Fire amerikanske senatorer har indført en ny todelt ændring af 2022 National Defense Authorization Act (NDAA), som vil tvinge ejere og operatører af kritisk infrastruktur såvel som civile føderale agenturer til at rapportere alle cyberangreb og ransomware-betalinger til CISA.
To demokrater – Gary Peters og Mark Warner – arbejdede sammen med to republikanere – Rob Portman og Susan Collins – for at fremskynde ændringen, som de sagde var baseret på Peters og Portmans Cyber Incident Reporting Act og Federal Information Security Modernization Act fra 2021 .
Ændringen dækker kun bekræftede cyberangreb og ikke dem, der er mistænkt. Men det tvinger alle føderale entreprenører til at rapportere angreb. Der er ingen fin komponent i ændringsforslaget, en af de mange bestemmelser, senatorer havde kæmpet om i flere måneder.
Ofsorganisationer vil have 72 timer til at rapportere angreb, et andet meget omdiskuteret emne blandt regeringens cybersikkerhedseksperter. Nogle ønskede, at det skulle være inden for 24 timer, og andre sagde, at det skulle være inden for en uge.
Men grænsen på 72 timer gælder ikke for alle organisationer. Nogle – som senatorerne sagde, omfattede virksomheder, nonprofitorganisationer og statslige og lokale myndigheder – ville blive tvunget til at rapportere ransomware-betalinger til den føderale regering inden for 24 timer efter betaling blev foretaget.
“Derudover vil ændringen opdatere den nuværende føderale regerings cybersikkerhedslove for at forbedre koordineringen mellem føderale agenturer, tvinge regeringen til at tage en risikobaseret tilgang til sikkerhed, samt kræve, at alle civile agenturer rapporterer alle cyberangreb til CISA og større cyberhændelser til Kongressen,” sagde senatorerne i en erklæring.
“Det giver også yderligere myndigheder til CISA for at sikre, at de er det førende føderale agentur med ansvar for at reagere på cybersikkerhedshændelser på føderale civile netværk.”< /p>
Warner, formand for Senatets udvalgte efterretningskomité, sagde, at SolarWinds-hacket ændrede, hvordan regeringen skal forholde sig til cyberangreb.
“Det ser ud til, at amerikanere hver dag vågner op til nyheden om endnu et ransomware-angreb eller cyberindtrængen, men SolarWinds-hacket viste os, at der ikke er nogen ansvarlig for at indsamle oplysninger om omfanget og omfanget af disse hændelser,” sagde Warner. p>
“Vi kan ikke stole på frivillig rapportering for at beskytte vores kritiske infrastruktur – vi har brug for et rutinemæssigt rapporteringskrav, så når vitale sektorer af vores økonomi er ramt af et cyberbrud, kan den føderale regerings fulde ressourcer mobiliseres til at reagere på , og afværge dens indvirkning. Jeg er glad for, at vi var i stand til at nå frem til et topartisk kompromis om dette ændringsforslag, der behandler mange af de kernespørgsmål, der er rejst af disse højtprofilerede hackinghændelser.”
Peters, formand fra Homeland Security and Governmental Affairs Committee, bemærkede, at cyberangreb og ransomware-hændelser har påvirket alt fra energisektorens virksomheder til den føderale regering selv.
Han roste ændringsforslaget for at sætte CISA “på forkant med vores nations reaktion på alvorlige brud.”
Portman forklarede, at ændringen opdaterer Federal Information Security Modernization Act og giver den nationale cyberdirektør, CISA og andre relevante agenturer “bred synlighed” i de cyberangreb, der finder sted over hele landet.
“Denne todelte ændring til væsentligt at opdatere FISMA vil give den ansvarlighed, der er nødvendig for at løse langvarige svagheder i føderal cybersikkerhed ved at afklare roller og ansvar og kræve, at regeringen hurtigt informerer det amerikanske folk, hvis deres oplysninger er kompromitteret,” sagde Portman.
Den 740 milliarder dollar NDAA er sikker på at blive vedtaget inden årets udgang, men Senatets flertalsleder Chuck Schumer mødte tilbageslag fra republikanere og medlemmer af hans eget parti i denne uge for at forsinke vedtagelsen af lovforslaget. Huset godkendte deres version af lovforslaget i september, og House Armed Services Committee var færdig med sin version i juli.
Det er uklart, om cybersikkerhedsbestemmelserne i lovforslaget vil ændre sig, når Senatets og Husets ledere forener deres forskellige versioner af NDAA.
Mens nogle virksomheder og organisationer har været tilbageholdende med at omfavne obligatoriske cyberangrebsrapporteringsforanstaltninger, sagde cybersikkerhedseksperter generelt, at landet har brug for reglerne for at fremme bedre vaner.
Hank Schless, senior manager hos cybersikkerhedsfirmaet Lookout, sagde, at efterhånden som national sikkerhed og cybersikkerhed bliver mere sammenflettet, vil en anerkendelse af dets betydning fra begge sider af gangen hjælpe med at få mere gjort.
“Denne ændring følger trop i GDPR, som også kræver, at organisationer informerer alle berørte parter om et databrud inden for 72 timer. Dette holder organisationer mere ansvarlige, og det bliver interessant at se, om der er nogen bøder forbundet med manglende rapportering af disse hændelser. som der er med GDPR. Det interessante er, at de fleste enheder vil blive forpligtet til at rapportere, om de har betalt løsesummen i tilfælde af et ransomware-angreb. Det er svært at gætte, hvilken type indflydelse dette kan have,” sagde Schless.
“Hvis de er forpligtet til at oplyse, hvornår betalingen er foretaget, vil disse enheder måske være mindre villige til at betale løsesummen. At se denne type handling på føderalt niveau viser, at USA kan være tættere på at implementere en landsdækkende databeskyttelsespolitik, der svarer til GDPR. Uanset om det ender med at blive tilfældet, er det opmuntrende for nationens fremtidige cyberforsvar at se denne type handling på højeste niveau.”
Rick Holland, CISO hos Digital Shadows, sagde, at status quo ikke virker og udtrykte støtte til brudmeddelelser og krav til ransomware-betaling.
“Vi har ikke et holistisk syn på, hvor slemt problemet er, og rapporteringsmandater kan i det mindste kvantificere omfanget af problemet. Udfordringen er, at rapportering ikke adresserer årsagen til disse hændelser. Status quo er analog. til patienter med kroniske sygdomme som hjertesygdomme; det har taget år at komme til denne tilstand. Der er ikke en magisk indgriben, der vil mindske risikoen fra den ene dag til den anden,” sagde Holland.
Han fortsatte med at sammenligne mængden af midler, der er udpeget til cybersikkerhed, med midlerne givet til kampflyprogrammer og andre forsvarsprioriteter.
“Vi er nødt til at adressere de grundlæggende årsager til sygdommen, ikke kun symptomerne. Koordinering og rapportering løser ikke vores problemer; organisationer skal investere i cybersikkerhed, begyndende med mennesker,” tilføjede Holland. “Cybersikkerhed skal have samme prioritet som disse 'næste generation' våbensystemer.”
Sikkerhed
Det bedste phishing-mål? Din smartphone Hvorfor har du brug for denne sikkerhedsnøgle til $29 FBI: Ransomware grupperer, der binder angreb til 'betydelige økonomiske begivenheder' Signal afslører, hvor langt amerikansk retshåndhævelse vil gå for at få folks information De 10 værste hardwaresikkerhedsfejl i 2021 Cybersecurity 101: Beskyt dit privatliv mod hackere , spioner, regeringen Regeringen – USA | Sikkerheds-tv | Datastyring | CXO | Datacentre