Jonathan Greig er journalist baseret i New York City.
Fuld biografi den 2. marts 2022 | Emne: Sikkerhed
Det amerikanske senat godkendte ny cybersikkerhedslovgivning, der vil tvinge kritiske infrastrukturorganisationer til at rapportere cyberangreb til Cybersecurity and Infrastructure Security Agency (CISA) inden for 72 timer og ransomware-betalinger inden for 24 timer.
Strengthening American Cybersecurity Act blev vedtaget med enstemmigt samtykke tirsdag efter at være blevet introduceret den 8. februar af senatorerne Rob Portman og Gary Peters, rangerende medlem og formand for Senatets Homeland Security and Governmental Affairs Committee.
Loven kombinerer dele af Cyber Incident Reporting Act, Federal Information Security Modernization Act of 2021 og Federal Secure Cloud Improvement and Jobs Act – som alle er forfattet af Peters og Portman og er avanceret af udvalget, før de svirrer.
Den 200 sider lange lov omfatter adskillige foranstaltninger designet til at modernisere den føderale regerings holdning til cybersikkerhed, og både Peters og Portman sagde, at lovgivningen var “trængende nødvendig” i lyset af USA's støtte til Ukraine, som blev invaderet af Rusland i sidste uge.
“Da vores nation fortsætter med at støtte Ukraine, må vi gøre os klar til gengældelses-cyberangreb fra den russiske regering. Som vi har set gentagne gange, kan disse onlineangreb forstyrre vores økonomi markant – herunder ved at drive benzinprisen op og true vores mest væsentlige forsyningskæder – såvel som vores samfunds sikkerhed og sikkerhed. Denne skelsættende lovgivning, som nu har bestået Senatet, er et væsentligt skridt fremad for at sikre, at USA kan kæmpe tilbage mod cyberkriminelle og udenlandske modstandere, der lancerer disse vedvarende angreb, ” sagde Peters.
“Vores skelsættende, todelte lovforslag vil sikre, at CISA er det førende regeringsagentur, der er ansvarlig for at hjælpe kritiske infrastrukturoperatører og civile føderale agenturer med at reagere på og komme sig efter større netværksbrud og afbøde operationelle konsekvenser fra hacks. Jeg vil fortsætte med at opfordre mine kolleger i Parlamentet til at vedtage denne presserende lovgivning for at forbedre offentlig og privat cybersikkerhed, efterhånden som nye sårbarheder opdages, og sikre, at den føderale regering kan trygt og sikkert bruge cloud-baseret teknologi til at spare skatteydernes penge.”
Loven autoriserer også Federal Risk and Authorization Management Program (FedRAMP) i fem år for at sikre, at føderale agenturer “hurtigt og sikkert kan vedtage cloud-baserede teknologier, der forbedrer regeringsdrift og effektivitet.” Loven forsøger at strømline føderale myndigheders cybersikkerhedslove for at forbedre koordineringen mellem føderale agenturer og kræver, at alle civile agenturer rapporterer alle cyberangreb til CISA.
Lovgivningen opdaterer tærsklen for agenturer til at rapportere cyberhændelser til Kongressen og giver CISA mere autoritet til at sikre, at de er det førende føderale agentur med ansvar for at reagere på cybersikkerhedshændelser på føderale civile netværk.
Det går nu til Hus til afstemning, før det går hen til præsident Joe Bidens skrivebord. Peters og Portman sagde, at de har arbejdet sammen med formanden for Husets tilsynsudvalg Carolyn Maloney samt republikanske og demokratiske lovgivere i huset for at få lovforslaget godkendt.
Maloney fortalte ZDNet, at loven indeholder Federal Information Security Modernization Act, en bestemmelse, hun kaldte en af sine “top-lovgivningsmæssige prioriteter.”
“Udvalget for Tilsyn og Reform startede 2022 med en bipartisan høring og markering for at undersøge, hvordan man bedst griber FISMA-moderniseringen an, og vi ser frem til at inkorporere de afgørende erfaringer, som denne indsats bevæger sig gennem lovgivningsprocessen,” sagde Maloney.
“FISMA-reformen vil bestemme vores føderale cybersikkerhedsposition i de kommende år, og det er vigtigt, at det endelige lovforslag griber enhver mulighed for at forsvare vores føderale netværk mod angrebet af angreb, de dagligt står over for. Formand Peters og jeg er i fællesskab forpligtet til dette mål, og vi er sikre på, at det snart vil lykkes os at få denne regning til præsidentens skrivebord.”
I sin egen erklæring fremhævede Portman også, hvordan loven vil opdatere FISMA og give “den ansvarlighed, der er nødvendig for at løse langvarige svagheder i føderal cybersikkerhed ved at afklare roller og ansvar og kræve, at regeringen hurtigt informerer det amerikanske folk, hvis deres oplysninger er kompromitteret.”
Begge senatorer bemærkede, at lovforslaget ville have været gældende for ransomware-angrebene i 2021 på Colonial Pipeline og den globale kødprocessor JBS. Men de to sagde, at lovgivningen ville “hjælpe med at sikre, at kritiske infrastrukturenheder såsom banker, elnet, vandnetværk og transportsystemer hurtigt er i stand til hurtigt at komme sig og levere væsentlige tjenester til det amerikanske folk i tilfælde af netværksbrud.”
CyberSaint-medstifter Padriac O'Reilly arbejder direkte med kritisk infrastruktur på tværs af finansielle tjenester, forsyningsselskaber og regering for at måle cyberrisiko.
O'Reilly forklarede, at det nuværende cybersikkerhedslandskab har slidt den langvarige genstridighed af visse kritiske infrastruktursektorer med hensyn til 72-timers rapporteringsvinduet for hændelser.
“Der er to afsnit meget dybt i lovgivningen, der skiller sig ud for mig. De taler om en budgetbaseret risikoanalyse til forbedring af cybersikkerhed og metrikbaseret tilgang til cyber generelt. Det er netop det, der skal til, og det har været kendt bl.a. noget tid i branchen, men at se det i lovgivningen som et krav for CISA, OMB, NIST og agenturerne. For at citere fra lovforslaget, “modtagelse, sammenlægning og analyse af rapporter relateret til dækkede cyberhændelser indsendt af omfattede enheder og rapporter relateret til løsesumsbetalinger indsendt af omfattede enheder,” sagde O'Reilly.
“Dette vil betydeligt forbedre kvaliteten af information, der er aggregeret og delt tilbage til kritisk infrastruktur. Afsnit 115 dækker automatiseringsrapportering. Dette er meget aktuelt, da automatiseringen har været fremme i den private sektor, og det er nøglen med hensyn til risikostyring fremadrettet. Jeg var virkelig imponeret over at se dette i lovforslaget. Regeringen har i årevis forsøgt at fremme denne sag på tværs af alle agenturer og afdelinger. Afsnit 119 kommer virkelig til den hellige gral i risikostyring, som er evnen til at se cybersikkerhedsrisici på en prioriteret måde med hensyn til budget.”
Sikkerhed
CISA, FBI advarer USA om WhisperGate og HermeticWiper malware. Nogle filer bliver muligvis ikke slettet, når du nulstiller en Windows PC Ukraine eller Rusland? Anonyme hacktivister, ransomware-grupper tager parti Cybersikkerhedsudbrændthed er reel. Og det er et problem for os alle. Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls Regering – USA | Sikkerheds-tv | Datastyring | CXO | Datacentre