iot-vulnerability

Empresas dos EUA notificarão incidente e resgate

Projeto de lei apresentado quarta-feira dia 29 de setembro valerá para as empresas de infraestrutura crítica dos EUA
Da Redação
01/10/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Os senadores norte-americanos Gary Peters (D-MI) e Rob Portman (R-OH), presidente e membro graduado do Comitê de Segurança Interna e Assuntos Governamentais respectivamente, apresentaram um projeto de lei chamado “The Cyber Incident Reporting Act“, para exigir que os proprietários e operadores de infraestrutura crítica informem a Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) caso sofram um ataque cibernético, e a maioria das organizações do país igualmente informem quando fizerem um pagamento de ransomware.

Eles argumentam que o projeto de lei irá melhora a compreensão das agências federais sobre a melhor forma de combater ataques cibernéticos, “ajudará nossa nação a responsabilizar os hackers por alvejar redes americanas e reforçará a capacidade do governo federal de ajudar a evitar que esses ataques comprometam ainda mais a segurança nacional e perturbem vidas e meios de subsistência dos americanos”. Peters e Portman também estão elaborando uma legislação separada que atualizará a Lei de Modernização da Segurança da Informação Federal – incluindo a exigência de agências federais e contratados para relatar quando forem atingidos por ataques cibernéticos.

Veja isso
Segurança de infraestrutura crítica fatura US$ 207 bi em 2027
Casa Branca é criticada por sugerir pagamento de resgate

O Cyber Incident Reporting Act é baseado na legislação criada pelos representantes Yvette Clarke (D-NY) e John Katko (R-NY). Ele exigiria que os proprietários e operadores de infraestrutura crítica relatassem à CISA dentro de 72 horas se estivessem enfrentando um problema cibernético ou ataque. O projeto também exige que outras organizações, incluindo ONGs, empresas com mais de 50 funcionários e governos estaduais e locais, notifiquem o governo federal em 24 horas se fizerem o pagamento do resgate.

A legislação impele as agências federais que são notificadas sobre ataques a fornecer essas informações ao CISA e cria um Conselho de Relatórios de Incidentes de Segurança Cibernética para coordenar os requisitos de relatórios federais. O projeto de lei dá à CISA autoridade para intimar entidades que não relatem incidentes de segurança cibernética ou pagamentos de ransomware.

As entidades que descumprirem a intimação podem ser encaminhadas ao Ministério Público e impedidas de firmar contratos com o governo federal. A legislação também exigiria que as entidades que planejam fazer um pagamento de resgate avaliem alternativas antes de fazer o pagamento. Por fim, o projeto de lei exige que a CISA lance um programa que avisará as organizações sobre as vulnerabilidades que os atores do ransomware exploram e instrui o National Cyber ​​Director a estabelecer uma força-tarefa conjunta de ransomware para coordenar os esforços federais, em consulta com a indústria, para prevenir e interromper ataques de ransomware . O processo de regulamentação federal que formalizará aspectos desta legislação também requer consultas substanciais com a indústria.

Com agências de notícias internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest