O secretário de Segurança Interna dos EUA, Alejandro Mayorkas, disse que uma diretiva futura da Administração de Segurança de Transporte exigiria que as agências de transporte ferroviário e de aviação de alto risco nomeassem coordenadores de segurança cibernética, estabelecessem planos de contingência e recuperação e relatassem ao governo um incidente de ataque cibernético.
Alejandro Mayorkas disse que o Departamento de Segurança Interna lançou em setembro o quarto item-chave em uma série de sprints de segurança cibernética de 60 dias com o objetivo de fortalecer o setor de transporte, devido ao “spam” de ransomware. elasticidade.
A diretiva seguirá diretrizes semelhantes emitidas para operadores de oleodutos após o ataque de ransomware do oleoduto Colonial, exigindo testes de vulnerabilidade robustos, a nomeação de um coordenador cibernético e relatórios dentro de 12 horas após a descoberta de um ataque cibernético.
Por exemplo, em termos de gestão da segurança da rede na indústria ferroviária, a TSA desempenhará um papel mais ativo e de maior visibilidade. As empresas ferroviárias e de transporte ferroviário de “risco mais elevado” serão obrigadas a designar um contacto de segurança cibernética para o governo e a reportar incidentes de segurança cibernética à Agência de Segurança Cibernética e de Infraestruturas.
No lado da aviação, a TSA está planejando novos requisitos para os principais players do setor, incluindo operadores de aeroportos, companhias aéreas de passageiros e operadores de aeronaves de carga, para designar um contato de segurança cibernética e relatar incidentes de segurança cibernética à CISA.
“Acho que fundamentalmente se pudermos aumentar o nível de higiene da segurança cibernética nos EUA em todas as áreas, em todos os aspectos – não apenas nos negócios complexos”, disse Majorkas no Billington Cybersecurity Summit em 6 de outubro, horário local. , incluindo pequenas empresas, não apenas PMEs – este é o Projeto 1.”
Ele acrescentou que orientações separadas seriam emitidas para entidades de aviação e ferrovias de baixo risco, recomendando a mesma ação, bem como uma circular informativa aconselhando a rede a se autoavaliar. A Transportation Security Administration já está atualizando seu programa de segurança da aviação.
O DHS não está ignorando o transporte marítimo. A Guarda Costeira divulgou sua primeira perspectiva de estratégia cibernética desde 2015 neste verão (a Guarda Costeira dos EUA publica uma nova estratégia ciberespacial), e especialistas cibernéticos estão sendo implantados nos principais portos dos EUA para melhorar a preparação. Cerca de 2,300 entidades marítimas são obrigadas a enviar planos cibernéticos à Guarda Costeira, que também trabalha com a Organização Marítima Internacional para garantir que navios de carga e passageiros realizem avaliações de risco cibernético e desenvolvam planos de mitigação.
Maiorcas expressou otimismo sobre a legislação que pressionaria ainda mais os operadores de infraestrutura crítica a relatar invasões cibernéticas rapidamente, embora estivesse preocupado em definir um cronograma de relatórios.
“Francamente, estou um pouco preocupado com o cronograma da legislação, dada a rapidez com que a situação está mudando e se a legislação pode corresponder a essa dinâmica à medida que ela se desenrola”. “Em geral, esses elementos – especificamente ponto de contato, relatórios de incidentes cibernéticos e planos de contingência – representam os requisitos mínimos para as práticas recomendadas de segurança cibernética atuais”, disse Mayorkas em seu discurso.
O primeiro sprint cibernético do DHS lançou o site StopRansomware.gov em março, enquanto o segundo sprint foi a maior operação de recrutamento cibernético na história do DHS e preparou o terreno para o lançamento em 15 de novembro dos serviços de segurança cibernética do DHS. O terceiro sprint se concentra em sistemas de controle industrial.
Com relação ao relatório de incidentes de segurança cibernética, o Comitê de Segurança Interna e Assuntos Governamentais do Senado apresentou duas leis de segurança cibernética em 6 de outubro.
A Lei de Relatórios de Incidentes Cibernéticos de 2021 estabelece um requisito de relatório de 72 horas para invasões e outros incidentes envolvendo empresas, incluindo empresas de infraestrutura crítica. Além disso, o projeto de lei exige que as empresas relatem quaisquer pagamentos de ransomware aos hackers dentro de 24 horas. A lei também cria um novo escritório na CISA para receber relatórios de empresas protegidas. O projeto foi aprovado, mas encontrou alguma oposição dos republicanos do comitê por ser muito amplo - atualmente cobrindo pequenas empresas com 50 ou mais funcionários. A lei foi alterada para excluir as divulgações obrigatórias exigidas pela lei das descobertas em ações judiciais de violação de segurança cibernética.
No início deste ano, um grupo bipartidário de legisladores do Comitê de Inteligência do Senado apresentou projetos de lei próprios que exigiriam que operadores de infraestrutura crítica e empreiteiros federais relatassem incidentes de segurança cibernética XNUMX horas por dia.
A Lei Federal de Modernização da Segurança da Informação de 2021, que exige que as agências civis federais denunciem invasões cibernéticas à CISA e ao Escritório de Administração e Orçamento, inclui novas autorizações que tornam a CISA a principal agência responsável por incidentes de segurança cibernética que afetam as agências civis federais.
O senador Gary Peters, D-Mich., O presidente do comitê, anunciou sua intenção de adicionar as duas peças de legislação à Lei de Autorização de Defesa Nacional, que os legisladores esperam aprovar até o final do ano.