Как новое законодательство Сената о кибербезопасности может повлиять на ваш бизнес


Новый законодательный акт может означать более прозрачную отчетность о кибератаках, а также усиление мер безопасности для обеспечения безопасности организаций.

безопасность-концепция-1.jpg
Изображение: ваше/Shutterstock

Во вторник Сенат принял законопроект, подробно описывающий новые меры кибербезопасности, которые заставят предприятия сообщать о кибератаках и платежах программ-вымогателей. Закон об усилении американской кибербезопасности направлен на продолжение усилий администрации Байдена по улучшению защиты как государственного, так и частного секторов в Интернете. После того, как закон прошел через Сенат, он теперь направляется в Палату представителей для голосования.

Закон, состоящий из трех отдельных законопроектов, требует от организаций критической инфраструктуры сообщать в Агентство по кибербезопасности и безопасности инфраструктуры (CISA) в течение 72 часов после серьезной кибератаки. Кроме того, те, кто платит программы-вымогатели, должны будут сообщить об инциденте в CISA в течение 24 часов. Основная цель 200-страничного акта — обновить позицию федерального правительства в области кибербезопасности в ответ на поддержку Соединенными Штатами Украины в ее войне с Россией.

«После атаки программы-вымогателя Colonial Pipeline правительство придерживается реакционного курса на принятие законодательства, касающегося кибербезопасности, для защиты различных частных цепочек поставок, влияющих на критически важную инфраструктуру Соединенных Штатов», — сказал Джеймс МакКигган, специалист по вопросам безопасности в KnowBe4. «Однако еще предстоит определить конкретные инциденты, о которых организации должны будут сообщать, требуемые сроки, другими словами, время, с которого организации классифицируют событие как инцидент, и какие типы инцидентов. Что касается атак программ-вымогателей, будут ли они основываться на сумме в долларах или на сумме, на которую повлияла система? CISA должна разработать эти требования, но это потребует от организаций изменения своих процедур обработки инцидентов в соответствии с новыми изложенными законами».

ВИДЕТЬ: Google Chrome: советы по безопасности и пользовательскому интерфейсу, которые вам нужно знать (ТехРеспублика Премиум)

Переход к облачным технологиям был еще одним направлением деятельности после нескольких атак программ-вымогателей, поскольку законодательный акт пытается оптимизировать действия операторов критически важной инфраструктуры и реакцию правительства на кибератаки в будущем.

Отрасли, наиболее затронутые потенциальным принятием этого законопроекта, следующие:

  • Химикаты
  • Коммерческие объекты (гостиницы, арены, конференц-центры, коммерческая недвижимость)
  • Коммуникации
  • Критическое производство (машины, электрооборудование, транспортное оборудование)
  • Плотины
  • Оборонно-промышленные базы
  • Экстренные службы
  • Энергия
  • Финансовые услуги
  • Еда и сельское хозяйство
  • Правительство
  • Здравоохранение
  • Информационные технологии
  • Ядерные реакторы
  • Транспорт
  • Системы водоснабжения и водоотведения

Как это влияет на бизнес?

Только один пример отрасли, на которую может повлиять принятие этого законопроекта, — это предприятия на энергетическом рынке. Эти предприятия уже увидели потенциальные последствия кибератаки, взглянув на атаку Colonial Pipeline в мае прошлого года. В ходе этой атаки программа-вымогатель хакерской группы вынудила вымогать криптовалюту в обмен на возвращение контроля над трубопроводом компании Colonial Pipeline Corporate, но не раньше, чем компания заплатила выкуп в размере 4,4 миллиона долларов.

Еще одним фактором являются предприятия, расположенные дальше по цепочке поставок, а не только предприятия, пострадавшие от атаки. Как и в случае со взломом Colonial Pipeline, не только трубопровод и его компания почувствовали последствия. В результате этого рейда на сам трубопровод предприятия, расположенные дальше по цепочке поставок, такие как заправочные станции и аэропорты, начали страдать от отсутствия нефти из самого трубопровода.

ВИДЕТЬ: Взлом пароля: почему поп-культура и пароли несовместимы (бесплатный PDF) (ТехРеспублика)

Как подчеркнул МакКигган, еще один аспект, который необходимо учитывать для бизнеса, — это то, что представляет собой «существенную» кибератаку, как указано в законе. По словам Пола Фуртадо (Paul Furtado), старшего директора по исследованиям в Gartner, при более надежном процессе отчетности количество кибератак, о которых сообщают СМИ, будет увеличиваться.

«Законопроект распространяется на федеральные гражданские агентства и отрасли, считающиеся критически важной инфраструктурой. Отрасли критической инфраструктуры составляют большой процент экономики США», — сказал Фуртадо. «Законопроект затрагивает эти организации независимо от их размера или доходов. Как только законопроект будет принят, мы можем увидеть всплеск сообщений о программах-вымогателях в СМИ. Люди должны понимать, что волна новых сообщений не означает, что мы подвергаемся большему количеству атак, а скорее подчеркнет тот факт, что о многих из этих атак исторически не сообщалось».

По словам Фуртадо, чтобы помочь в борьбе с этим, ключевое значение будет иметь расширение масштабов и детализация реагирования на атаки для соответствия новым правительственным требованиям, наряду с интенсивным мониторингом систем для предотвращения потенциальных и будущих атак.

«ИТ-директорам и руководителям службы безопасности потребуется обновить существующие планы реагирования на инциденты, чтобы они отражали новые требования к отчетности, — сказал Фуртадо. «Кроме того, исполнительное руководство должно быть осведомлено о новом законодательстве и его влиянии на бизнес, если оно станет жертвой атаки программ-вымогателей. Помимо дополнительных требований к нормативному уведомлению, компании должны продолжать внедрять [constant] мониторинг безопасности и превентивные инструменты для снижения риска проникновения программ-вымогателей в их организацию».

С учетом того, что этот новый законопроект потенциально может затронуть множество различных отраслей, многие организации захотят усилить не только свои протоколы безопасности для предотвращения атак, но и свои системы отчетности, чтобы соответствовать законопроекту.

https://cyberxhack.org/