ABD İç Güvenlik Bakanı Alejandro Mayorkas, Ulaştırma Güvenliği İdaresi'nden gelecek bir direktifin, yüksek riskli havacılık ve demiryolu taşımacılığı kurumlarının siber güvenlik koordinatörleri atamasını, acil durum ve kurtarma planları oluşturmasını ve bir siber saldırı olayını hükümete bildirmesini gerektireceğini söyledi.
Alejandro Mayorkas, Eylül ayında İç Güvenlik Bakanlığı'nın, fidye yazılımının "spam"ı göz önüne alındığında, ulaştırma sektörünü güçlendirmeyi amaçlayan 60 günlük siber güvenlik sprint serisinin dördüncü önemli öğesini başlattığını söyledi. esneklik.
Yönerge, Colonial boru hattı fidye yazılımı saldırısının ardından boru hattı operatörlerine verilen, sağlam güvenlik açığı testleri, bir siber koordinatörün atanması ve bir siber saldırının keşfedilmesinden sonraki 12 saat içinde rapor verilmesini gerektiren benzer direktifleri takip edecek.
Örneğin demiryolu endüstrisinde ağ güvenliği yönetimi açısından TSA daha yüksek profilli ve aktif bir rol oynayacak. "Daha yüksek riskli" demiryolu taşımacılığı ve demiryolu şirketlerinin, hükümet için bir siber güvenlik sorumlusu belirlemesi ve siber güvenlik olaylarını Siber Güvenlik ve Altyapı Güvenliği Ajansı'na bildirmesi gerekecek.
Havacılık tarafında TSA, havalimanı operatörleri, yolcu havayolları ve kargo uçağı operatörleri de dahil olmak üzere önemli endüstri oyuncuları için bir siber güvenlik sorumlusu belirlemek ve siber güvenlik olaylarını CISA'ya bildirmek için yeni gereksinimler planlıyor.
Majorkas, 6 Ekim'de yerel saatle yapılan Billington Siber Güvenlik Zirvesi'nde şunları söyledi: "Temel olarak, ABD'de sadece karmaşık işlerde değil, her alanda siber güvenlik hijyeni seviyesini yükseltebilirsek diye düşünüyorum." Sadece KOBİ'ler değil, küçük işletmeler de dahil olmak üzere, bu Proje 1'dir."
Düşük riskli havacılık ve demiryolu kuruluşları için aynı eylemi tavsiye eden ayrı bir kılavuzun yanı sıra ağın kendi kendini değerlendirmesini tavsiye eden bir bilgilendirme sirkülerinin yayınlanacağını da sözlerine ekledi. Ulaştırma Güvenliği İdaresi halihazırda havacılık güvenliği programını güncelliyor.
DHS okyanus taşımacılığını göz ardı etmiyor. Sahil Güvenlik, 2015'ten bu yana ilk siber strateji görünümünü bu yaz yayınladı (ABD Sahil Güvenlik yeni bir siber uzay stratejisi yayınlıyor) ve siber uzmanlar, hazırlıklılığı artırmak için büyük ABD limanlarında görevlendiriliyor. Yaklaşık 2,300 denizcilik kuruluşunun, kargo ve yolcu gemilerinin siber risk değerlendirmeleri yapmasını ve azaltma planları geliştirmesini sağlamak için aynı zamanda Uluslararası Denizcilik Örgütü ile birlikte çalışan Sahil Güvenlik'e siber planlar sunması gerekiyor.
Mayorkas, bir raporlama zaman çizelgesi belirleme konusunda endişe duysa da, siber saldırıları hızlı bir şekilde bildirmeleri için kritik altyapı operatörleri üzerinde daha fazla baskı oluşturacak mevzuat konusunda iyimserliğini dile getirdi.
"Açıkçası, durumun ne kadar hızlı değiştiği ve mevzuatın ortaya çıkan bu dinamiğe uyum sağlayıp sağlayamayacağı göz önüne alındığında, mevzuatın zaman çerçevesi konusunda biraz endişeliyim." Mayorkas konuşmasında, "Genel olarak bu unsurlar, özellikle de temas noktası, siber olay raporlama ve acil durum planları, günümüzün en iyi siber güvenlik uygulamaları için minimum gereksinimleri temsil ediyor" dedi.
DHS'nin ilk siber sprinti Mart ayında StopRansomware.gov web sitesini başlattı. İkinci sprint ise DHS tarihindeki en büyük siber işe alım operasyonuydu ve DHS Siber Güvenlik hizmetlerinin 15 Kasım'da başlatılmasına zemin hazırladı. Üçüncü sprint endüstriyel kontrol sistemlerine odaklanıyor.
Siber güvenlik olayı raporuyla ilgili olarak Senato İç Güvenlik ve Hükümet İşleri Komitesi, 6 Ekim'de iki parça siber güvenlik mevzuatını tanıttı.
2021 Siber Olay Raporlama Yasası, kritik altyapı şirketleri de dahil olmak üzere şirketlerin dahil olduğu izinsiz girişler ve diğer olaylar için 72 saatlik raporlama zorunluluğu getiriyor. Ayrıca tasarı, şirketlerin herhangi bir fidye yazılımı ödemesini bilgisayar korsanlarına 24 saat içinde bildirmelerini gerektiriyor. Kanun aynı zamanda CISA'da korunan şirketlerden raporların alınması için yeni bir ofis oluşturuyor. Tasarı geçti ancak Cumhuriyetçi komitenin çok geniş kapsamlı olduğu ve şu anda 50 veya daha fazla çalışanı olan küçük işletmeleri kapsadığı gerekçesiyle bazı itirazlarıyla karşılaştı. Kanun, kanunun gerektirdiği zorunlu açıklamaları siber güvenlik ihlali davalarındaki bulgulardan hariç tutacak şekilde değiştirildi.
Bu yılın başlarında, Senato Seçilmiş İstihbarat Komitesi'ndeki iki partili bir milletvekilleri grubu, kritik altyapı operatörlerinin ve federal yüklenicilerin siber güvenlik olaylarını günün her saati bildirmelerini gerektiren kendi yasa tasarılarını sundu.
Federal sivil kurumların siber saldırıları CISA'ya ve Yönetim ve Bütçe Dairesine bildirmelerini gerektiren 2021 Federal Bilgi Güvenliği Modernizasyon Yasası, CISA'yı federal sivil kurumları etkileyen siber güvenlik olaylarından birincil sorumlu kurum haline getiren yeni yetkiler içeriyor.
Komite başkanı Senatör Gary Peters, D-Mich., milletvekillerinin yıl sonuna kadar geçirmeyi umdukları iki yasa parçasını Ulusal Savunma Yetki Yasası'na ekleme niyetini açıkladı.