Senato, siber saldırıların ve fidye yazılımlarının rapor edilmesini zorunlu kılmak için büyük siber güvenlik yasasını onayladı

Salı günü Senato, kritik altyapı şirketlerini siber saldırıları ve fidye yazılımı ödemelerini bildirmeye zorlamaya bir adım daha yaklaşarak büyük siber güvenlik yasasını onayladı.

Geçiş, federal yetkililerin Ukrayna’da artan ihtilafın ortasında ABD’ye karşı Rus siber saldırı potansiyeli konusunda defalarca uyardığı bir dönemde geldi.
Hâlâ Meclis’ten geçmesi gereken yasa, kritik altyapı sahiplerinin ve sivil federal kurumların, önemli bir siber saldırı yaşamaları durumunda 72 saat içinde Siber Güvenlik ve Altyapı Güvenliği Ajansına rapor vermelerini gerektirecek.
Ayrıca kritik altyapı şirketlerinin fidye yazılımı ödemelerini 24 saat içinde federal hükümete bildirmelerini gerektirecek.


Tasarı paketinin başyazarı Michiganlı Demokrat Senatör Gary Peters yaptığı açıklamada, “Ulusumuz Ukrayna’yı desteklemeye devam ederken, Rus hükümetinin misilleme amaçlı siber saldırılarına karşı kendimizi hazırlamalıyız” dedi. çevrimiçi saldırılar ekonomiyi bozma, benzin fiyatlarını artırma ve tedarik zincirlerini tehdit etme potansiyeline sahiptir.
Raporlama gereklilikleri, birkaç yüksek profilli siber güvenlik ve fidye yazılımı olayının, kritik altyapıyı daha iyi korumak ve saldırıları caydırmak için milletvekilleri üzerinde baskı oluşturmasının ardından Senato’da tanıtıldı. Geçen Mayıs ayında, Colonial Pipeline’a yapılan bir fidye yazılımı saldırısı, şirketin binlerce kilometrelik boru hattını kapatmasına ve fiyatların artmasına ve gaz kıtlığına yol açmasına neden oldu. Bu olayı birkaç hafta sonra, ABD’deki büyük bir et üreticisine yönelik bir siber saldırı izledi ve fidye yazılımlarının ABD’deki hayati hizmetler üzerindeki etkisinin altını çizdi.

Peters, “dönüm noktası, iki partili yasa tasarısının” CISA’nın kritik altyapı operatörlerine ve hükümetin hack’lere yanıt vermesine yardımcı olan lider kurum olmasını sağlayacağını söyledi.
Üç yasa tasarısının dilini birleştiren Güçlendirme Amerikan Siber Güvenliği Yasası, hükümetin siber güvenliğe risk temelli bir yaklaşım benimsemesini gerektirecek ve ayrıca federal kurumların bulut tabanlı benimsemelerini sağlamak için Federal Risk ve Yetkilendirme Yönetim Programına (FedRAMP) yetki verecek. teknolojiler.
Siber risk firması CyberSaint’in kurucu ortağı Padraic O’Reilly, CNN’e verdiği demeçte, “Bu, siber mevzuatın çok önemli bir parçası” dedi.
O’Reilly, mevcut jeopolitik manzaranın, ABD’nin Rus aktörlerden gelebilecek olası bir siber saldırıya hazırlanırken yasayı “önemli ölçüde daha az tartışmalı” hale getirdiğini söyledi.
Federal hükümet için “riske dayalı” siber güvenlik gereksinimleri, mevzuattan “dışarı çıktı” dedi.
Bu tür siber güvenlik, kötü bir şey olma olasılığını, etkisini ve daha iyi hale getirmek için paranın en iyi nasıl harcanacağına karar vermeyi hesaba katar.
O’Reilly, mevzuatın federal kurumların bu yaklaşımı kullanmasını gerektireceğini ve bunun büyük olasılıkla özel sektöre de sıçrayacağını söyledi.
“Hukukta yazılan risk temelli yaklaşımı görmek … gerçekten oldukça güçlü” dedi.
Nozomi Networks’te operasyonel teknoloji siber güvenlik stratejisti Danielle Jablanski’ye göre, 72 saatlik raporlama son tarihi bazı şirketler için endişe yarattı ve bilgi paylaşımının bir krizde birinci öncelik olmayabileceğini belirtti. Bunun yerine odak noktası güvenlik ve kritik operasyonlar olabilir, dedi.
Jablanski, “Son tarih zor, çünkü tehlikede olan çok fazla öncelik var,” dedi ve mevzuatın kritik altyapı sahiplerinin ve operatörlerin bir saldırı sırasında tehlikede olan her şeye öncelik vermesine bütünsel olarak yardımcı olmadığını da sözlerine ekledi.
Ancak, hükümetin birden fazla şirkete ve sektöre fayda sağlayabilecek bilgi paylaşımını teşvik etmek için en iyi konumda olduğunu söyledi.
Her ikisi de New York’tan Demokrat Yvette Clarke ve Cumhuriyetçi John Katko da dahil olmak üzere ABD Temsilciler Meclisi’nin birkaç üyesi, tasarıyı Meclis’ten geçirmek için Ohio’dan Peters ve GOP Senatörü Rob Portman ile birlikte çalışıyor.
Portman ayrıca ABD’nin Ukrayna’yı “haklı olarak” desteklediği için Rusya’dan misilleme amaçlı siber ve fidye yazılım saldırılarından endişe duyduğunu söyledi.
Açıklamada, “Federal hükümet potansiyel saldırılara yanıtını hızlı bir şekilde koordine etmeli ve bu kötü aktörlerden hesap sormalıdır” dedi.
Göreve geldikten sonraki ilk kongre duruşmasında, CISA Direktörü Jen Easterly , bilgisayar korsanlığı kurbanlarına yardımcı olmak için siber olay raporlamasının yanı sıra, benzer izinsiz girişlerin başka yerlerde bulunup bulunmadığını görmek için bilgileri analiz edip daha geniş bir şekilde paylaşma çağrısında bulundu.
Easterly, Eylül ayında Peters’e verdiği demeçte, “Siber olay raporlama yasasını çıkarmanın çok uzun zaman önce olduğu konusunda kesinlikle hemfikiriz ve bu konuda sizinle çalışmaktan heyecan duyuyoruz.”

Metnin aslına ulaşmak için:

https://edition.cnn.com/2022/03/02/politics/senate-passes-major-cybersecurity-legislation/index.html