As empresas que operam infraestruturas críticas nos EUA agora terão que informar à CISA (agência de segurança cibernética do governo) quando sofrerem invasões ou quando pagarem ransomware, de acordo com novas regras já aprovadas pelo Congresso e que aguardam a assinatura do presidente JOe Biden para entrarem em vigor. As novas regras fazem parte de um esforço mais amplo do governo e do Congresso para reforçar as defesas cibernéticas do país, após uma série de campanhas de espionagem e ataques disruptivos de ransomware. A informação compulsória dará ao governo federal uma visibilidade muito maior sobre as ações de hackers contra empresas privadas, que muitas vezes deixaram de solicitar ajuda ao FBI ou a outras agências.
“Está claro que devemos tomar medidas ousadas para melhorar nossas defesas online”, disse em comunicado na sexta-feira o senador Gary Peters, democrata de Michigan que lidera o Comitê de Segurança Interna e Assuntos Governamentais do Senado e redigiu a legislação.
Ela exige que qualquer entidade considerada parte da infraestrutura crítica do país, que inclui os setores de finanças, transporte e energia, informe qualquer “incidente cibernético substancial” ao governo em três dias (72h) e qualquer pagamento de ransomware em 24 horas.
Veja isso
52 infraestruturas críticas atacadas por ransomware nos EUA
Infraestrutura crítica: amostra indica violações em 83%
A legislação designa a Agência de Segurança Cibernética e Segurança de Infraestrutura do Departamento de Segurança Interna como a principal agência a receber notificações de hacks e pagamentos de ransomware. Isso causou preocupação no FBI, que fez campanha abertamente por ajustes no projeto, revelando não estar de acordo com esse item na legislação endossada pela Casa Branca. O FBI também expressou preocupação de que as proteções de responsabilidade para empresas que relatam uma violação à CISA impliquem não relatar a violação ao FBI, uma questão que a agência acredita que poderia complicar desnecessariamente os esforços de aplicação da lei para responder a incidentes e ajudar as vítimas.
Os legisladores que ajudaram a redigir o projeto de lei se opuseram ao FBI, dizendo que as preocupações do órgão foram adequadamente abordadas na versão final do projeto de lei. As novas regras também capacitam a CISA a intimar empresas que não denunciarem invasões ou pagamentos de ransomware, podendo encaminhar ao Departamento de Justiça para investigação aquelas que não atenderem a uma intimação.
Com agências no notícias internacionais