El secretario de Seguridad Nacional de EE. UU., Alejandro Mayorkas, dijo que una próxima directiva de la Administración de Seguridad del Transporte requeriría que las agencias de tránsito ferroviario y de aviación de alto riesgo nombren coordinadores de seguridad cibernética, establezcan planes de contingencia y recuperación, e informen al gobierno sobre un incidente de ataque cibernético.
Alejandro Mayorkas dijo que el Departamento de Seguridad Nacional lanzó en septiembre el cuarto elemento clave en una serie de carreras de seguridad cibernética de 60 días destinada a fortalecer el sector del transporte, dado el "spam" del ransomware. elasticidad.
La directiva seguirá directivas similares emitidas a los operadores de oleoductos después del ataque de ransomware de oleoducto Colonial, que requiere pruebas de vulnerabilidad sólidas, el nombramiento de un coordinador cibernético e informes dentro de las 12 horas posteriores al descubrimiento de un ataque cibernético.
Por ejemplo, en términos de gestión de la seguridad de la red en la industria ferroviaria, la TSA desempeñará un papel más destacado y activo. Se requerirá que las compañías ferroviarias y de carga ferroviaria de "mayor riesgo" designen un contacto de seguridad cibernética para el gobierno e informen los incidentes de seguridad cibernética a la Agencia de Seguridad de Infraestructura y Ciberseguridad.
Por el lado de la aviación, la TSA está planificando nuevos requisitos para los actores clave de la industria, incluidos los operadores de aeropuertos, las aerolíneas de pasajeros y los operadores de aeronaves de carga, para designar un contacto de seguridad cibernética e informar incidentes de seguridad cibernética a CISA.
“Creo fundamentalmente si podemos impulsar el nivel de higiene de la seguridad cibernética en los EE. UU. en todas las áreas, en todos los aspectos, no solo en negocios complejos”, dijo Majorkas en la Cumbre de Seguridad Cibernética de Billington el 6 de octubre, hora local. , incluidas las pequeñas empresas, no solo las PYME: este es el Proyecto 1 ".
Agregó que se emitiría una guía separada para las entidades ferroviarias y de aviación de bajo riesgo recomendando la misma acción, así como una circular de información que aconseja a la red que se autoevalúe. La Administración de Seguridad del Transporte ya está actualizando su programa de seguridad de la aviación.
DHS no está ignorando el transporte marítimo. La Guardia Costera publicó su primera perspectiva de estrategia cibernética desde 2015 este verano (la Guardia Costera de EE. UU. publica una nueva estrategia de ciberespacio), y se están desplegando expertos cibernéticos en los principales puertos de EE. UU. para mejorar la preparación. Unas 2,300 entidades marítimas deben presentar planes cibernéticos a la Guardia Costera, que también trabaja con la Organización Marítima Internacional para garantizar que los buques de carga y de pasajeros realicen evaluaciones de riesgos cibernéticos y desarrollen planes de mitigación.
Majorcas expresó su optimismo sobre la legislación que presionaría aún más a los operadores de infraestructuras críticas para que informen rápidamente de las intrusiones cibernéticas, aunque le preocupaba establecer un cronograma de informes.
“Francamente, estoy un poco preocupado por el marco de tiempo para la legislación, dado lo rápido que está cambiando la situación y si la legislación puede igualar esa dinámica a medida que se desarrolla”. “En general, estos elementos, específicamente el punto de contacto, el informe de incidentes cibernéticos y los planes de contingencia, representan los requisitos mínimos para las mejores prácticas de seguridad cibernética de hoy”, dijo Mayorkas en su discurso.
El primer sprint cibernético del DHS lanzó el sitio web StopRansomware.gov en marzo, mientras que el segundo sprint fue la operación de reclutamiento cibernético más grande en la historia del DHS y sentó las bases para el lanzamiento el 15 de noviembre de los servicios de seguridad cibernética del DHS allanó el camino. El tercer sprint se centra en los sistemas de control industrial.
Con respecto al informe del incidente de seguridad cibernética, el Comité de Asuntos Gubernamentales y Seguridad Nacional del Senado presentó dos leyes de seguridad cibernética el 6 de octubre.
La Ley de Informes de Incidentes Cibernéticos de 2021 establece un requisito de informe de 72 horas para intrusiones y otros incidentes que involucran a empresas, incluidas las empresas de infraestructura crítica. Además, el proyecto de ley requiere que las empresas informen cualquier pago de ransomware a los piratas informáticos dentro de las 24 horas. La ley también crea una nueva oficina en CISA para recibir informes de empresas protegidas. El proyecto de ley se aprobó, pero encontró cierta oposición de los republicanos del comité por ser demasiado amplio: actualmente cubre a las pequeñas empresas con 50 o más empleados. La ley fue enmendada para excluir las divulgaciones obligatorias requeridas por la ley de los hallazgos en las demandas por violación de la seguridad cibernética.
A principios de este año, un grupo bipartidista de legisladores en el Comité Selecto de Inteligencia del Senado presentó sus propios proyectos de ley que requerirían que los operadores de infraestructura crítica y los contratistas federales reporten incidentes de seguridad cibernética las XNUMX horas del día.
La Ley Federal de Modernización de la Seguridad de la Información de 2021, que exige que las agencias civiles federales informen las intrusiones cibernéticas a CISA y a la Oficina de Administración y Presupuesto, incluye nuevas autorizaciones que convierten a CISA en la principal agencia responsable de los incidentes de seguridad cibernética que afectan a las agencias civiles federales.
El Senador Gary Peters, D-Mich., presidente del comité, anunció su intención de agregar las dos leyes a la Ley de Autorización de Defensa Nacional, que los legisladores esperan aprobar para fin de año.