يكسر مشروع القانون الجديد لمجلس النواب الأمريكي أرضًا جديدة في العمل والنية. لقد نال إشادة واسعة عبر المشرعين والمشاركين في الصناعة في جميع أنحاء الولايات المتحدة وسيكون بمثابة نموذج للتشريعات المماثلة في جميع أنحاء البلدان. Shieldworkz تحدثت عن الفجوة بين عدد الهجمات الإلكترونية المبلغ عنها وحجم البيانات المسربة من قبل المتسللين عبر الويب المظلم ومنتديات أخرى في الإصدار الأخير من تقرير مشهد التهديدات لدينا. تشير هذه الظاهرة الشاذة إلى التقليل من الإبلاغ عن الهجمات الإلكترونية من جانب الشركات لأسباب متنوعة. 

سيفرض مشروع القانون الجديد على شركات البنية التحتية الإبلاغ عن الخرق في غضون 72 ساعة من اكتشافه. بعد سنوات من الاعتماد على آلية الإفصاح الطوعي، أصبح مشروع القانون الجديد الآن يجعل من الإلزامي لمثل هذه الشركات مشاركة المعلومات مع وكالة الأمن السيبراني وأمن البنية التحتية.

لنلقِ نظرة على بعض الجوانب الهامة الأخرى لمشروع القانون هذا

• يقترح إنشاء مكتب مراجعة الحوادث السيبرانية أو مكتب CIR داخل وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ضمن وزارة الأمن الداخلي الأمريكية (DHS)

• سيمكن مكتب CIR من تبادل المعلومات في الوقت المناسب بين مالكي ومشغلي البنية التحتية الحرجة والمجتمع الاستخباري الأوسع

• يجلب إطار تقرير إلزامي يحدد كيفية وما يجب الإبلاغ عنه في أعقاب الهجوم السيبراني. 

• CISA هي الوكالة المكلفة باستقبال تقارير الخروقات. وقد كانت هذه مصدر قلق كبير في الماضي نظرًا لأن العديد من الشركات قد سلمت تقارير الخرق إلى مكتب التحقيقات الفيدرالي على أمل أن يصل التقرير في النهاية إلى الوكالة الرئيسية التي تحتاج لسماع عن الخرق

• سيحصل CISA على 9 أشهر لإعداد الأساس للإبلاغ عن الهجمات السيبرانية بما في ذلك الشركات التي تحتاج إلى الإبلاغ عن هذه الهجمات، وأنواع الهجمات التي يجب الإبلاغ عنها، والشكل الذي يجب الإبلاغ فيه

• CISA ستحافظ على سرية المعلومات المشتركة من قبل الشركات. ومع ذلك، سيكون مكتب CIR حراً في نشر تقارير ربع سنوية غير مصنفة تصف ملاحظات وتوصيات مجمعة ومجهولة استنادًا إلى تقارير الحوادث السيبرانية المقدمة من قبل الشركات

• لدى الشركات 72 ساعة لتقديم تقاريرها

• سيعمل مكتب CIR أيضًا على تحديد الفرص لاستغلال البيانات المقدمة إليه لتعزيز أبحاث الأمن السيبراني من قبل المؤسسات الأكاديمية والمنظمات في القطاع الخاص. كما سيقوم هذا المكتب بمراجعة الحوادث الهامة واقتراح طرق لمنعها من الحدوث في المستقبل

يلزم المشروع أيضًا تعريفًا واسعًا لحدث الأمن السيبراني لتغطية المزيد من الهجمات الإلكترونية. بموجب المشروع لكي يتم تصنيف الحادث الأمني كحادث أمن سيبراني، يجب على الأقل تلبية أحد المعايير التالية:

• الوصول غير المصرح به إلى نظام المعلومات أو الشبكة مما يؤدي إلى فقدان السرية أو توفر النظم أو تكاملها أو يؤثر على سلامة ومرونة الأنظمة التشغيلية والعمليات المختلفة.

• تعطيل العمليات الصناعية أو الأعمال كنتيجة لهجوم DDoS أو هجوم فدية، أو نتيجة استغلال ثغرة يوم الصفر في نظم المعلومات أو الشبكات 

• الوصول غير المصرح به أو تعطيل العمليات التجارية أو الصناعية نتيجة لفقدان الخدمة الذي تمكينه من خلال اختراق موفر خدمة السحابة، موفر خدمة مُدارة، موفر استضافة بيانات طرف ثالث آخر، أو من خلال هجوم سلسلة التوريد.

وفقًا لأحكام المشروع، إذا لم يبلغ 'الكيان المخاطب' عن حادثة أمن سيبراني، فإن مدير DHS لديه السلطة لإصدار أمر استدعاء مدني للكيان. يمكن للمدير أيضًا إجراء 'فحص' "لتعزيز الوعي الموقعي للوكالة بشأن التهديدات السيبرانية عبر قطاعات البنية التحتية الحرجة، بطريقة تتوافق مع حماية الخصوصية والحقوق المدنية بموجب القانون المعمول به".