Senator menambahkan amandemen pelaporan serangan cyber/ransomware CISA ke RUU pertahanan
Home & Office

Senator menambahkan amandemen pelaporan serangan cyber/ransomware CISA ke RUU pertahanan

Empat Senator AS telah memperkenalkan amandemen bipartisan baru pada Undang-Undang Otorisasi Pertahanan Nasional 2022 (NDAA) yang akan memaksa pemilik dan operator infrastruktur penting serta lembaga federal sipil untuk melaporkan semua serangan siber dan pembayaran ransomware ke CISA.

Dua Demokrat – Gary Peters dan Mark Warner – bekerja bersama dua Republikan – Rob Portman dan Susan Collins – untuk mendorong amandemen, yang menurut mereka didasarkan pada Peters and Portman’s Cyber ​​Incident Reporting Act dan Federal Information Security Modernization Act of 2021 .

Amandemen tersebut hanya mencakup serangan siber yang dikonfirmasi dan bukan yang dicurigai. Tapi itu memaksa semua kontraktor federal untuk melaporkan serangan. Tidak ada unsur denda dalam amandemen itu, salah satu dari sekian banyak ketentuan yang diperebutkan para senator selama berbulan-bulan.

Organisasi korban akan memiliki waktu 72 jam untuk melaporkan serangan, topik lain yang diperdebatkan dengan hangat di antara para pakar keamanan siber pemerintah. Beberapa menginginkannya dalam waktu 24 jam dan yang lain mengatakan itu harus dalam waktu seminggu.

Namun batas 72 jam tidak berlaku untuk semua organisasi. Beberapa – yang menurut para senator termasuk bisnis, organisasi nirlaba dan pemerintah negara bagian dan lokal – akan dipaksa untuk melaporkan pembayaran ransomware kepada pemerintah federal dalam waktu 24 jam setelah pembayaran dilakukan.

“Selain itu, amandemen akan memperbarui undang-undang keamanan siber pemerintah federal saat ini untuk meningkatkan koordinasi antara lembaga federal, memaksa pemerintah untuk mengambil pendekatan berbasis risiko terhadap keamanan, serta mewajibkan semua lembaga sipil untuk melaporkan semua serangan siber ke CISA, dan insiden siber ke Kongres,” kata para senator dalam sebuah pernyataan.

“Ini juga memberikan otoritas tambahan kepada CISA untuk memastikan mereka adalah agen federal utama yang bertanggung jawab untuk menanggapi insiden keamanan siber di jaringan sipil federal.”

Warner, ketua Senat Select Committee on Intelligence, mengatakan peretasan SolarWinds mengubah cara pemerintah melakukan pendekatan terhadap serangan siber.

“Sepertinya setiap hari, orang Amerika bangun dengan berita serangan ransomware atau intrusi dunia maya lainnya, tetapi peretasan SolarWinds menunjukkan kepada kita bahwa tidak ada yang bertanggung jawab untuk mengumpulkan informasi tentang ruang lingkup dan skala insiden ini,” kata Warner.

“Kami tidak dapat mengandalkan pelaporan sukarela untuk melindungi infrastruktur penting kami – kami memerlukan persyaratan pelaporan rutin sehingga ketika sektor vital ekonomi kami terpengaruh oleh pelanggaran dunia maya, sumber daya penuh dari pemerintah federal dapat dimobilisasi untuk menanggapinya. , dan mencegah, dampaknya. Saya senang kami dapat mencapai kompromi bipartisan pada amandemen ini yang menangani banyak masalah inti yang diangkat oleh insiden peretasan profil tinggi ini.”

Peters, ketua Komite Keamanan Dalam Negeri dan Urusan Pemerintah, mencatat bahwa serangan siber dan insiden ransomware telah memengaruhi segalanya, mulai dari perusahaan sektor energi hingga pemerintah federal itu sendiri.

Dia memuji amandemen karena menempatkan CISA “di garis depan tanggapan bangsa kita terhadap pelanggaran serius.”

Portman menjelaskan bahwa amandemen tersebut memperbarui Undang-Undang Modernisasi Keamanan Informasi Federal dan memberikan Direktur Siber Nasional, CISA, dan lembaga terkait lainnya “visibilitas luas” ke dalam serangan siber yang terjadi di seluruh negeri.

“Amandemen bipartisan untuk memperbarui FISMA secara signifikan akan memberikan akuntabilitas yang diperlukan untuk menyelesaikan kelemahan lama dalam keamanan siber federal dengan mengklarifikasi peran dan tanggung jawab dan mengharuskan pemerintah untuk segera memberi tahu rakyat Amerika jika informasi mereka dikompromikan,” kata Portman.

NDAA senilai $740 miliar pasti akan disahkan sebelum akhir tahun tetapi Pemimpin Mayoritas Senat Chuck Schumer menghadapi reaksi keras dari Partai Republik dan anggota partainya sendiri minggu ini karena menunda pengesahan RUU tersebut. DPR menyetujui versi RUU mereka pada bulan September dan Komite Angkatan Bersenjata DPR menyelesaikan versinya pada bulan Juli.

Tidak jelas apakah ketentuan keamanan siber dalam RUU itu akan berubah setelah para pemimpin Senat dan DPR mendamaikan versi NDAA mereka yang berbeda.

Sementara beberapa perusahaan dan organisasi enggan untuk merangkul setiap tindakan pelaporan serangan siber wajib, para ahli keamanan siber mengatakan secara keseluruhan, negara tersebut membutuhkan aturan untuk mempromosikan kebiasaan yang lebih baik.

Hank Schless, manajer senior di firma keamanan siber Lookout, mengatakan bahwa ketika keamanan nasional dan keamanan siber menjadi lebih terjalin, mengakui pentingnya hal itu dari kedua sisi akan membantu menyelesaikan lebih banyak hal.

“Amandemen ini mengikuti GDPR, yang juga mengharuskan organisasi untuk memberi tahu pihak yang terkena dampak pelanggaran data dalam waktu 72 jam. Ini membuat organisasi lebih bertanggung jawab, dan akan menarik untuk melihat apakah ada denda yang terkait dengan kegagalan melaporkan insiden ini. seperti halnya dengan GDPR. Yang menarik adalah bahwa sebagian besar entitas akan diminta untuk melaporkan apakah mereka membayar uang tebusan jika terjadi serangan ransomware. Sulit untuk menebak jenis dampak apa yang mungkin terjadi,” kata Schless.

“Jika mereka diminta untuk mengungkapkan kapan pembayaran dilakukan, mungkin entitas ini akan kurang bersedia untuk membayar uang tebusan. Melihat jenis tindakan ini di tingkat Federal menunjukkan bahwa AS mungkin lebih dekat untuk menerapkan kebijakan perlindungan data nasional. itu setara dengan GDPR. Terlepas dari apakah itu akhirnya terjadi, melihat jenis tindakan ini di tingkat tertinggi mendorong pertahanan dunia maya bangsa di masa depan.”

Rick Holland, CISO di Digital Shadows, mengatakan status quo tidak berfungsi dan menyatakan dukungan untuk pemberitahuan pelanggaran dan persyaratan pembayaran ransomware.

“Kami tidak memiliki pandangan holistik tentang seberapa buruk masalahnya, dan mandat pelaporan setidaknya dapat mengukur ruang lingkup masalah. Tantangannya adalah pelaporan tidak mengatasi akar penyebab insiden ini. Status quo analog dengannya. untuk pasien dengan penyakit kronis seperti penyakit jantung; butuh bertahun-tahun untuk sampai ke keadaan ini. Tidak ada intervensi magis yang akan mengurangi risiko dalam semalam, “kata Holland.

Dia melanjutkan untuk membandingkan jumlah dana yang ditujukan untuk keamanan siber dengan dana yang diberikan untuk program jet tempur dan prioritas pertahanan lainnya.

“Kita harus mengatasi akar penyebab penyakit, bukan hanya gejalanya. Koordinasi dan pelaporan tidak akan menyelesaikan masalah kita; organisasi perlu berinvestasi dalam keamanan siber, dimulai dari manusia,” tambah Holland. “Keamanan dunia maya perlu memiliki prioritas yang sama dengan sistem senjata ‘generasi berikutnya’ ini.”

Posted By : result hk