Cơ sở hạ tầng quan trọng phải báo cáo các sự cố mạng, các khoản thanh toán ransomware cho Feds - trong một vài năm

Mar 21 2022
Tổng thống Biden tuần trước đã ký đạo luật mà lần đầu tiên trong lịch sử internet sẽ yêu cầu các nhà khai thác của Hoa Kỳ

Tuần trước, Tổng thống Biden đã ký đạo luật quy định lần đầu tiên trong lịch sử internet yêu cầu các nhà khai thác cơ sở hạ tầng quan trọng của Hoa Kỳ (CI) báo cáo các sự cố mạng “nghiêm trọng” và bất kỳ khoản thanh toán ransomware nào cho chính phủ liên bang. Và đó, theo ít nhất một số bên quan tâm, vừa là một thỏa thuận rất lớn vừa là một thỏa thuận rất tốt.

Jen Easterly, giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) - nơi mà các nhà điều hành CI sẽ phải báo cáo những sự cố đó - đã đăng trên Twitter rằng cô ấy "xúc động" và gọi dự luật này là "một người thay đổi cuộc chơi & một bước tiến quan trọng đối với an ninh mạng của quốc gia chúng ta. ”

Chris Painter, một cựu điều phối viên mạng của Bộ Ngoại giao, người cũng từng làm việc tại FBI và Hội đồng An ninh Quốc gia, đã tweet rằng lần đầu tiên ông làm việc về luật báo cáo sự cố cách đây 20 năm tại Bộ Tư pháp (DoJ) và “đã rất thất vọng trong nhiều năm khi nó luôn bị đình trệ. Cuối cùng thì nó cũng trôi qua! Đây là một yếu tố nền tảng rất cần thiết để đảm bảo an ninh mạng mạnh mẽ hơn ”.

Mike Flynn. Giám đốc cấp cao về các vấn đề chính phủ và cố vấn tại Hội đồng Công nghiệp Công nghệ Thông tin (ITI), cho biết trong một tuyên bố rằng “chúng tôi hoan nghênh nỗ lực của các nhà lập pháp nhằm tăng cường báo cáo sự cố an ninh mạng, có thể đóng một vai trò quan trọng trong việc thông báo các hành động ứng phó với sự cố và ngăn chặn hoặc ngăn chặn các tác động tiếp theo ”.

Và ở một cấp độ, Đạo luật báo cáo sự cố mạng đối với cơ sở hạ tầng quan trọng năm 2022 - được thông qua như một phần của dự luật chi tiêu omnibus dài 2.741 trang, dài 2.741 trang, thực sự sẽ là một người thay đổi cuộc chơi. Như đã lưu ý, đây là lần đầu tiên luật liên bang yêu cầu các tổ chức tư nhân phải báo cáo các cuộc tấn công mạng nhất định và tất cả các khoản thanh toán ransomware. Trước đây đã có những sáng kiến ​​chia sẻ thông tin, nhưng chúng là tự nguyện. Cái này không phải. Và nó bao gồm 16 lĩnh vực CI bao gồm từ thực phẩm và nông nghiệp đến công nghệ thông tin, năng lượng, chăm sóc sức khỏe, cấp nước, tài chính, hạt nhân và giao thông vận tải.

Các sự cố mạng được coi là nghiêm trọng sẽ phải được báo cáo cho CISA trong vòng 72 giờ và mọi khoản thanh toán ransomware trong vòng 24 giờ. Mục tiêu là kết hợp các nguồn lực của chính phủ và khu vực tư nhân để đối đầu và giảm thiểu những sự cố đó một cách nhanh chóng và phổ biến cho các nhà khai thác CI khác có thể dễ bị tấn công tương tự.

Flynn, trong một cuộc phỏng vấn, cho biết “chính phủ đang đến từ một nơi tốt ở đây,” bằng chứng là sự ủng hộ đáng kể của lưỡng đảng vào thời điểm mà các đảng trong Quốc hội hiếm khi đồng ý.

Ông nói: “Đây là về việc giúp các thực thể làm những điều mà chỉ chính phủ mới biết, nhưng nếu không có loại báo cáo sự cố này, chính phủ sẽ không biết mọi thứ đang diễn ra ở đó.

Vấn đề của nhiều năm

Vậy liệu điều đó có thực sự khiến nó trở thành kẻ thay đổi cuộc chơi an ninh mạng không? Như câu nói đi, điều đó vẫn còn được xem.

Thứ nhất, bởi vì nó có thể là 42 tháng - ba năm rưỡi - trước khi nó có hiệu lực. Đó là thời gian dành cho quy trình xây dựng quy tắc của CISA, mặc dù ITI cho biết có suy đoán rằng cơ quan này sẽ di chuyển nhanh hơn hai năm mà luật cho phép để công bố thông báo về quy tắc được đề xuất. Sau đó, có một khoảng thời gian 18 tháng để lấy ý kiến ​​trước khi ban hành quy tắc cuối cùng. Tuy nhiên, ngay cả khi CISA chỉ mất một nửa thời gian được phân bổ cho thông báo ban đầu, thì sẽ mất nhiều năm chứ không phải vài tháng mới có hiệu lực, trong khi các cuộc tấn công mạng diễn ra trong nhiều ngày và nhiều tuần.

Thứ hai, không phải tất cả mọi người ở cấp liên bang đều yêu thích luật mới, vì luật này yêu cầu việc báo cáo sự việc phải được thực hiện trực tiếp cho CISA, chứ không phải cho FBI. Mặc dù dự luật yêu cầu CISA chia sẻ những báo cáo đó với các cơ quan khác trong vòng 24 giờ, nhưng cả DoJ và FBI đều cho rằng điều đó là chưa đủ sớm.

Phó Tổng chưởng lý Lisa Monaco, trong một tuyên bố với Politico , cho biết "dự luật này khi được soạn thảo đã bỏ qua một trong những công cụ tốt nhất của chúng tôi, FBI, và khiến chúng tôi kém an toàn hơn vào thời điểm chúng tôi phải đối mặt với những mối đe dọa chưa từng có."

Và Giám đốc FBI Christopher Wray, trong lời khai gần đây trước Ủy ban Tình báo Hạ viện, cho biết điều quan trọng là cơ quan này phải nghe về những cuộc tấn công đó trong thời gian thực. “Chúng tôi có các đại lý tại hiện trường đang phản hồi, thường trong vòng một giờ hoặc lâu hơn, cho một doanh nghiệp bị ảnh hưởng. Điều đó xảy ra hàng nghìn lần mỗi năm, vì vậy chúng tôi cần đảm bảo rằng luồng thông tin được bảo vệ ", ông nói và nói thêm rằng," điều này không thay cho CISA - chúng tôi muốn họ báo cáo cho CISA và càng có nhiều thông tin CISA nhận được, tốt hơn."

Nhưng những bình luận đó đã nhận được phản hồi ngay lập tức từ văn phòng của những người đồng phản ứng tại Thượng viện, Gary Peters, D-Mich. Và Rob Portman, R-Ohio, người cho biết FBI và DoJ đã được tham vấn trong nhiều tháng và ngôn ngữ của dự luật đã được đã thay đổi để giải quyết mối quan tâm của họ.

Người phát ngôn của Portman, Kylie Nolan , nói với The Hill rằng luật “sẽ làm cho Hoa Kỳ an toàn hơn đáng kể, và bất kỳ đề xuất nào ngược lại đều gây hiểu lầm và khiến công chúng phản đối. Mối quan tâm của DoJ và FBI không đồng bộ với phần còn lại của đất nước, bao gồm cả chính quyền Biden mà họ làm việc cho. "

Tấn công hay tai nạn?

Thứ ba, ít nhất một chuyên gia cho biết luật không bao gồm tất cả các cơ sở. Joe Weiss, giám đốc điều hành tại Giải pháp điều khiển ứng dụng và là chuyên gia về hệ thống điều khiển CI, đã viết trên Blog Unfettered của mình rằng “việc báo cáo nhanh chóng về các sự cố mạng của hệ thống điều khiển rõ ràng là quan trọng trong việc chuẩn bị và ứng phó với các cuộc tấn công mạng có thể xảy ra trên diện rộng”, nhưng tấn công vào hệ thống điều khiển “Không phải lúc nào cũng có thể dễ dàng xác định được như vậy. Chúng có thể bị nhầm với tai nạn hoặc trục trặc, và chúng có thể hoàn toàn không được nhận ra ”.

Weiss đã viết rằng hệ thống điều khiển “bao gồm các mạng OT [công nghệ hoạt động] và các thiết bị trường hệ thống điều khiển như cảm biến quá trình, bộ truyền động, bộ truyền động và bộ phân tích.”

Nhưng những thiết bị hiện trường đó “không có khả năng an ninh mạng hay pháp y về an ninh mạng và do đó không có khả năng đáp ứng mục đích của các yêu cầu báo cáo,” ông viết.

Cuối cùng, một số chuyên gia cảnh báo rằng có toàn bộ các ngành CI trước đây không được quản lý chặt chẽ và hiện tại không có khả năng đáp ứng các yêu cầu báo cáo.

Kristina Surfus, giám đốc điều hành các vấn đề chính phủ tại Hiệp hội Quốc gia các Cơ quan Nước sạch nói với Bloomberg Law rằng hàng chục nghìn hoạt động của hệ thống nước bị phân tán trên khắp đất nước. “Phần lớn các hệ thống này ở quy mô nhỏ, nông thôn và thiếu nguồn lực. Đó là những thứ mà tôi nghĩ có lẽ sẽ phải vật lộn nhiều nhất, ”cô nói.

Tuy nhiên, như đã lưu ý, những nhà khai thác này sẽ có ít nhất hai, có lẽ là ba năm, để chuẩn bị. Emile Monette, giám đốc hợp đồng chính phủ và bảo mật chuỗi giá trị của Synopsys, cho biết rằng nhiều thông báo trước là “rất nhiều thời gian cho những chủ sở hữu / nhà điều hành CI dù nhỏ nhất cũng phải xây dựng chi phí tuân thủ. Đó là một chi phí, nhưng không phải là khó khăn. "

Một số cải tiến

Ngoài ra, phiên bản cuối cùng của dự luật thắt chặt một số kết thúc lỏng lẻo so với phiên bản trước đó.

Khoảng một tháng trước, dự luật không bao gồm định nghĩa về một cuộc tấn công mạng “đáng kể”. Ngôn ngữ cuối cùng định nghĩa nó là một sự cố hoặc một nhóm các sự cố bao gồm vi phạm thông tin nhạy cảm, các cuộc tấn công làm gián đoạn hoạt động kinh doanh hoặc hoạt động và những sự cố “có khả năng dẫn đến tổn hại có thể chứng minh được đối với lợi ích an ninh quốc gia, quan hệ đối ngoại hoặc nền kinh tế của Hoa Kỳ hoặc đối với lòng tin của công chúng, quyền tự do dân sự, sức khỏe cộng đồng và sự an toàn của người dân Hoa Kỳ. ”

Định nghĩa đó sẽ cụ thể hơn nhiều trong quy tắc cuối cùng, bao gồm chính xác những gì mà các nhà khai thác CI được đề cập đến, khả năng chúng bị nhắm mục tiêu và mức độ thiệt hại mà một cuộc tấn công có thể gây ra. Nhưng ngay cả một định nghĩa chung cũng cho ta một ý tưởng tốt về những gì sắp tới.

Nó cũng bao gồm bảo vệ trách nhiệm pháp lý đối với các tổ chức tuân thủ các yêu cầu báo cáo. Các báo cáo không thể được sử dụng để điều chỉnh các thực thể đó, chúng không thể được sử dụng làm bằng chứng hoặc trong các thủ tục khám phá và chúng không thể là “cơ sở duy nhất” của lý do khởi kiện tại bất kỳ tòa án nào.

Monette, người đã lưu ý đến việc thiếu các biện pháp bảo vệ trách nhiệm pháp lý trong dự thảo trước đó của dự luật, cho biết những điều khoản hiện được bao gồm “khá tốt - ít nhất là bây giờ có một số. Tất nhiên, ngành công nghiệp sẽ kêu gọi các biện pháp bảo vệ ngày càng mạnh mẽ hơn, nhưng việc loại bỏ toàn bộ nguyên nhân dẫn đến hành động là một vấn đề khá lớn khi bạn nghĩ đến rủi ro pháp lý. "

Cuối cùng, dự luật hiện bao gồm một số khía cạnh thực thi. Nó cho phép CISA ban hành trát đòi hầu tòa bắt buộc các thực thể cung cấp thông tin được yêu cầu và DoJ khởi kiện các vụ kiện dân sự để thực thi trát đòi hầu tòa. Một tổ chức từ chối tuân thủ trát đòi hầu tòa có thể bị coi là khinh thường.

Flynn cho biết một số cơ chế thực thi là cần thiết và những cơ chế này không quá nặng tay. “Nó rất được đo lường,” anh nói. “Có những điều khoản yêu cầu sự tiếp cận của CISA, vì vậy nó được hiệu chỉnh theo một cách hữu ích. Những người duy nhất bị ảnh hưởng sẽ là những diễn viên thực sự tồi tệ ”.

© Copyright 2021 - 2023 | vngogo.com | All Rights Reserved