Il Senato approva una legge sulla sicurezza informatica che obbliga le organizzazioni a segnalare attacchi informatici e pagamenti di riscatto

Il Senato degli Stati Uniti ha approvato una nuova legislazione sulla sicurezza informatica che costringerà le organizzazioni di infrastrutture critiche a riferire attacchi informatici alla Cybersecurity and Infrastructure Security Agency (CISA) entro 72 ore e pagamenti di ransomware entro 24 ore.

IL Rafforzamento della legge americana sulla sicurezza informatica passato per consenso unanime il martedì dopo essere stato introdotto l'8 febbraio dai senatori Rob Portman e Gary Peters, membro di rango e presidente della commissione per la sicurezza interna e gli affari governativi del Senato.

L'atto combina pezzi del Legge sulla segnalazione di incidenti informatici, la legge federale sulla modernizzazione della sicurezza delle informazioni del 2021, e il Federal Secure Cloud Improvement and Jobs Act - tutti scritti da Peters e Portman e usciti dal comitato prima di fallire.

L'atto di 200 pagine include diverse misure progettate per modernizzare la posizione di sicurezza informatica del governo federale, ed entrambi i Peters e Portman ha affermato che la legislazione era "urgentemente necessaria" alla luce del sostegno degli Stati Uniti all'Ucraina, che è stata invasa dalla Russia la scorsa settimana.

Sono preoccupato per questo, come giustamente la nostra nazione continua a sostenere #Ucraina durante l'assalto illegale e ingiustificabile della Russia, gli Stati Uniti dovranno affrontare un aumento degli attacchi informatici e ransomware dalla Russia. Il governo federale deve coordinare rapidamente la sua risposta a eventuali potenziali attacchi.

— Rob Portman (@senrobportman) 2 marzo 2022

"Mentre la nostra nazione continua a sostenere l'Ucraina, dobbiamo prepararci ad attacchi informatici di rappresaglia da parte del governo russo... Questa legislazione storica, che ora è stata approvata dal Senato, è un significativo passo avanti per garantire gli Stati Uniti Gli Stati possono reagire contro i criminali informatici e gli avversari stranieri che lanciano questi attacchi persistenti", Peters disse.

"Il nostro punto di riferimento, il disegno di legge bipartisan assicurerà che CISA sia la principale agenzia governativa responsabile dell'assistenza alle infrastrutture critiche gli operatori e le agenzie federali civili rispondono e si riprendono dalle principali violazioni della rete e mitigano gli impatti operativi da trucchi. Continuerò a esortare i miei colleghi alla Camera ad approvare questa legislazione urgentemente necessaria per migliorare la sicurezza informatica pubblica e privata come nuova le vulnerabilità vengono scoperte e garantire che il governo federale possa utilizzare in modo sicuro e sicuro la tecnologia basata su cloud per salvare i contribuenti dollari".

La legge autorizza anche il programma federale di gestione dei rischi e delle autorizzazioni (FedRAMP) per cinque anni per garantire che le agenzie federali possano "adotta in modo rapido e sicuro tecnologie basate su cloud che migliorano le operazioni e l'efficienza del governo". L'atto tenta di semplificare leggi sulla sicurezza informatica del governo federale per migliorare il coordinamento tra le agenzie federali e richiede a tutte le agenzie civili di segnalare tutto attacchi informatici al CISA.

La legislazione aggiorna la soglia per le agenzie per segnalare incidenti informatici al Congresso e conferisce alla CISA maggiore autorità per garantire che sia la principale agenzia federale incaricata di rispondere agli incidenti di sicurezza informatica sui civili federali reti.

Ora si dirige alla Camera per un voto prima di raggiungere la scrivania del presidente Joe Biden. Peters e Portman hanno affermato di aver lavorato con il presidente del comitato di supervisione della Camera Carolyn Maloney e con i legislatori repubblicani e democratici alla Camera per ottenere l'approvazione del disegno di legge.

Maloney ha detto ZDNet che l'atto contiene il Federal Information Security Modernization Act, una disposizione che ha definito una delle sue "massime priorità legislative".

"Il Comitato per la supervisione e la riforma ha dato il via al 2022 con un'audizione bipartisan e un markup per esaminare il modo migliore per affrontare FISMA modernizzazione e non vediamo l'ora di incorporare quelle lezioni cruciali apprese mentre questo sforzo avanza attraverso il processo legislativo", disse Malney.

"La riforma FISMA determinerà la nostra posizione federale in materia di sicurezza informatica per gli anni a venire ed è essenziale che il il disegno di legge finale coglie ogni opportunità per difendere le nostre reti federali dall'assalto degli attacchi che devono affrontare quotidiano."

Rappresentante. Jim Langevin, co-presidente del Cybersecurity Caucus, ha dichiarato di ricevere segnalazioni di incidenti, FISMA e FedRamp oltre il traguardo e sulla scrivania del presidente "dovrebbe essere la massima priorità per questo Congresso."

"I miei colleghi alla Camera e io abbiamo lavorato duramente per sviluppare un linguaggio forte per raggiungere questi obiettivi, non solo di cui è incluso in questo disegno di legge, come la necessità di codificare il ruolo dual-hat del CISO federale", Langevin detto ZDNet. "Non vedo l'ora di sfruttare i progressi di questa settimana per approvare una forte legislazione informatica da entrambe le camere, in modo da poter soddisfare le urgenti esigenze di sicurezza informatica della nostra nazione".

Nella sua stessa dichiarazione, Portman ha anche pubblicizzato i modi in cui l'atto aggiornerà FISMA e fornirà "la responsabilità necessaria per risolvere debolezze di lunga data in sicurezza informatica federale chiarendo ruoli e responsabilità e richiedendo al governo di informare rapidamente il popolo americano se le loro informazioni lo sono compromesso».

Entrambi i senatori hanno notato che il disegno di legge si sarebbe applicato agli attacchi ransomware del 2021 su Pipeline coloniale e trasformatore di carne globale JBS. Ma i due hanno affermato che la legislazione "contribuirà a garantire entità infrastrutturali critiche come banche, reti elettriche, reti idriche e i sistemi di trasporto sono in grado di recuperare rapidamente e fornire servizi essenziali al popolo americano in caso di rete violazioni”.

Il co-fondatore di CyberSaint, Padriac O'Reilly, lavora direttamente con l'infrastruttura critica dei servizi finanziari, delle utility e del governo per misurare il rischio informatico.

O'Reilly ha spiegato che l'attuale panorama della sicurezza informatica ha logorato la vecchia data riluttanza di alcuni settori delle infrastrutture critiche rispetto alla finestra di segnalazione di 72 ore per incidenti.

"Ci sono due sezioni molto profonde nella legislazione che mi colpiscono. Parlano di un'analisi del rischio basata sul budget per migliorare la sicurezza informatica e un approccio basato su metriche al cyber in generale. Questo è esattamente ciò di cui c'è bisogno ed è noto da tempo nel settore", ha affermato O'Reilly.

"La sezione 115 riguarda i rapporti sull'automazione. Questo è molto opportuno poiché l'automazione sta avanzando nel settore privato ed è fondamentale per quanto riguarda la gestione del rischio in futuro. Sono rimasto davvero colpito nel vedere questo nel conto. Il governo ha cercato per anni di portare avanti questa causa in tutte le agenzie e dipartimenti. La sezione 119 arriva davvero al Santo Graal nella gestione del rischio, che è la capacità di visualizzare i rischi di sicurezza informatica in modo prioritario rispetto al budget".