Legislacyjny game changer. W USA będą nowe zasady zgłaszania incydentów krytycznych

Podmioty odpowiadające za infrastukturę krytyczną, objęte obowiązkiem raportowania incydentów krytycznych do CISA będą zobowiązane także do zgłaszania wszelkich prób zastosowania oprogramowania ransomware dla okupu, w ciągu 24 godzin od zdarzenia (zgodnie z ustawą Cyber Incident Reporting for Critical Infrastructure Act z 2022 r.) – podaje InfosecurityMagazine.

Nowe przepisy zostały przygotowane w związku z rosnącą skalą ataków ransomware i innymi zagrożeniami cybernetycznymi, przed którymi stoją organizacje zajmujące się infrastrukturą krytyczną. Zagrożenie atakami na infrastrukturę krytyczną wzrosło także wraz z wojną w Ukrainie.

Celem nowej legislacji jest zniechęcenie organizacji do płacenia okupu w przypadku ataku oprogramowaniem szyfrującym dane oraz zapewnienie większej ilości informacji na temat incydentów i planów cyberprzestępców dla organów, które odpowiadają za cyberbezpieczeństwo. To ma pomóc w wymianie informacji między agencjami federalnymi, Departamentem Sprawiedliwości (DoJ) a np. FBI.

Nowe wymagania będą dotyczyły raportowania incydentów krytycznych w stosunku do organizacji, które zaliczane są do 16 sektorów uznawanych za krytyczne dla Stanów Zjednoczonych. Firmy muszą zgłaszać „istotne” incydenty cybernetyczne takie jak te, które powodują zagrożenie bezpieczeństwa, odporności systemów operacyjnych, procesów i zakłócanie działalności biznesowej czy przemysłowej.

Raporty dotyczące incydentów mają zawierać szczegóły zdarzeń, w tym np. luki w zabezpieczeniach, działania podjęte by minimalizować skutki ataku, kategorie wykradzionych danych oraz podmioty, które podejrzewa się o odpowiedzialność za incydent. W razie pojawienia się nowych informacji, organizacje mają być zobowiązane do uzupełnienia raportów.

„Legislacyjny game changer”

Dyrektor CISA Jen Easterly stwierdziła - komentując zmiany legislacyjne - że „CISA pochwala uchwalenie przepisów dotyczących zgłaszania incydentów cybernetycznych”.

„Dzięki wsparciu naszych wielu partnerów w Kongresie, CISA będzie dysponować danymi, których potrzebujemy, aby lepiej chronić infrastrukturę krytyczną i firmy przed niszczycielskimi skutkami cyberataków” – oceniła.

„CISA wykorzysta te raporty od partnerów z sektora prywatnego, aby wspólnie zrozumieć, w jaki sposób nasi przeciwnicy atakują amerykańskie sieci i infrastrukturę krytyczną. Informacje te wypełnią krytyczne luki informacyjne i pozwolą nam szybko rozmieścić zasoby i udzielić pomocy ofiarom ataków, analizować przychodzące raporty z różnych sektorów w celu wykrycia trendów i szybko udostępniać te informacje, aby ostrzec inne potencjalne ofiary. CISA jest zaangażowana we współpracę i przejrzystą współpracę z naszymi partnerami branżowymi i rządowymi w celu zwiększenia bezpieczeństwa, odporności sieci oraz infrastruktury krytycznej naszego kraju. Mówiąc wprost, ta legislacja zmienia zasady gry. Dzisiejszy dzień oznacza strategiczny krok naprzód dla kolektywnej cyberobrony naszego narodu” – podsumowała Jen Easterly. Określiła także nowe przepisy „legislacyjnym game changerem”.

Wymogi nie weszły jeszcze w życie, a dyrektor CISA ma dwa lata na opublikowanie zawiadomienia o proponowanym kształcie przepisów w celu wdrożenia ustawy i 18 miesięcy na wydanie decyzji, co do ostatecznych zasad.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.

/NB