Podjetja se do leta 2022 soočajo s strožjimi kibernetskimi pravili

Photo: iStock

Predsednikov izvršni ukaz iz maja je dramatično spremenil, kar je bil v preteklosti razmeroma nenavaden pristop do kibernetske tehnologije, s prostovoljnim vodenjem in malo nadzora. Vlada subjektom, ki so ključnega pomena za kibernetsko infrastrukturo države, vse bolj sporoča, kaj se od njih pričakuje, pravijo nekdanji uradniki.

Podjetja v nekaterih sektorjih morajo zdaj poročati o kibernetskih napadih, imenovati namenske častnike za zvezo in oblikovati svoja omrežja tako, da so v skladu z načeli ničelnega zaupanja.

“Mislim, da je to, kar je Bidenova administracija storila v zadnjem letu, moteče,” je dejal Sujit Raman, partner v odvetniški pisarni Sidley Austin LLP in nekdanji pomočnik namestnika generalnega državnega tožilca na ministrstvu za pravosodje. “Precej agresivno so se oddaljili od prostovoljnih standardov in so bili pripravljeni vsiliti obvezne standarde. To je moteče na nov način.”

Agencije, kot je uprava za varnost prometa, so izdale nove standarde, ki od operaterjev cevovodov zahtevajo, da okrepijo kibernetsko varnost in izvedejo revizije, da bi dokazali, da so to storili.

Zveznim agencijam je bilo tudi naročeno, da prepoznajo in odpravijo pomanjkljivosti v programski opremi, ki jo uporabljajo, in da razvijejo smernice za vsak sektor kritične infrastrukture, ki ga nadzorujejo.

Posledice vdora v SolarWinds Corp. in Microsoft Corp. je prevladoval v prvih mesecih leta 2021, pri čemer so napadi prizadeli na tisoče podjetij in več zveznih agencij. Ameriška vlada je kasneje kampanjo pripisala hekerjem, ki jih je sponzorirala država v Rusiji oziroma na Kitajskem. Obe vladi sta vpletenost zanikali.

Sekretar za domovinsko varnost Alejandro Mayorkas je od marca opisal izsiljevalsko programsko opremo kot grožnjo nacionalni varnosti, vendar je napad na Colonial Pipeline Co. maja je to temo močno razbremenil. Zaradi tega incidenta je Colonial za šest dni zaprl največji vod za gorivo na vzhodni obali, kar je zvišalo cene in povzročilo pomanjkanje goriva v nekaterih jugovzhodnih državah po paničnem nakupu.

“Zavedajoč se vpliva, ki ga imajo napadi izsiljevalne programske opreme na kritični sektor komercialne infrastrukture v naši državi, mislim, da je pospešilo potrebo vlade po bolj usklajenem in osredotočenem odzivu,” je dejal Brad Medairy, izvršni podpredsednik za svetovanje pri Booz Allen Hamilton Inc.

Resni kibernetski napadi na velikana za predelavo hrane JBS SA in tehnološkega dobavitelja Kaseya Ltd. udarili so, ko so ministrstva za pravosodje, državo, domovinsko varnost in ministrstvo za finance začela širša prizadevanja za zajezitev kibernetskih groženj. ZDA so izdale sankcije ali obtožbe proti domnevnim operaterjem izsiljevalske programske opreme v Rusiji in Ukrajini zaradi napada na Kasey, rusko borzo kriptovalut in podjetje za kibernetsko varnost, obtoženo organiziranja konferenc za zaposlovanje vohunov.

Julija je senat potrdil Chrisa Inglisa za prvega nacionalnega kibernetskega direktorja, kar je gospod Inglis opisal kot quarterback v vladnih prizadevanjih za kibernetsko varnost. Na potrditvenem zaslišanju v juniju je gospod Inglis predvidel odločnejše ukrepanje vlade na enak način, kot izvaja standarde za letalski sektor.

“Kdaj [companies] izvajati kritične dejavnosti, od katerih so odvisni interesi naroda, se lahko zgodi, da se moramo vključiti in se moramo regulirati,« je dejal.

Ameriški uradniki bodo verjetno leta 2022 izdali dodatne kibernetske zahteve podjetjem s kritično infrastrukturo, vključno z oskrbo z vodo, je dejal gospod Raman iz Sidley Austina.

Problem bo tudi pomanjkanje talentov za kibernetsko varnost, je dejal gospod Medairy iz Booz Allena. (ISC) 2, kibernetsko strokovno združenje, ocenjuje to vrzel na približno 2,7 milijona po vsem svetu.

“Soočamo se s precejšnjim pomanjkanjem kibernetske delovne sile in talentov, vlada pa tega problema ne more rešiti sama,” je dejal gospod Medairy.

Toda čeprav vladna želja po strožjih pravilih o kibernetski varnosti ostaja, ni jasno, v kolikšni meri so bile te spremembe učinkovite.

Pooblastilo za prijavo kršitev ima tudi dvostransko podporo tako v Parlamentu kot v senatu, čeprav je bilo odstranjeno iz zakona o pooblastilih za nacionalno obrambo kot del kompromisa za sprejetje zakona. Visoki uradniki, vključno z direktorico Agencije za kibernetsko in infrastrukturno varnost Jen Easterly, so pozvali zakonodajalce, naj sprejmejo te zakone s kratkimi roki za poročanje o incidentih.

Predstavniki pravosodnega ministrstva so tudi povedali, da je brez nadaljnjega sprejemanja pravil s strani kongresa leta 2022, kot je obvezno poročanje o kršitvah, težko odgovoriti na vprašanje, ali se napadi povečujejo ali zmanjšujejo.

»Če bi poznali celotno sliko, bi se lahko Zvezni preiskovalni urad ali kdo drug odzval z odgovorom, ki pravi, da imamo 100-odstotna poročila in da smo opazili povečanje ali zmanjšanje. Trenutno nismo tam,” je na decembrski konferenci WSJ Pro Cybersecurity dejal John Carlin, glavni pomočnik namestnika državnega tožilca.

Naročite se na Mint glasilo

* Vnesite veljaven e-poštni naslov

* Hvala, ker ste se prijavili na naše novice.

Nikoli ne zamudite zgodbe! Ostanite povezani in obveščeni z Mint. Prenesite našo aplikacijo zdaj!!

.

Leave a Comment

Your email address will not be published. Required fields are marked *