Technology

Les mandats de rapport sur la cybersécurité pourraient nous rendre plus vulnérables, pas moins

Nous sommes ravis de ramener Transform 2022 en personne le 19 juillet et virtuellement du 20 au 28 juillet. Rejoignez les leaders de l’IA et des données pour des discussions approfondies et des opportunités de réseautage passionnantes. Inscrivez-vous aujourd’hui!


Le 17 mars, le président Biden a promulgué le Strengthening American Cybersecurity Act. La loi oblige les entreprises des 16 secteurs qui composent l’infrastructure critique de notre pays (y compris l’énergie, les hôpitaux, les banques et les transports) à signaler toute violation de la cybersécurité dans les 72 heures et tout paiement de ransomware dans les 24 heures.

Les mandats de déclaration ont été débattus pendant plus d’une décennie, mais le tiercé gagnant de SolarWinds, la série d’attaques de rançongiciels de l’année dernière et le conflit russo-ukrainien ont donné au nouveau régime de cybersécurité de l’administration et à ses alliés au Congrès la capitale politique pour enfin forcer (et se précipiter) les faire entrer dans la loi.

Bien que l’intention soit de rendre les infrastructures essentielles plus résistantes aux cyberattaques, la loi est à courte vue et pourrait avoir des effets désastreux sur l’industrie privée et le gouvernement. La seule chose qu’il renforce, c’est la dissuasion pour les entreprises de rechercher véritablement les violations.

L’implication à long terme est que cela affaiblira la cybersécurité américaine. la bonne nouvelle La loi n’entrera pas en vigueur avant au moins deux ans. Le gouvernement et l’industrie doivent travailler ensemble pour établir les règles qui régleront véritablement le problème.

Le signalement obligatoire augmente le risque pour les victimes

Ceux qui demandent une déclaration obligatoire ont la bonne intention, mais si elle n’est pas mise en œuvre de la bonne manière, cela causera plus de mal que de bien.

La déclaration obligatoire met presque toujours les entreprises en danger, soit légalement, soit par le biais de sanctions financières. Pénaliser une organisation pour ne pas avoir signalé une violation à temps la place dans une position de cybersécurité plus mauvaise, car c’est une forte incitation à fermer les yeux sur les attaques. Alternativement, si une entreprise a connaissance d’une violation, elle trouvera des moyens de la «classer» d’une manière qui tombe dans une échappatoire de signalement.

Les délais de signalement prévus par la loi sont arbitraires et non fondés sur la réalité d’une intervention efficace en cas d’incident. Les premières heures et les premiers jours suivant une violation font partie intégrante du processus de signalement des incidents, mais ils sont chaotiques et les équipes manquent de sommeil. Travailler avec des avocats pour déterminer comment signaler et déterminer les preuves que les entreprises veulent et ne veulent pas « voir » rend le processus plus difficile.

Cela obligera les entreprises à signaler une violation avant même de la comprendre elles-mêmes, ce qui peut entraîner de la confusion, de mauvaises hypothèses et des informations inexactes sur la violation qui peuvent nuire à une entreprise d’un point de vue marketing ou d’évaluation.

Un autre problème est qu’il n’y a aucune offre d’aide de la part du gouvernement, à l’exception de l’affirmation du directeur du FBI, Christopher Wray, dans un témoignage récent, selon laquelle le Bureau aurait un agent techniquement formé à la porte d’une entreprise dans l’heure.

UN rapport publié par le sénateur Rob Portman (R-OH) le 24 mars a détaillé les expériences des entreprises attaquées par le groupe de rançongiciels REvil au cours de l’année écoulée. Il a cité le fait que deux entreprises ont signalé les attaques au gouvernement fédéral mais ont reçu “peu d’aide” pour protéger leurs données et atténuer les dégâts. Selon le rapport, ces entreprises “ont indiqué qu’elles n’avaient pas reçu de conseils sur les meilleures pratiques pour répondre à une attaque de ransomware ou d’autres conseils utiles du gouvernement fédéral”.

La déclaration obligatoire pourrait-elle fonctionner ?

Bien que la loi ait désormais force de loi, l’organisation responsable de sa mise en œuvre, la Cybersecurity and Infrastructure Security Agency (CISA) du Département de la sécurité intérieure, dispose de deux ans pour la mettre pleinement en œuvre par le biais d’un processus d’élaboration de règles.

Pour que tout type de régime de déclaration fasse vraiment ce qui est prévu, il doit être doté de protections pour les entreprises qui s’y conforment, les protégeant des informations rendues publiques, des poursuites judiciaires, des actions gouvernementales négatives et plus encore. Mais compte tenu du degré de protection dont une entreprise aurait besoin, cela pourrait être lourd d’abus, et les entreprises l’utiliseront pour se cacher du blâme lorsqu’elles ont vraiment mal agi.

En fin de compte, il est préférable de n’exiger aucun type de signalement obligatoire et de mettre en place un régime qui encourage fortement les entreprises à signaler et les incite à bénéficier des avantages du signalement, comme une assistance gratuite pour la réponse aux incidents ainsi que la chasse aux adversaires pour récupérer des données volées, de l’argent et de la propriété intellectuelle. Un tel régime s’appuierait sur de solides partenariats public-privé.

En outre, une solution réussie doit inclure une mise à jour des lois en vigueur, telles que la loi sur la fraude et les abus informatiques vieille de 36 ans. La loi a été modifiée à plusieurs reprises au fil des ans, la dernière en 2008, mais le régime juridique actuel concernant les cyberattaques date d’environ 25 ans, datant d’une époque où personne n’envisageait un monde où tout et tout serait connecté.

Dans son état actuel, la loi interdit l’accès non autorisé aux systèmes informatiques et laisse la réponse cybernétique au gouvernement fédéral. À l’avenir, il doit notamment donner aux entreprises privées une voie pour répondre efficacement aux cyberattaques par des entreprises privées formées et agréées en partenariat avec le gouvernement et les forces de l’ordre.

Nous sommes dans une cyberguerre qu’aucun pays, gouvernement ou organisation privée ne peut gagner seul. Il va falloir que tout le monde travaille ensemble pour résoudre le problème. Avec tout ce qu’il faut pour réussir ici, nous sommes mieux sans déclaration obligatoire. Nous devons travailler ensemble pour mettre en œuvre un programme d’incitations pour encourager le signalement par le biais d’offres de réponse gratuite aux incidents, de récupération des données perdues et de la propriété intellectuelle, et du soutien à chaque organisation pour mettre en pratique la défense au niveau de l’État-nation.

Max Kelly est fondateur et PDG de Caviardé.

DataDecisionMakers

Bienvenue dans la communauté VentureBeat !

DataDecisionMakers est l’endroit où les experts, y compris les techniciens travaillant sur les données, peuvent partager des informations et des innovations liées aux données.

Si vous souhaitez en savoir plus sur les idées de pointe et les informations à jour, les meilleures pratiques et l’avenir des données et de la technologie des données, rejoignez-nous sur DataDecisionMakers.

Vous pourriez même envisager de rédiger votre propre article !

En savoir plus sur DataDecisionMakers

Leave a Reply

Your email address will not be published.