0
0
Quando o presidente Biden assinou o projeto de lei de gastos ônibus na terça-feira, ele também colocou em prática a Lei bipartidária de Relatórios de Incidentes Cibernéticos, que exige que empresas de infraestrutura críticas nos 16 setores do setor identificados pelo governo federal se reportem à Agência de Segurança cibernética e infraestrutura (CISA) dentro de 72 horas se estiverem enfrentando um ataque cibernético e dentro de 24 horas após fazer um pagamento de ransomware.
Embora esta não fosse a lei de violação de dados que está parada no Congresso há muitos anos, foi notável que o Senado aprovou a legislação por unanimidade. O projeto foi defendido pelos senadores Gary Peters (D-Mich.) e Rob Portman (D-Ohio); abrange uma ampla faixa da economia, incluindo o setor de base industrial de defesa, que tem mais de 100.000 empresas sozinhas.
Game Changer
“É um divisor de águas”, diz Tom Kellerman, chefe de estratégia de segurança cibernética da VMware. “É uma decisão estratégica fundamentalmente importante tomada pelo governo federal para finalmente eliminar a negação plausível que existia há muito tempo. … As corporações têm [há algum tempo] subinvestido em segurança cibernética porque sempre poderiam manter negação plausível.”
Kellerman argumenta que a nova lei forçará as empresas a contratar um CISO, dar a essa pessoa um orçamento e fornecer supervisão de resposta de detecção.
“As empresas precisam mostrar que estão levando isso a sério”, diz Kellerman. “Ou eles terão que contratar um CISO, ou se já tiverem um, promover o CISO e garantir que eles tenham autoridade de veto sobre o CIO. O conselho geral também terá que se familiarizar mais com as leis de privacidade e cibernética. Eles precisarão trabalhar lado a lado com o CISO em seus esforços de compartilhamento de informações em parcerias público-privadas com os ISACs e trabalhando com a CISA.”
A nova lei dá à CISA a autoridade para intimar empresas que não relatarem incidentes de segurança cibernética ou pagamentos de ransomware. As organizações que não cumprirem a intimação podem ser encaminhadas ao Departamento de Justiça.
A disposição exige que a CISA inicie um programa que alertará as organizações sobre vulnerabilidades que os atores de ransomware exploram e orienta o diretor da CISA, Jen Easterly, a estabelecer uma força-tarefa conjunta de ransomware para coordenar os esforços federais — em conjunto com a indústria — para prevenir e interromper ataques de ransomware. A nova lei do omnibus também autoriza US$ 2,59 bilhões em financiamento para a CISA, que foi US$ 300 milhões acima da proposta do governo Biden.
“Esta é uma legislação muito significativa, pois aborda as crescentes ameaças à segurança cibernética em meio a crescentes preocupações de que a invasão da Ucrânia pela Rússia possa levar hackers apoiados pelo Kremlin a atacar infraestruturas críticas, como hospitais, usinas e gasodutos de combustível”, observa Chris Cruz, CIO do SLED em Tanium.
O Repositório
CentralizadoCISA terá um repositório centralizado de informações sobre planos, programas e operações de atores de ameaças, observa. “Isso permitirá o compartilhamento de informações entre as agências críticas como o DoJ e o FBI e fornecerá um método padronizado para lidar com esses ataques, processar esses hackers cibernéticos de perspectiva e garantir que cada entidade de relatórios tenha uma estratégia de segurança cibernética bem definida que integra segurança e operações em suas respectivas redes.”
Davis McCarthy, principal pesquisador de segurança da Valtix, acrescenta que a nova lei de notificação de incidentes é uma abordagem proativa e colaborativa do governo federal para combater a crescente indústria de crimes cibernéticos. McCarthy diz que os dados se tornaram uma mercadoria valiosa nos mercados tradicional e criminal.
“Eles dizem que ‘saber é metade da batalha’, e essa lei melhorará nossa compreensão coletiva de quem roubou os dados, quais dados eles querem a seguir e o que eles estão a ganhar ao possuí-los”, diz McCarthy. “No entanto, a lei usa a política para disponibilizar um valioso processo de segurança às organizações públicas e críticas de infraestrutura. A lei não impõe o valor de saída: Ninguém precisa corrigir uma vulnerabilidade crítica, endurecer sua infraestrutura em nuvem ou caçar ameaças para ransomware recente [indicadores de compromisso].”
Kellerman, da VMware, teria gostado de ter visto os legisladores serem mais duros com os pagamentos de ransomware e os operadores de criptomoedas que gerenciam os pagamentos de resgate, muitos dos quais têm laços com a Coreia do Norte e a Rússia. Ele diz que os oficiais federais coletarão dados e, com o tempo, provarão a correlação entre os pagamentos do resgate e os atores de ameaças ruins.
“Eu gostaria de ver uma proibição de pagamentos de ransomware e regulação explícita no que diz respeito às trocas”, diz Kellerman. “Mas estou em segurança cibernética há 23 anos. Ter uma verdadeira ação de bipartidarismo nesse sentido é histórico.”
FONTE: DARK READING