Senát schválil zákon o kybernetickej bezpečnosti, ktorý núti organizácie hlásiť kybernetické útoky, platby výkupného

Americký Senát schválil novú legislatívu v oblasti kybernetickej bezpečnosti, ktorá prinúti organizácie kritickej infraštruktúry podávať správy kybernetické útoky na Agentúru pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) do 72 hodín a platby ransomvéru do 24 hodín.

The Posilnenie amerického zákona o kybernetickej bezpečnosti prešiel jednomyseľným súhlasom v utorok po bytí zavedené 8. februára senátormi Robom Portmanom a Garym Petersom, členom a predsedom senátneho výboru pre vnútornú bezpečnosť a vládne záležitosti.

Akt kombinuje kúsky Zákon o hlásení kybernetických incidentov, Federálny zákon o modernizácii informačnej bezpečnosti z roku 2021

, a Federal Secure Cloud Improvement and Jobs Act -- autormi všetkých sú Peters a Portman a postúpili z výboru skôr, ako sa zrazili.

200-stranový zákon obsahuje niekoľko opatrení určených na modernizáciu postoja federálnej vlády v oblasti kybernetickej bezpečnosti a obaja Peters a Portman povedal, že legislatíva je „naliehavo potrebná“ vo svetle americkej podpory Ukrajine, ktorú minulý týždeň napadlo Rusko.

Obávam sa, že náš národ to právom naďalej podporuje #Ukrajina počas nezákonného, ​​neospravedlniteľného útoku Ruska budú USA čeliť zvýšenému počtu kybernetických a ransomvérových útokov z Ruska. Federálna vláda musí rýchlo koordinovať svoju reakciu na akékoľvek potenciálne útoky.

— Rob Portman (@senrobportman) 2. marca 2022

„Keďže náš národ naďalej podporuje Ukrajinu, musíme sa pripraviť na odvetné kybernetické útoky zo strany ruskej vlády... Táto prelomová legislatíva, ktorá teraz prešla Senátom, je významným krokom vpred k zabezpečeniu Spojených štátov Štáty môžu bojovať proti kyberzločincom a zahraničným protivníkom, ktorí spúšťajú tieto vytrvalé útoky,“ Peters povedal.

„Náš medzník, návrh zákona o dvoch stranách zabezpečí, že CISA je vedúcou vládnou agentúrou zodpovednou za pomoc kritickej infraštruktúre prevádzkovatelia a civilné federálne agentúry reagujú a zotavujú sa z veľkých porušení siete a zmierňujú prevádzkové dopady hacky. Budem naďalej naliehať na svojich kolegov v Parlamente, aby schválili túto naliehavo potrebnú legislatívu na zlepšenie verejnej a súkromnej kybernetickej bezpečnosti ako novú. Odhalia sa zraniteľné miesta a zabezpečia, aby federálna vláda mohla zabezpečiť a bezpečne využívať cloudovú technológiu na šetrenie daňových poplatníkov. dolárov."

Zákon tiež oprávňuje Federálny program riadenia rizík a autorizácie (FedRAMP) na päť rokov, aby sa zabezpečilo, že federálne agentúry môžu "rýchlo a bezpečne osvojte si cloudové technológie, ktoré zlepšujú vládne operácie a efektivitu." Akt sa snaží zefektívniť zákony federálnej vlády v oblasti kybernetickej bezpečnosti na zlepšenie koordinácie medzi federálnymi agentúrami a vyžadujú, aby všetky civilné agentúry hlásili všetky kybernetické útoky na CISA.

Legislatíva aktualizuje prah agentúr na hlásenie kybernetických incidentov Kongresu a dáva CISA väčšiu právomoc zabezpečiť, aby bola hlavnou federálnou agentúrou zodpovednou za reakciu na incidenty kybernetickej bezpečnosti na federálnych civilných siete.

Teraz smeruje do Snemovne na hlasovanie predtým, ako sa dostane k stolu prezidenta Joea Bidena. Peters a Portman uviedli, že na schválení zákona spolupracujú s predsedníčkou výboru pre dohľad Snemovne reprezentantov Carolyn Maloneyovou, ako aj s republikánskymi a demokratickými zákonodarcami v Snemovni.

Povedal Maloney ZDNet že zákon obsahuje Federálny zákon o modernizácii informačnej bezpečnosti, ustanovenie, ktoré označila za jednu zo svojich „najvyšších legislatívnych priorít“.

„Výbor pre dohľad a reformu odštartoval rok 2022 vypočutím a označovaním oboch strán s cieľom preskúmať, ako najlepšie pristupovať k FISMA. modernizácie a tešíme sa na začlenenie týchto zásadných poznatkov, ktoré sme sa naučili, keď toto úsilie prechádza legislatívnym procesom,“ povedal Maloney.

„Reforma FISMA určí náš federálny postoj v oblasti kybernetickej bezpečnosti na ďalšie roky a je nevyhnutné, aby záverečný návrh zákona využíva každú príležitosť na obranu našich federálnych sietí pred náporom útokov, ktorým čelia denne."

Rep. Jim Langevin, spolupredseda výboru pre kybernetickú bezpečnosť, uviedol, že FISMA a FedRamp cez cieľovú čiaru a na prezidentský stôl „by mala byť hlavnou prioritou kongres."

„Moji kolegovia v Parlamente a ja sme tvrdo pracovali na tom, aby sme vyvinuli silné výrazy, aby sme dosiahli tieto ciele, nie všetky ktoré sú zahrnuté v tomto návrhu zákona, ako napríklad potreba kodifikovať dvojitú úlohu federálneho CISO,“ Langevin povedal ZDNet. "Teším sa, že budeme stavať na pokroku dosiahnutom tento týždeň pri schvaľovaní prísnej kybernetickej legislatívy z oboch komôr, aby sme mohli splniť naliehavé potreby našej krajiny v oblasti kybernetickej bezpečnosti."

Vo svojom vlastnom vyhlásení Portman tiež navrhol spôsoby, ako tento zákon aktualizuje FISMA a poskytne „zodpovednosť potrebnú na vyriešenie dlhodobých nedostatkov v federálnej kybernetickej bezpečnosti objasnením úloh a zodpovedností a požiadavkou vlády, aby rýchlo informovala americký ľud, ak sú jeho informácie kompromitovaný."

Obaja senátori poznamenali, že návrh zákona by sa vzťahoval na ransomvérové ​​útoky v roku 2021 Koloniálny plynovod a globálny spracovateľ mäsa JBS. Obaja však uviedli, že legislatíva „pomôže zabezpečiť subjekty kritickej infraštruktúry, ako sú banky, elektrické siete, vodovodné siete atď dopravné systémy sú schopné rýchlo sa zotaviť a poskytnúť základné služby americkému ľudu v prípade siete porušenia." 

Spoluzakladateľ CyberSaint Padriac O'Reilly pracuje priamo s kritickou infraštruktúrou v rámci finančných služieb, verejných služieb a vlády na meranie kybernetického rizika.

O'Reilly vysvetlil, že súčasná situácia v oblasti kybernetickej bezpečnosti už dávno opotrebovala vzdorovitosť určitých sektorov kritickej infraštruktúry vzhľadom na 72-hodinový interval podávania správ pre incidenty.

„V legislatíve sú dve sekcie, ktoré sú pre mňa veľmi hlboké. Hovoria o analýze rizík založenej na rozpočte na zlepšenie kybernetickej bezpečnosti a celkovom prístupe ku kybernetickej oblasti založenom na metrikách. To je presne to, čo je potrebné a v tomto odvetví je to už nejaký čas známe,“ povedal O'Reilly.

„§ 115 sa týka vykazovania automatizácie. Toto je veľmi aktuálne, keďže automatizácia v súkromnom sektore napreduje a je kľúčová vzhľadom na budúce riadenie rizík. Bol som naozaj ohromený, keď som to videl na účte. Vláda sa už roky snaží napredovať v tejto veci naprieč všetkými agentúrami a ministerstvami. Sekcia 119 sa skutočne dostáva k svätému grálu v riadení rizík, ktorým je schopnosť pozerať sa na riziká kybernetickej bezpečnosti prioritne s ohľadom na rozpočet.“