SolarWinds ve Colonial Pipeline’a karşı olanlar da dahil olmak üzere son zamanlardaki yüksek profilli siber saldırıların ışığında, federal hükümet gelecekteki saldırılara karşı daha fazla direnç oluşturmak için çabalıyor. Federal kurumlar, hem federal kurumlara hem de kritik altyapı operatörlerine yeni gereksinimleri zorlamak için mevcut yasalar kapsamındaki hükümleri yeniden gözden geçiriyor; Aslında, geçen ay ABD bankacılık düzenleyicileri, finansal kurumların ihlalleri keşiften sonraki 36 saat içinde bildirmelerini gerektiren bir kuralı kabul etti. Adalet Bakanlığı, federal müteahhitleri ihlalleri ifşa etmemekten sorumlu tutmak için bir İç Savaş dönemi yasasını uygulama planını açıkladı.
Eşzamanlı olarak, ABD Senatosu, İnternet’in icadından önce yazılmış yasaların bugün güvenliği sağlamaya yardımcı olmak için yetersiz donanıma sahip olacağını kabul eden yasal yanıtları değerlendiriyor. Tüm faturaların temel bir bileşeni, kuruluşların siber güvenlik ihlallerini, hükümetin siber saldırıları daha iyi değerlendirmesine, önlemesine ve bunlara yanıt vermesine yardımcı olmak için Siber Güvenlik ve Altyapı Güvenliği Ajansı’na (CISA) açıklama zorunluluğudur.
Yeni faturalar, güvenlik olaylarının bu kadar yaygın bir şekilde ifşa edilmesini gerektiren ilk federal yetkiyi oluşturacak. Senatör Mark Warner (D-VA), “Kritik altyapımızı korumak için gönüllü raporlamaya güvenmemeliyiz. Rutin bir federal standarda ihtiyacımız var, böylece ekonomimizin hayati sektörleri bir ihlalden etkilendiğinde, tüm kaynakların tam kaynakları. federal hükümet, onun etkisine yanıt vermek ve onu savuşturmak için seferber edilebilir.”
Warner’ın yasa tasarısı olan Siber Olay Bildirim Yasası uyarınca, siber saldırıları 24 saat içinde bildirmeyen kuruluşlar, olası veya başarılı bir saldırıyı bildirmeyi ihmal ettikleri her gün için bir önceki yılın gelirlerinin %0,5’ine kadar cezalara tabi tutulacak. Senatör Elizabeth Warren’ın (D-MA) faturası, Fidye Yazılımı İfşa Etme Yasası, kuruluşlara fidye yazılımı ödemelerini ödemeden sonraki 48 saat içinde ifşa etmedikleri için ceza kesecek.
Yeni siber güvenlik mevzuatının etkili olması için gerekli olmasına rağmen, herhangi bir yeni siber güvenlik yasasının belirli gerçekleri göz önünde bulundurması gerekir. Birincisi, yetenek eksikliği nedeniyle, birçok kuruluş bugün bu zorunluluklara uyma becerisine sahip değil. İkincisi, federal hükümet, yasal ve mali sonuçlar konusunda net olarak özel sektörün güvenini kazanmalıdır. Son olarak, birbiriyle çelişen bir mevzuat yaması, yalnızca endüstride kafa karışıklığına ve geri itmeye yol açacak ve sonuçta bu yasama hareketlerinin arkasındaki niyetin altını oyacaktır.
Yasa koyucular, bir ihlali ifşa etmeye yönelik caydırıcı etkenleri ve bir kuruluşun bunu yapmakta isteksiz olabileceği meşru nedenleri dikkate almalıdır. Kanun haline gelen herhangi bir mevzuat bu nedenleri hesaba katmalıdır. Dikkate alınması gereken bazı önemli sorular:
● “Potansiyel” bir güvenlik olayını ne tanımlar? Siber Olay Bildirim Yasası’ndaki bu tür terimler, uygulanamayacak kadar geniştir ve kuruluşların etkin bir şekilde önceliklendirilmeden önce her güvenlik uyarısını hükümete göndermesine neden olabilir.
● Günümüzde fidye yazılımı ödemeleri, ifşa edilmesinin kendi kendini suçlamasına yol açabileceği yasal olarak gri bir alanda yer almaktadır. Bir ifşa durumunda, bilgiler mağdur örgütün cezai kovuşturmasını desteklemek için kullanılabilir mi? Şu anda en az dört eyalet – New York, Teksas, Kuzey Karolina ve Pensilvanya – fidye yazılımı ödemelerini yasa dışı hale getiren faturaları değerlendiriyor. Bu noktalara doğrudan açıklık getirilmediği takdirde, işletmeler Warren’ın Fidye Yazılımının İfşa Edilmesi Yasasına uymak konusunda isteksiz olacaktır.
● Paylaşılması gereken belirli bir tehdit göstergesi bilgisi seti nedir? İfşa eden kuruluşun, son raporlama tarihinden önce paylaşmadan önce bu kanıt hakkında ne kadar emin olması gerekiyor? Bilgilerin yanlış olması durumunda sorumluluk var mı? Bir IP veya e-posta adresinin İnternet genelindeki bir engelleme listesine yalnızca haftalar sonra varlığın saldırıyla ilgisi olmadığını ve oldukça zararsız olduğunu öğrenmek için eklendiğini hayal edin.
● Raporlama zaman çizelgesi tüm kuruluşlar için aynı mı olmalı? Şu anda, Siber Olay Bildirim Yasası, kapsam dahilindeki tüm kuruluşların bir olayı ifşa etmek için yalnızca 24 saati olacağını belirtiyor. Ancak uygulayıcılar, adli soruşturmaların genellikle çok daha uzun sürdüğünü biliyorlar. Kuruluşların bilgileri gerçek zamanlı olarak paylaşmasına izin veren ve aynı zamanda tüm hikayenin ortaya çıkmasının daha uzun sürebileceğini kabul eden hükümler olmalıdır.
● İfşa veri tabanlarının güvenliğini sağlamak için hangi güvenlik önlemleri alınacak? Hangi öğeler anonim hale getirilecek? Açıklamalar Bilgi Edinme Özgürlüğü Yasası (FOIA) taleplerine tabi olacak mı? Bu, kuruluşların açıklama riskini tanımlanmış cezalarla dengelemesine yardımcı olacaktır.
● Olay müdahale hizmeti sağlayıcıları, bu mevzuat uyarınca müşteriler adına veya müşterilerle paralel olarak açıklama yapmakla yükümlü müdür? Bu süreçte yasal ayrıcalığın rolü nedir? Her iki yasa da bu konuları yeterince kapsamamaktadır.
Son olarak, çözümün işletmelere aşırı zarar vermemesini sağlamak için ifşa için teşvikleri uygun şekilde yapılandırmamız gerekiyor. Yeni başlayanlar için, tehdit bilgilerini ifşa eden kuruluşlar için onları cezai ve hukuki sorumluluktan koruyan yasal korumalar olmalıdır. Geçmişteki ihlallerin geçmişi, ceza boyutuna dahil edilmelidir. Herhangi bir federal yasa, gerekli özeni gösteren ve güçlü güvenlik önlemleri uygulayan kuruluşlar için teşvikler de içermelidir. Bir işletme bir güvenlik olayının tuzağına düşerse ancak şifreleme gibi uygun güvenlik önlemleri alırsa, o işletmeye hiçbir önlem almayan bir kuruluştan farklı davranılmalıdır.
Bu faturalar Kongre salonlarında yol alırken, işletmeler bu bekleyen mevzuata hazırlanmak için ne yapmalı? İş riskini azaltmaya ve olası cezalardan kaçınmaya yardımcı olmak için algılama, yanıt verme ve bildirim süresini azaltacak bir tehdit algılama ve yanıt planı geliştirin. Daha da iyisi, gerekli siber güvenlik yeteneği ve teknolojisini sağlayabilecek bir yönetilen algılama ve yanıt (MDR) iş ortağıyla çalışarak, gelecekteki siber saldırı riskini azaltmak için uygun güvenlik kontrollerine sahip olduklarından emin olun.