Open/Close Menu وکیل | مشاوره رایگان | وکالت | وکیل آنلاین

واشنگتن: اعضای مارک وارنر ، D-VA ، مارکو روبیو ، R-Fla. ، و سوزان کالینز ، R-ME ، امروز از لایحه ای رونمایی کردند که به سازمان های فدرال ، بسیاری از پیمانکاران دولتی و صاحبان زیرساخت ها و اپراتورهای مهم نیاز دارد تا گزارش دهند 24 ساعت کشف هرگونه حادثه سایبری “که امنیت ملی را تهدید می کند”.

یکی از اهداف این لایحه “امکان ایجاد یک تصویر عملیاتی مشترک از تهدیدات سایبری در سطح ملی است” ، طبق پیش نویس که عصر سه شنبه با Breaking Defense به اشتراک گذاشته شد.

این لایحه با عنوان قانون اطلاع رسانی حوادث سایبری از سال 2021 ، گامی اساسی در تلاش برای رفع چالشی است که مدتها توسط کنگره ، دولت ایالات متحده و بسیاری در بخش خصوصی به رسمیت شناخته شده است: کسری اشتراک اطلاعات سایبری مانع توانایی دولت در پاسخگویی می شود به حوادث بزرگ سایبری

کمبود اطلاعات به موقع همچنین بر توانایی آژانس های فدرال ، شرکت ها و سایر نهادهای آسیب دیده در یادگیری سریع و تطبیق دفاع سایبری با حوادث سایبری در حال انجام و در حال انجام ، مانند موارد زیر تأثیر می گذارد. مایکروسافت تبادل کمپین جاسوسی اینترنتی اوایل امسال که تحت تأثیر 140000 نهاد آمریکایی قرار گرفت. دولت ایالات متحده ، همراه با ائتلاف گسترده ای از متحدان و شرکا ، روز دوشنبه به طور رسمی منسوب است آن کمپین به چین.

وارنر ، رئیس کمیته اطلاعات سنا در انتخاب اطلاعات و یکی از حامیان مالی این لایحه ، در یک خبرنامه مطبوعاتی گفت: “به نظر می رسد هر روز آمریکایی ها با خبر حمله باج افزار یا نفوذ سایبری دیگر بیدار می شوند.” “ما برای محافظت از زیرساخت های حیاتی خود نباید به گزارش های داوطلبانه اعتماد كنیم. ما به یک استاندارد معمول فدرال نیاز داریم تا وقتی بخشهای حیاتی اقتصاد ما تحت تأثیر نقض قرار گرفتند ، می توان منابع کامل دولت فدرال را برای پاسخگویی و جلوگیری از تأثیرات آن بسیج کرد. “

نظرات وارنر در مورد ناکافی بودن “گزارش داوطلبانه” احساسات پژواک او ماهها بیان کرده است ، از جمله کنایات به این لایحه.

در حال حاضر هیچ قانونی فدرال وجود ندارد که نیاز به گزارش حوادث سایبری به دولت فدرال داشته باشد. برخی از ایالت ها قوانین مربوط به اخطار نقض داده ها را دارند ، اما الزامات این قوانین اغلب حول سرقت اطلاعات مالی مصرف کننده یا اطلاعات قابل شناسایی شخصی (PII) مانند شماره های تأمین اجتماعی است و اعلان ها برای مصرف کنندگان متضرر ارسال می شود.

قوانین موجود اطلاع رسانی برای نقض داده ها در مواردی مانند این موارد اعمال نمی شود کمپین جاسوسی سایبری SolarWinds یا حمله باج افزار Colonial Pipeline، علیرغم پیامدهای امنیت ملی که آشکار کردند.

نیاز به گزارش اجباری پس از SolarWinds ، که به طور داوطلبانه توسط شرکت امنیت سایبری FireEye به دنبال کشف این کمپین گزارش شد ، بیشتر مورد توجه قرار گرفت. پس از نه ماه تحقیق، و خط لوله استعماری ، که طی آن براندون ولز سرپرست وقت CISA به نمایندگی خود به کنگره گفت اطلاعات فنی مورد نیاز را دریافت نمی کرد برای برقراری ارتباط و پاسخگویی

این قانون از حمایت گسترده دو جانبه برخوردار است ، از جمله توسط کالینز ، عضو کمیته اطلاعات ، که در سال 2012 لایحه ای برای اشتراک اطلاعات ارائه داد که نتوانست مورد توجه قرار گیرد. کالینز این لایحه را “عقل سلیم و دیرهنگام” توصیف کرد.

کالینز در بیانیه مطبوعاتی گفت: “داشتن دیدگاه واضح درباره خطرات کشور در برابر حملات سایبری برای اولویت بندی و اقدام در جهت کاهش و کاهش تهدید ضروری است.” “عدم تصویب یک الزام قوی برای اطلاع رسانی حادثه سایبری فقط به دشمنان ما فرصت بیشتری می دهد تا اطلاعاتی را در مورد دولت ما جمع آوری کنند ، مالکیت معنوی را از شرکت های ما بدزدند و به زیرساخت های حیاتی ما آسیب برسانند.”

قانون پیشنهادی ایجاب می کند آژانس های فدرال و زیرساخت های حیاتی مالکان و اپراتورها – و همچنین پیمانکاران دولتی و پیمانکاران فرعی ، به استثنای کسانی که خدمات خانه داری و نگهداری کالا یا محصولات یا خدمات غیر IT را در زیر ارائه می دهند آستانه خرید خرد – گزارش حوادث سایبری طی 24 ساعت پس از کشف ، به آژانس امنیت سایبری و زیرساخت امنیت داخلی (CISA).

این دستورالعمل به CISA دستور می دهد “توانایی های گزارشگری نفوذ سایبری را برای تسهیل ارسال اعلانات به موقع ، امن و محرمانه امنیت سایبری ایجاد کند.”

این لایحه همچنین با ارائه “مصونیت محدود” به شرکت های گزارش دهنده و الزام CISA برای اجرای امنیت داده ها برای محافظت از PII و حریم خصوصی ، چندین نگرانی طولانی مدت نهادهای خصوصی را برطرف می کند.

قابل ذکر است ، این قانون اطلاعیه های مربوط به حوادث سایبری را از این سازمان معاف می کند قانون آزادی اطلاعات. این قانون همچنین منع استفاده از اعلان ها به عنوان مدرک در پرونده های مدنی یا کیفری علیه نهاد گزارش دهنده یا مشمول احضار احضاریه ، به استثنای اقدامات قانونی که به ترتیب توسط دولت فدرال یا احضارهای کنگره برای نظارت انجام شده است.

مقدمه این لایحه به شرح زیر است تأییدهای اخیر سنا مدیر ملی سایبر کریس اینگلیس و مدیر CISA جن پاسترلی ، که هر دو نقشهایی را در هماهنگی دفاع ملی سایبری در واکنش به حوادث آینده ایفا می کنند.

روبیو ، نایب رئیس کمیته اینتل و یکی از حامیان مالی این لایحه ، گفت که “حملات سایبری” از کنترل خارج شده است ، و دولت باید “اقدامات قاطع” را انجام دهد. وی افزود که همه سازمانهای ایالات متحده باید “بلافاصله” اقدام کنند پس از کشف حمله.

روبیو در بیانیه مطبوعاتی گفت: “هرچه حمله حملات گزارش نشده باشد ، خسارت بیشتری نیز می تواند وارد شود.” “اطمینان از اطلاع رسانی سریع به حفاظت از سلامتی و ایمنی بی شماری از آمریکایی ها کمک می کند و به دولت ما کمک می کند تا افراد مسئول را ردیابی کند.”

logo-footer