Ilgi gaidītais ASV atjauninājums Kiberdrošības informācijas apmaiņas likums 2015. gada (CISA), kas septembra beigās zaudē spēku, apkopojot bažas par atbilstības nepilnībām un paaugstinātu risku galalietotāju organizācijām-virzās caur Kongresu Vašingtonā.
Rezerves tiesību akti, kas tagad tiek nosaukti Plaši izplatīta informācijas pārvaldība infrastruktūras un valdības labklājībai (Wimwig) likums – Ne mazāk svarīgi, lai izvairītos no neskaidrībām ar CISA – septembra sākumā izturēja nama dzimtenes drošības komiteju.
“Ieinteresētās personas no visām nozares nozarēm ir atbalstījušas šo tiesību aktu, jo tas saglabā būtisku privātuma un atbildības aizsardzību 2015. gada kiberdrošības informācijas apmaiņas aktā, precizē likuma valodu, lai labāk pievērstos mainīgajai draudu ainavai un nodrošina privātā sektora ieskatu, kas ir pienācīgi iemūžināts,” sacīja pārstāvis andrew Garbarino, nama mājas apsardzes priekšsēdētājs.
“Neizdarot vienas no federālās valdības visvairāk pamata kiberdrošības instrumentu atbilstību un efektivitāti nākamajā desmitgadē apdraudētu ne tikai mūsu tīklus, bet arī dzimtenes drošību,” viņš teica.
“Šodienas ātrā Vimviga likuma progresēšana… uzsver House Iekšzemes drošības komitejas divpusējo apņemšanos uzlabot mūsu valsts kiberdrošības pozu,” piebilda Garbarino.
“Kongresam bez kavēšanās jāsaņem abi rēķini prezidenta Trumpa galdam.”
Kas ir CISA 2015?
CISA 2015 ir Barack Obama laikmeta likums, kas organizācijām ieviesa tiesisko aizsardzību un aizsardzības pasākumus, lai dalītos ar draudu izlūkdatiem un citiem kritiskas kiberdrošības datiem savā starpā un ar valdību.
Cynthia Kaiser, vecākā viceprezidente Ransomware Research Center Halcyon Security un vēl nesen FBI Cyber Division direktora vietnieka vietnieks Kiberpolitikas, izlūkošanas un pētniecības direktora amatā CISA 2015 raksturoja kā kiberdrošības “mugurkaulu” un paziņoja, ka tas ir palīdzējis atkāpt no neskaitāmiem kiberuzbrukumiem iepriekšējā lēmumā, nodrošinot savlaicīgu inteliģenci potenciālajiem upuriem, kā arī labi nodrošina daudznacionālas likuma nodrošināšanas operāciju mērķa noziegumus.
Runājot ar Computer Weekly šonedēļ, Kaisers sacīja, ka tad, kad tika pieņemts CISA 2015, to vadīja atzīšana, ka ir jābūt spēkā aizsardzībai, lai cilvēki varētu dalīties kiberizlūkos, nebaidoties no likumīgām sekām.
Piemēram, ar CISA 2015 ieviešanu, hipotētiski pārvaldīts pakalpojumu sniedzējs, kas tika apdraudēts piegādes ķēdes uzbrukumā, kas ietekmē tā pakārtotos klientus, ir aizsargāts ar atbildību par upurim datu nodošanu FBI vai citām aģentūrām kā daļu no izmeklēšanas.
“Tas, ko es visu laiku stāstīju cilvēkiem FBI, ir tas, ka mēs nevaram jūs aizsargāt un mēs nevaram aizsargāt citus, ja mēs no jums nedzirdam,” sacīja Kaizers.
“Ja uzņēmums rīkojas pareizi un ierodas federālajā valdībā, lai sniegtu informāciju par notiekošo ļaunprātīgo kiberā kampaņu, tad viņiem ir zināma aizsardzība, kas viņiem ļauj to izdarīt [and] Tas samazina risku, ka viņi var ierasties valdībā.
“Ir otrs aspekts, kurā tas nodrošina arī pretmonopolu aizsardzību nozarei līdz rūpniecībai,” viņa piebilda. “Tagad es vadu Halcyon Ransomware Research Center – mēs vēlamies, lai dažādi uzņēmumi sanāk kopā un dalītos kiberizmantošanā, bet, ja mēs to darītu, varētu būt potenciāls pateikt:” Ja jūs visi sanākat kopā, tas ir monopols “.”
Potenciāli draudi globālai kiber sadarbībai
CISA 2015 tika ieviesta ar 10 gadu saulrieta klauzulu-kas nav nekas neparasts-, lai likumdevēji varētu noteikt, vai tā ir bijusi efektīva, un, pēc Kaisera domām, daļēji arī bažas, ka federālā valdība to varētu izmantot kā līdzekli, lai savāktu vairāk privātu datu.
Pirmajā ziņā, pēc viņas teiktā, tas ir bijis nepārprotams panākums, un, par laimi, ir spēcīgs divpusējs atbalsts gan no demokrātiem, gan republikāņiem par Vimviga nokļūšanu virs finiša līnijas.
Bet, ja nebija Vimviga pārejas, nenovēršamais CISA 2015 termiņš sāka radīt ievērojamas bažas Vašingtonas kiberdrošības un nacionālās drošības ekspertu vidū.
“Tas, kas mums nevar būt [CISA 2015] Lauks par 30. septembri, jo pat mēneša zaudēšana radītu problēmas, ”sacīja Kaizers.
“Esmu runājusi ar advokātiem, kuri ir ārpus pārkāpumu padomes, un viņi ir norādījuši, ka, ja šis akts zaudē spēku, viņiem, iespējams, būs jāmaina padomi, ko viņi sniedz uzņēmumiem, apsverot, vai viņi sazināsies ar federālo valdību,” viņa sacīja.
Bet ārpus ASV robežām, ja CISA 2015 būtu zaudējis spēku bez nepārtrauktības, drošības nozare varētu sagaidīt, ka tā redzēs visā pasaulē, sacīja Kaisers. Gandrīz uzreiz savlaicīga informācija par draudiem un atjauninājumi, kas nāk no tādām federālām aģentūrām kā CISA, sāktu atvieglot, un tas, iespējams, nozīmētu biļetenus, piemēram, vēlu augusta padomdevēju Ķīnas sāls taifūna, ko parakstījuši ASV un Lielbritānijas varas iestādes, un pretdalītā visā Eiropā un Austrālijā, Kanādā un Jaunvēni-gan samazinātu to, vai izkropļo kopumā.
Turklāt tiktu skarta arī frontes kibernoziegumu policistu spēja, piemēram, Apvienotās Karalistes Nacionālās noziegumu aģentūras operācijas pret kibernoziegumiem, savukārt lietotāju organizācijas arī redzētu mazāk informācijas, kas nāk no viņu pašu valdībām, jo tās savukārt saņem mazāk datu no ASV.
Otrā baža, pēc viņas teiktā, ir tāda, ka informācijas apmaiņas biežums un kvalitāte starp kiberdrošības piegādātājiem un visās nozarēs samazināsies, pamatojoties uz konkurenci un citām atbilstības un atbildības bažām.
“Mēs visi esam konkurenti, bet mēs arī ļoti sadarbojamies, it īpaši attiecībā uz kiberdraudu izlūkošanu,” sacīja Kaizers. “Mēs esam tik ļoti pieraduši pie tā pēdējo 10 gadu laikā, ka tagad tas tiešām ir pamatā tam, kā mēs veicam uzņēmējdarbību. Kopumā es domāju, ka informācijas apmaiņa visā pasaulē pasliktinās, ja tas netiek atkārtoti izmantots.”
Atjauninājumi ir atzinīgi novērtēti
Vimviga versijā ir daudz, ko pozitīvi vērtēt, sacīja Kaizers. Svarīgi ir tas, ka tas precizē dažas jomas, kas saistītas ar atbildības aizsardzību, kuras CISA 2015 atstāja nedaudz neskaidru.
“Daži paņēma plašāku, plašāku to lasīšanu, bet citi to lasīja šaurāk,” viņa sacīja. “Plašais lasījums ir tas, ka es domāju, ka mēs gribējām, lai cilvēki un uzņēmumi būtu, tāpēc šo atbildības aizsardzības noskaidrošana ir lieliska rediģēšana uz priekšu.”
Vimviga ietver arī atjauninātas definīcijas, lai ietvertu topošo kiberuzbrukuma taktiku, paņēmienus un procedūras, piemēram, mākslīgo intelektu (AI), kurām kopš 2015. gada ir progresīvi strauji, un procesuālie atjauninājumi, lai saglabātu pilsoņu brīvību aizsardzību un privātumu.
Likums papildus nodrošina privātā sektora organizācijas-īpaši mazas un vidēju uzņēmumus-saņem vairāk informācijas, izmantojot tādus mehānismus kā vienreizēja lasīšanas ins riska organizācijām, piemēram, kritiskām infrastruktūras operatoriem; uzdod federālajām struktūrām brīvprātīgi sniegt tehnisko palīdzību privātajam sektoram; un mudina izmantot drošu AI.
Tas arī uzlabo Kongresa uzraudzību un efektivitāti Automatizēta indikatora koplietošana Programma-reāllaika datu apmaiņas iespējas, ko izstrādājusi Iekšzemes drošības departaments.
