Editor Top
El Senador Gary Peters, D-Mich., habla en una conferencia de prensa en Capitol Hill en Washington, el 8 de febrero de 2022. Las empresas críticas para los intereses nacionales de EE. UU. deberán informar cuando sean pirateadas o paguen ransomware. Las nuevas reglas aprobadas por el Congreso son parte de un esfuerzo más amplio de la administración Biden y el Congreso para reforzar las defensas cibernéticas de la nación después de una serie de campañas de espionaje digital de alto perfil y ataques disruptivos de ransomware. Crédito: AP Photo/Andrew Harnik, Archivo
Las empresas críticas para los intereses nacionales de EE. UU. ahora tendrán que informar cuando sean pirateadas o paguen ransomware, según las nuevas reglas aprobadas por el Congreso.
Las reglas son parte de un esfuerzo más amplio de la administración Biden y el Congreso para reforzar las defensas cibernéticas de la nación después de una serie de campañas de espionaje digital de alto perfil y ataques disruptivos de ransomware. Los informes le darán al gobierno federal una visibilidad mucho mayor de los esfuerzos de piratería dirigidos a empresas privadas, que a menudo no acuden al FBI u otras agencias en busca de ayuda.
«Está claro que debemos tomar medidas audaces para mejorar nuestras defensas en línea», dijo en un comunicado el viernes el senador Gary Peters, un demócrata de Michigan que dirige el Comité de Asuntos Gubernamentales y Seguridad Nacional del Senado y redactó la legislación.
La legislación sobre el requisito de presentación de informes fue aprobada por la Cámara y el Senado el jueves y se espera que el presidente Joe Biden la promulgue pronto. Requiere que cualquier entidad que se considere parte de la infraestructura crítica de la nación, que incluye los sectores de finanzas, transporte y energía, informe cualquier «incidente cibernético sustancial» al gobierno dentro de los tres días y cualquier pago de ransomware realizado dentro de las 24 horas.
Los ataques de ransomware, en los que los delincuentes piratean objetivos y mantienen sus datos como rehenes a través del cifrado hasta que se paga el rescate, han florecido en los últimos años. Los ataques del año pasado a la empresa empacadora de carne más grande del mundo y al oleoducto de combustible más grande de EE. UU., que provocaron días de escasez en las estaciones de servicio en la costa este, han puesto de relieve cómo las bandas de piratas informáticos extorsionadores pueden perturbar la economía y poner vidas y medios de subsistencia en riesgo.
Los piratas informáticos estatales de Rusia y China han tenido un éxito continuo al piratear y espiar objetivos estadounidenses, incluidos objetivos de infraestructura crítica. La más notable fue la campaña de ciberespionaje SolarWinds de Rusia, que se descubrió a fines de 2020.
El director del FBI, Christopher Wray, habla en una conferencia de prensa en el Departamento de Justicia en Washington el 8 de noviembre de 2021. Las empresas críticas para los intereses nacionales de EE. UU. deberán informar cuando sean pirateadas o paguen ransomware. Las nuevas reglas aprobadas por el Congreso son parte de un esfuerzo más amplio de la administración Biden y el Congreso para reforzar las defensas cibernéticas de la nación después de una serie de campañas de espionaje digital de alto perfil y ataques disruptivos de ransomware. Crédito: AP Photo/Andrew Harnik, Archivo
A los expertos y funcionarios del gobierno les preocupa que la guerra de Rusia en Ucrania haya aumentado la amenaza de ataques cibernéticos contra objetivos estadounidenses, ya sea por parte de actores estatales o delegados. Muchos operadores de ransomware viven y trabajan en Rusia.
“Dado que nuestra nación apoya correctamente a Ucrania durante el ataque ilegal e injustificable de Rusia, me preocupa que aumente la amenaza de ataques cibernéticos y de ransomware rusos contra la infraestructura crítica de Estados Unidos”, dijo el senador Rob Portman, republicano de Ohio.
La legislación designa a la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional como la agencia principal para recibir notificaciones de ataques y pagos de ransomware. Eso causó preocupación en el FBI, que había hecho campaña abiertamente para modificar el proyecto de ley en un desacuerdo inusualmente público sobre la legislación respaldada en general por la Casa Blanca.
«Queremos que una llamada sea una llamada para todos nosotros», dijo el director del FBI, Christopher Wray, la semana pasada en un evento cibernético en la Universidad de Kansas. «Lo que se necesita no es un montón de informes diferentes, sino acceso en tiempo real al mismo informe por parte de todas las personas que necesitan tenerlo. Entonces, de eso es de lo que estamos hablando, no de cadenas de informes múltiples, sino de acceso múltiple, acción simultánea múltiple». , a la información».
El FBI también ha expresado su preocupación de que las protecciones de responsabilidad que cubrirían a las empresas que informan una infracción a CISA no se extenderían a informar una infracción al FBI, un problema que la oficina cree que podría complicar innecesariamente los esfuerzos de las fuerzas del orden público para responder a los piratas informáticos y ayudar a las víctimas.
Los legisladores que ayudaron a redactar el proyecto de ley se han opuesto al FBI, diciendo que las preocupaciones de la oficina acerca de ser notificado de los ataques y las preocupaciones de responsabilidad se abordaron adecuadamente en la versión final.
Las nuevas reglas también facultan a CISA a citar a las empresas que no informen los ataques o los pagos de ransomware, y aquellas que no cumplan con una citación podrían ser remitidas al Departamento de Justicia para su investigación.
Una señal del crecimiento del ransomware: las pandillas ahora arbitran disputas
© 2022 Prensa Asociada. Todos los derechos reservados. Este material no puede ser publicado, transmitido, reescrito o redistribuido sin permiso.
Citación: Empresas estadounidenses pirateadas para enfrentar nuevos requisitos de informes (11 de marzo de 2022) consultado el 19 de marzo de 2022 en https://techxplore.com/news/2022-03-hacked-companies-requirements.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
