Цель закона — предоставить компаниям правовое прикрытие для обмена информацией об угрозах с правоохранительными органами и государственными органами.
Федеральные чиновники начинают работу с частным сектором, чтобы подготовиться к историческому положению, принятому на прошлой неделе, которое требует, чтобы поставщики критически важной инфраструктуры уведомляли Агентство кибербезопасности и безопасности инфраструктуры от злонамеренных кибер-вторжений.
Ключевые поставщики, включая коммунальные услуги, банки, поставщиков энергии и другие сектора, должны будут предупредить CISA в течение 72 часов после крупной кибератаки или 24 часов после выплаты выкупа в соответствии с новыми федеральными нормами. Эти требования являются частью долгожданного партнерства, которое защищает компании от ответственности и позволяет быстро обмениваться информацией.
Законодательство дает CISA право вызывать в суд компании, которые не соблюдают требования к отчетности, и направлять их в Министерству юстиции, если они не предоставят запрошенную информацию.
Цель закона — предоставить компаниям юридическое прикрытие для обмена информацией об угрозах с правоохранительными органами и государственными учреждениями. Атака SolarWinds показала, что федеральные власти практически ничего не знали об ИТ-инфраструктуре страны.
Частный сектор проинформировал государственные органы только о 30% кибератак, с которыми они столкнулись, сказал сенатор Марк Уорнер, D — Вирджиния, председатель сенатского комитета по разведке, во время слушаний на прошлой неделе по международным угрозам. Это означает, что у правительства нет данных примерно о 70 % киберугроз, с которыми сталкивается США
Руководители высшего звена и акционеры часто держат информацию об утечках данных и кибератаках по принципу служебной необходимости, опасаясь смущения публичного раскрытия и опасаясь, что обмен информацией приведет к судебным искам инвесторов, расследованиям правоохранительных органов и необратимому ущербу. для репутации бренда.
«Многие компании исторически стремились поддерживать правдоподобное опровержение, поскольку раскрытие информации о кибервторжениях имеет существенное значение и является источником значительного риска для репутации», — Том Келлерманн, руководитель отдела стратегии кибербезопасности в VMware. , — говорится в сообщении электронной почты. «Слишком долго завеса правдоподобного отрицания подрывала инвестиции в кибербезопасность».
Новый закон поможет закрыть пробелы в информации для следователей и специалистов по безопасности, сказал Роберт Шелдон, директор по общественной политике и стратегии CrowdStrike. , одной из ведущих национальных фирм по кибербезопасности и реагированию на инциденты. По его словам, CISA и другие соответствующие правительственные учреждения нуждаются в своевременном доступе к информации об угрозах и программах-вымогателях.
«За последние пару лет кибератаки, направленные на критически важную инфраструктуру, становятся все более серьезными и действенными, — сказал Шелдон.
По словам Шелдона, закон закрывает некоторые пробелы в информации как для следователей, так и для респондентов, что может помочь укрепить общий уровень безопасности поставщиков критически важной инфраструктуры.
Однако провайдерам по-прежнему необходимо внедрять передовой опыт в целях проактивной защиты, включая использование методов обнаружения и реагирования конечных точек, нулевого доверия и надежной защиты журналов.
Ведущие поставщики взвешивают
В течение нескольких месяцев после обнаружения атаки SolarWinds в декабре 2020 года корпорация Майкрософт активно выступала за более широкий обмен информацией между отраслью и федеральное правительство.
Microsoft, цель злоумышленника SolarWinds, которого она назвала Nobelium, публично назвала множество других фирм в сфере информационных технологий, которые, как известно, пострадали от того же злоумышленника либо через вектор SolarWinds, либо через прямое воздействие. , но не опубликовал подробную информацию об угрозах.
«На фоне возросших угроз со стороны противников из числа государств и киберпреступников приятно видеть, что Конгресс принял двухпартийный закон об отчетности об инцидентах — решительный шаг к укреплению национальной киберзащиты в критически важной инфраструктуре и укреплению киберэкосистемы, » Том Берт, корпоративный вице-президент Microsoft по безопасности и доверию клиентов, написал в Твиттере после того, как Сенат принял положение об отчетах об инцидентах.
SolarWinds, которая была первоначально уведомлена об атаке исследователями FireEye Mandiant, сообщила об этом. с готовностью делились информацией об угрозах с федеральными властями после атаки.
Компании должны быть открытыми и прозрачными в отношении раскрытия конфиденциальных данных, чтобы предотвратить распространение вредоносных атак на другие компании в будущем, заявила компания.
«SolarWinds добровольно уведомила США. правительству, когда мы узнали об инциденте Sunburst, который был нацелен на SolarWinds и другие компании, и мы предложили полное и абсолютное сотрудничество», — сказал Чип Дэниелс, глава отдела по связям с правительством в SolarWinds, в заявлении по электронной почте. «Характер сегодняшнего ландшафта киберугроз означает, что оборонные роли государственного сектора и частных компаний сейчас более взаимосвязаны, чем когда-либо — кибербезопасность является обязанностью каждого».
SolarWinds полностью поддерживает новые правила, — сказал Дэниелс и описал подход директора CISA Джен Истерли и ее команды был точным.
Для практического применения этого законодательства потребуется лучшее понимание временных правил от CISA, однако Дэниелс добавил, что SolarWinds с нетерпением ждет более подробной информации о том, как будет проходить этот процесс.
Что это дает властям
Помимо обмена информацией о киберугрозах, новые правила предназначены для того, чтобы предоставить федеральным властям более подробную информацию и оперативную информацию о преступлениях, связанных с программами-вымогателями и вымогательством, в режиме реального времени.
Несмотря на то, что компании неохотно делятся информацией об утечках данных и простых атаках на цепочки поставок, они еще более скрытно относятся к атакам программ-вымогателей. Колебание отчасти связано с тем, что они сталкиваются с возможностью того, что злоумышленники могут публиковать конфиденциальные данные компании или компрометировать информацию в Даркнете или продавать ее второстепенным злоумышленникам.
Руководители Colonial Pipeline тайно поделились информацией о 4,4 миллиона долларов в платежи злоумышленникам после атаки, которая привела к шестидневной остановке ее крупного топливного трубопровода. ФБР удалось вернуть около 2,3 миллиона долларов в ходе операции по распоряжению суда, чтобы вернуть часть биткойн-платежей, предоставленных Colonial во время атаки.
«Когда системам Colonial угрожал злоумышленник, уведомление властей было логичным шагом», — заявили в компании Cybersecurity Dive. К полудню связались с ФБР и CISA через ФБР.
В компании заявили, что федеральное правительство может сыграть важную роль в предоставлении рекомендаций и обмене передовым опытом реагирования на атаки такого типа, включая обмен уроками, извлеченными из предыдущих инцидентов.
Колониальные чиновники подчеркивали важность того, чтобы компании имели четкие указания, с кем им следует работать в правительстве. В прошлом руководители компаний не знали, какое агентство отвечает за обработку инцидентов.
«Для компаний, защищающихся от этих развивающихся угроз или реагирующих на атаки, важно иметь четкое представление о том, с кем в правительстве они должны координировать свои действия», — говорится в сообщении компании.