrisici for kritisk infrastruktur, der ejer eller driver industrielle kontrolsystemer, der understøtter nationale kritiske funktioner.”
Bill Lawrence, CISO hos SecurityGate, sagde, at CyberSentry var en noget kontroversiel bestemmelse, fordi den siger, at CISA “kan få adgang til al netværkstrafik, inklusive indholdet af kommunikation, som er lagret i CyberSentry-stakken for yderligere at analysere oprindelsen af en advarsel og/eller evaluere netværkets tilstand.”
“Der er gyldige grunde til, at CISA hjælper med at beskytte amerikansk kritisk infrastruktur, ligesom det er gyldige grunde til, at CI-ejere og -operatører ikke ønsker offentlige sensorer på deres netværk, såvel som gyldige argumenter fra sikkerhedsudbydere om, at Regeringen giver cybertjenester væk gratis (ved hjælp af skatteydernes penge, selvfølgelig),« sagde Lawrence.
“DHS inkluderer en hel del privatlivsovervejelser i CyberSentry-opskriften. Det ville være nyttigt også at læse om de taktiske og strategiske mål for dette program og se, om hurtig informationsdeling med alle CI-aktivejere og -operatører er inkluderet, og hjælpe med at afgøre, om denne juice er værd at presse på de kommercielle udbydere. Jeg har mine betænkeligheder.”
Men det, der vakte størst interesse, var, hvad lovforslaget manglede, nemlig en bestemmelse om rapportering af cyberhændelser, som blev heftigt diskuteret og i sidste ende blev forkastet i sidste øjeblik.
I månedsvis har demokratiske og republikanske senatorer jockeyet over sproget i en bestemmelse om cyberhændelser i NDAA. I november arbejdede to demokrater – Gary Peters og Mark Warner – sammen med to republikanere – Rob Portman og Susan Collins – for at indføre et nyt ændringsforslag til NDAA, der ville have tvunget ejere og operatører af kritisk infrastruktur såvel som civile føderale agenturer. at rapportere alle cyberangreb og ransomware-betalinger til CISA.
Men i december rapporterede The Washington Post, at Florida-senator Rick Scott tog et problem med bestemmelsen om ransomware-rapportering og kaldte den for bred og bad senatorer om at begrænse sproget til virksomheder i de 16 kritiske industrier. Kilder fortalte CyberScoops Tim Starks, at debatten om ransomware-sproget løb for lang, og forhandlere i Parlamentet og Senatet endte med at udelade hele bestemmelsen.
Lawrence bemærkede, at nogle virksomheder havde problemer med at rapportere brud eller ransomware-angreb inden for 72 timer efter opdagelsen og løsepengebetalinger inden for 24 timer efter udbetaling. Han forklarede, at mindre organisationer ikke har 24/7 sikkerhedsoperationscenter til rådighed for dem, hvilket begrænser deres evne til at reagere på sådanne hændelser, meget mindre fortælle den amerikanske regering, hvad der sker under hændelsesvar.
Rep. Bennie Thompson og rep. Yvette Clarke bemærkede, at lovgivning om cybersikkerhedshændelser var inkluderet i House NDAA, som vedtog i september. De to – som henholdsvis fungerer som formand for udvalget for hjemmesikkerhed og formand for underudvalget for cybersikkerhed, infrastrukturbeskyttelse og amp; Innovation – forklarede i en erklæring, at der var intensive bestræbelser på at få rapportering af cyberhændelser i regningen, men “i sidste ende løb uret ud med at få det i NDAA.”
“Der var dysfunktion og uenighed, der stammede fra Senatets republikanske ledelse, som ikke blev løst før midt på formiddagen i dag – langt efter NDAA-deadline. Dette resultat er mere end skuffende og underminerer den nationale sikkerhed,” sagde Thompson og Clarke.
“Vi havde håbet på at markere et-årsdagen for opdagelsen af SolarWinds forsyningskædeangreb ved at sende lovgivning om rapportering af cyberhændelser til præsidentens skrivebord. I stedet forsinkede Senatets republikanske ledere tingene så betydeligt, at vinduet lukket på at få rapportering af cyberhændelser inkluderet i NDAA. Vi er dybt skuffede over, at det momentum, vi havde på vej ind i NDAA, ikke gav succes, men er fuldt ud forpligtet til at arbejde på tværs af gangen og med Senatet for at finde en anden vej frem.”
Sikkerhed
Log4j-trussel: Hvad du har brug for at vide, og hvordan du beskytter dig selv Ransomware i 2022: Vi er alle skruet Microsoft Patch tirsdag: Zero-day udnyttet til at sprede Emotet malware Kronos ramt med ransomware, advarer om databrud og 'flere ugers' udfald De bedste VPN'er til små og hjemmebaserede virksomheder i 2021 Sikkerhed | CXO | Innovation | Smarte byer