Jonathan Greig er en journalist basert i New York City.
Full Bio 16. desember 2021 | Emne: Regjeringen : USA
Det amerikanske senatet vedtok The National Defense Authorization Act (NDAA) onsdag, og godkjente den årlige forsvarsutgiftsregningen på 768 milliarder dollar som var fullpakket med cybersikkerhetsbestemmelser. Regningen går nå til skrivebordet til president Joe Biden.
I et forklaringsdokument utgitt ved siden av teksten til lovforslaget, sa det amerikanske representantenes hus for væpnede tjenester at cyberbestemmelsene i lovforslaget ville initiere “den bredeste bemyndigelsen og utvidelsen av CISA gjennom lovgivning siden SolarWinds-hendelsen .”
I tillegg til betydelig flere cybersikkerhetsinvesteringer, gir lovforslaget større budsjettmyndighet til sjefen for US Cyber Command, “moderniserer” forholdet mellom Chief Information Officer for Department of Defense og National Security Agencys komponenter som er ansvarlige for cybersikkerhet, samtidig som det etableres et programkontor innen Joint Forces Headquarters-DODIN for å sentralisere håndteringen av informasjonsprodukter for cybertrusler på tvers av forsvarsdepartementet.
Lovforslaget gir også mandat til den første taksonomien av cybervåpen og cyberkapasiteter og krever at forsvarsministeren oppretter en programvareutviklings- og anskaffelseskadre for å bistå med utvikling og anskaffelse av programvare ved å gi ekspertråd, assistanse og ressurser. Et tilskuddsprogram opprettet av Kongressen vil finansiere cybersikkerhetsforskning i koordinering med Israel.
Et nasjonalt cyberøvelsesprogram er også skissert i lovforslaget. Det vil tvinge CISA og andre myndighetsorganer til å teste den nasjonale responsplanen for cyberhendelser og, “i den grad det er praktisk mulig, simulere delvis eller fullstendig inhabilitet av et statlig eller kritisk infrastrukturnettverk som følge av en cyberhendelse.” En endring krever også at CISA oppdaterer sin hendelsesresponsplan minst hvert annet år.
DOD er nå pålagt å sende inn en rapport om hvordan Cybersecurity Maturity Model Certification-programmet påvirker små bedrifter takket være regningen. Eksperter antydet også tillegget av lærlingprogrammet for å utvide det tilgjengelige cybertalentet så vel som veteranopplæringsprogrammet.
CISA får mer midler til et program kalt “CyberSentry” som gir “kontinuerlig overvåking av cybersikkerhetsrisikoer til kritisk infrastruktur som eier eller driver industrielle kontrollsystemer som støtter nasjonale kritiske funksjoner.”
Bill Lawrence, CISO ved SecurityGate, sa at CyberSentry var en noe kontroversiell bestemmelse fordi den sier at CISA “kan få tilgang til all nettverkstrafikk, inkludert innholdet i kommunikasjon, som lagret i CyberSentry-stakken for å analysere opprinnelsen til et varsel og/eller evaluere tilstanden til nettverket.”
“Det er gyldige grunner til at CISA skal bidra til å beskytte amerikansk kritisk infrastruktur, akkurat som det er gyldige grunner for CI-eiere og -operatører til ikke å ønske statlige sensorer på nettverkene deres, samt gyldige argumenter fra sikkerhetsleverandører om at regjeringen gir bort cybertjenester gratis (ved å bruke skattebetalernes penger, selvfølgelig),» sa Lawrence.
“DHS inkluderer en god del personvernhensyn i CyberSentry-skrivingen. Det ville være nyttig å også lese om de taktiske og strategiske målene for dette programmet og se om rask informasjonsdeling med alle CI-eiere og -operatører er inkludert, og bidra til å avgjøre om denne juicen er verdt å presse på de kommersielle leverandørene. Jeg har mine bekymringer.”
Men det som vakte mest interesse, var det lovforslaget manglet, nemlig en bestemmelse om rapportering av cyberhendelser som ble heftig diskutert og til slutt forsvant i siste liten.
I flere måneder har demokratiske og republikanske senatorer jockeyet over språket i en bestemmelse om rapportering av cyberhendelser i NDAA. I november jobbet to demokrater – Gary Peters og Mark Warner – sammen med to republikanere – Rob Portman og Susan Collins – for å introdusere en ny endring av NDAA som ville ha tvunget eiere og operatører av kritisk infrastruktur så vel som sivile føderale byråer. å rapportere alle nettangrep og løsepengevarebetalinger til CISA.
Men innen desember rapporterte The Washington Post at Florida-senator Rick Scott tok et problem med bestemmelsen om løsepengevarerapportering og kalte den for bred, og ba senatorer begrense språket til bedrifter i de 16 kritiske bransjene. Kilder fortalte CyberScoops Tim Starks at debatten om løsepengevarespråket gikk for lang og forhandlere i huset og senatet endte opp med å utelate hele bestemmelsen.
Lawrence bemerket at noen selskaper hadde problemer med å rapportere brudd eller løsepengevareangrep innen 72 timer etter oppdagelse og løsepenger innen 24 timer etter utbetaling. Han forklarte at mindre organisasjoner ikke har 24/7 sikkerhetsoperasjonssenter tilgjengelig for dem, noe som begrenser deres evne til å reagere på slike hendelser, langt mindre fortelle den amerikanske regjeringen hva som skjer under hendelsesresponsen.
Rep. Bennie Thompson og rep. Yvette Clarke bemerket at lovgivning om cybersikkerhetshendelser var inkludert i House NDAA som vedtok i september. De to – som henholdsvis fungerer som formann for komiteen for hjemmesikkerhet og formann for underkomiteen for nettsikkerhet, infrastrukturbeskyttelse og amp; Innovasjon – forklarte i en uttalelse at det var intensiv innsats for å få rapportering av cyberhendelser i regningen, men “til slutt løp klokken ut på å få den inn i NDAA.”
“Det var dysfunksjon og uenighet som stammet fra Senatets republikanske ledelse som ikke ble løst før midt på formiddagen i dag – langt etter NDAA-fristen. Dette resultatet er mer enn skuffende og undergraver nasjonal sikkerhet,” sa Thompson og Clarke.
“Vi hadde håpet å markere ettårsdagen for oppdagelsen av SolarWinds forsyningskjedeangrep ved å sende lovgivning om rapportering av cyberhendelser til presidentens skrivebord. I stedet forsinket Senatets republikanske ledere ting så betydelig at vinduet avsluttet på å få rapportering av cyberhendelser inkludert i NDAA. Vi er dypt skuffet over at momentumet vi hadde på vei inn i NDAA ikke ga suksess, men er fullt forpliktet til å jobbe på tvers av midtgangen og med Senatet for å finne en annen vei fremover.”
Sikkerhet
Log4j-trussel: Hva du trenger å vite og hvordan du kan beskytte deg selv Ransomware i 2022: Vi er alle skrudd Microsoft Patch Tuesday: Zero-day utnyttet for å spre Emotet malware Kronos rammet med løsepengeprogramvare, advarer om datainnbrudd og “flere ukers” utfall De beste VPN-ene for små og hjemmebaserte bedrifter i 2021 Sikkerhet | CXO | Innovasjon | Smarte byer