Ένα νέο νομοσχέδιο που αποκαλύφθηκε σήμερα στις ΗΠΑ, θα υποχρεώνει ορισμένες εταιρείες να αναφέρουν στην κυβέρνηση τα hacks που υφίστανται. Ο διμερής νόμος για την κοινοποίηση περιστατικών στον κυβερνοχώρο, είναι μια απάντηση στις πρόσφατες κυβερνοεπιθέσεις στη SolarWinds και την Colonial Pipeline. Έκτοτε, οι ransomware επιθέσεις – όπου οι χάκερς κρυπτογραφούν αρχεία έως ότου το εκάστοτε θύμα πληρώσει τα απαιτούμενα λύτρα – έχουν πολλαπλασιαστεί.
Το πρόβλημα, σύμφωνα με την ομοσπονδιακή νομοθεσία, είναι ότι οι εταιρείες δεν χρειάζεται να αναφέρουν αυτά τα περιστατικά. Αυτό σημαίνει ότι ορισμένα περιστατικά ενδέχεται να συμβούν χωρίς να το γνωρίζει η κυβέρνηση, πράγμα που μπορεί να έχει σοβαρές επιπτώσεις εάν τα συστήματα της κυβέρνησης εμπλακούν ενδεχομένως σε μια επίθεση.
Το νομοσχέδιο εισάγει μια νέα απαίτηση γνωστοποίησης για ομοσπονδιακούς οργανισμούς, ομοσπονδιακούς εργολάβους και κρίσιμες εταιρείες υποδομής, να ειδοποιούν το Υπουργείο Εσωτερικής Ασφάλειας (DHS) όταν εντοπίζουν παραβίαση των συστημάτων τους. Δίνει επίσης σε αυτές τις εταιρείες περιορισμένη ασυλία όταν αναφέρουν παραβίαση – για παράδειγμα, οι μέτοχοι δεν θα μπορούν να αποκτήσουν πρόσβαση στις αποκαλυφθείσες πληροφορίες για να τις χρησιμοποιήσουν ως αποδεικτικά στοιχεία σε αγωγή – και απαιτεί από το DHS να ανωνυμοποιεί προσωπικά αναγνωρίσιμες πληροφορίες. Με αυτόν τον τρόπο, οι εταιρείες μπορούν να αναφέρουν περιστατικά γρήγορα και να επιτρέπουν στην κυβέρνηση να ενεργεί αποτελεσματικά όπου χρειάζεται.
Διαβάστε επίσης: Κίνα: Διαψεύδει τις κατηγορίες των ΗΠΑ περί hacking και τις κατηγορεί για κυβερνοκατασκοπεία
Ο πρόεδρος της Γερουσίας για την Επιτροπή Πληροφοριών, Mark Warner, ο Αντιπρόεδρος, Marco Rubio, και το ανώτερο μέλος της, Susan Collins, ηγήθηκαν της νομοθεσίας, η οποία ανταποκρίνεται σε ανησυχίες που εκφράστηκαν σε προηγούμενη ακρόαση για την επίθεση στη SolarWinds.
Κατά την ακρόαση, ο Πρόεδρος της Microsoft, Brad Smith, κατέθεσε ότι ο μόνος λόγος που η κυβέρνηση και το κοινό γνώριζαν το περιστατικό, ήταν επειδή η εταιρεία κυβερνοασφάλειας “FireEye” ανέφερε αυτό που πίστευε ότι ήταν κρατική επίθεση στα δικά της συστήματα τον Δεκέμβριο. Μετά από αυτήν την αποκάλυψη, το Reuters ανέφερε μια πιθανή σύνδεση με αντιπάλους σε αμερικανικές υπηρεσίες μέσω software updates της SolarWinds. Πηγές αργότερα ανέφεραν στο Reuters ότι η επίθεση συνδεόταν με το περιστατικό της FireEye.
Δείτε επίσης: Τόκιο 2021: Θα «χτυπήσουν» hackers τους θερινούς Ολυμπιακούς Αγώνες;
Το περιστατικό έδειξε στους νομοθέτες πόσο εύκολα θα μπορούσαν να είχαν μείνει στο σκοτάδι σε ένα μεγάλο κυβερνητικό hack. Αποκάλυψε επίσης τα εμπόδια που αντιμετωπίζουν οι εταιρείες όταν αποφασίζουν εάν θα αναφέρουν μια κυβερνοεπίθεση ή όχι.
Ο Διευθύνων Σύμβουλος της FireEye, Kevin Mandia, δήλωσε στον Eamon Javers του CNBC σε συνέντευξή του κατά τη διάρκεια αυτής της ακρόασης, ότι η αποκάλυψη είναι «ένα πολύπλοκο ζήτημα».
Πρόταση: Pegasus spyware: Χρησιμοποιήθηκε για το hack κινητών δημοσιογράφων και άλλων στόχων
Συγκεκριμένα, ανέφερε τα εξής: «Ο λόγος που είναι ένα περίπλοκο ζήτημα, είναι όλες οι υποχρεώσεις που αντιμετωπίζουν οι εταιρείες όταν έρχονται στη δημοσιότητα με μια αποκάλυψη. Έχουν αγωγές μετόχων, έχουν πολλές απόψεις σχετικά με τον αντίκτυπο των επιχειρήσεων. Επίσης, δεν θέλουν να δημιουργήσουν άσκοπα μεγάλο φόβο, αβεβαιότητα και αμφιβολία.»
Το νέο νομοσχέδιο αποσκοπεί στην ανακούφιση αυτού του φόβου για τις επιχειρήσεις, εισάγοντας την προστασία περιορισμένης ευθύνης.
Πηγή πληροφοριών: cnbc.com
