El nuevo proyecto de ley de la Cámara de Representantes de EE. UU. rompe nueva tierra en acción e intención. Ha recibido elogios generalizados entre legisladores y participantes de la industria en todo EE. UU. y servirá como modelo para una legislación similar en otros países. Shieldworkz habló sobre la brecha entre el número de ciberataques reportados y el volumen de datos filtrados por piratas informáticos en la Dark Web y otros foros en la última edición de nuestro informe de Panorama de Amenazas. Esta anomalía indica el subreporte de ciberataques por parte de las empresas por diversas razones.  

El nuevo proyecto de ley obligará a las empresas de infraestructura a reportar una violación dentro de las 72 horas después de su detección. Después de años de depender de un mecanismo de declaración voluntaria, el nuevo proyecto de ley ahora hace obligatorio para dichas empresas compartir información con la Agencia de Seguridad de Infraestructura y Ciberseguridad.

Veamos algunos otros aspectos críticos de este proyecto de ley

• Propuesta de establecimiento de una Oficina de Revisión de Incidentes Cibernéticos o la Oficina CIR dentro de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), dentro del Departamento de Seguridad Nacional de EE. UU. (DHS)

• La oficina CIR permitirá el intercambio oportuno de información entre los propietarios y operadores de infraestructura crítica y la comunidad de inteligencia en general

• Introduce un marco de reporte obligatorio que identifica cómo y qué reportar después de un ciberataque. 

• La CISA es la agencia encargada de recibir informes sobre violaciones. Esto ha sido una fuente importante de preocupación en el pasado, con muchas empresas entregando informes de violaciones al Buró Federal de Investigaciones con la esperanza de que eventualmente lleguen a la agencia nodal que necesita escuchar sobre la violación

• La CISA tendrá 9 meses para preparar el terreno para reportar ciberataques, incluidas las empresas que necesitan reportar dichos ataques, el tipo de ataques que deben reportarse y el formato para el reporte

• La CISA mantendrá la confidencialidad de la información compartida por las empresas. Sin embargo, la oficina CIR podrá publicar informes no clasificados trimestrales que describan observaciones agregadas, anonimizadas y recomendaciones basadas en los informes de incidentes cibernéticos presentados por las empresas

• Las empresas tienen 72 horas para presentar sus informes

• La oficina de CIR también trabajará para identificar oportunidades de aprovechar los datos proporcionados para fortalecer la investigación en ciberseguridad por parte de instituciones académicas y organizaciones del sector privado. Esta oficina también revisará incidentes significativos y propondrá formas de prevenirlos en el futuro

El proyecto de ley también establece una definición amplia de evento de ciberseguridad para cubrir más ciberataques. Bajo el proyecto de ley, para que un incidente de ciberseguridad se categorice como tal, al menos uno de los siguientes parámetros debe cumplirse:

• Acceso no autorizado a un sistema de información o red que resulte en pérdida de confidencialidad, disponibilidad o integridad de los sistemas/redes de información o que tenga un impacto en la seguridad y la resiliencia de varios sistemas y procesos operativos.

• Interrupción de operaciones industriales o comerciales debido a un ataque DDoS o ransomware, o debido a la explotación de una vulnerabilidad de día cero en sistemas o redes de información 

• Acceso no autorizado o interrupción de operaciones comerciales o industriales debido a la pérdida de servicio habilitada por un compromiso de, un proveedor de servicios en la nube, proveedor de servicios gestionados, otro proveedor de alojamiento de datos de terceros, o mediante un ataque en la cadena de suministro.

Según las disposiciones del proyecto de ley, si una ‘entidad cubierta’ no reporta un incidente de ciberseguridad, el Director del DHS tiene el poder de emitir una citación civil a la entidad. El Director también puede realizar un ‘examen’ “para mejorar la conciencia situacional de la Agencia sobre las amenazas a la ciberseguridad en los sectores de infraestructura crítica, de manera coherente con las protecciones de privacidad y libertades civiles bajo la ley aplicable”.