Es ist kompliziert. Gesuch berücksichtigen Sie dies im Kontext welcher Darlegung neuer Cybersicherheitsgesetze

Im Zuge welcher jüngsten hochkarätigen Cyberangriffe, einschließlich derer gegen SolarWinds und Colonial Pipeline, bemüht sich die Bundesregierung, eine größere Widerstandsfähigkeit gegen zukünftige Angriffe aufzubauen. Bundesbehörden nachgrübeln die Bestimmungen bestehender Gesetze, um neue Anforderungen sowohl an Bundesbehörden qua wenn schon an Betreiber kritischer Infrastrukturen zu stellen; Tatsächlich nach sich ziehen die US-Bankenaufsichtsbehörden im vergangenen Monat eine Regel verabschiedet, nachher welcher Finanzinstitute Verstöße intrinsisch von 36 Zahlungsfrist aufschieben nachher ihrer Feststellung melden sollen. Dasjenige Justizministerium hat seinen Plan angekündigt, ein Vorschrift aus welcher Zeit des Bürgerkriegs anzuwenden, um bundesstaatliche Auftragnehmer z. Hd. die Nichtoffenlegung von Verstößen zur Zurechnungsfähigkeit zu ziehen.

Taktgesteuert erwägt welcher US-Senat gesetzgeberische Entgegen setzen, ein Eingeständnis, dass Gesetze, die vor welcher Erfindung des Internets verfasst wurden, nicht gerüstet wären, um es heute zu sichern. Ein Kernbestandteil aller Gesetzesentwürfe ist die Verpflichtung von Organisationen, Cybersicherheitsverletzungen welcher Cybersecurity and Infrastructure Security Agency (CISA) offenzulegen, um welcher Regierung zu helfen, Cyberangriffe besser einzuschätzen, zu verhindern und darauf zu reagieren.

Die neuen Gesetzentwürfe würden dasjenige erste Bundesmandat schaffen, dasjenige eine so weit verbreitete Offenlegung von Sicherheitsvorfällen erfordert. Senator Mark Warner (D-VA) sagte: „Wir sollten uns zum Schutzmechanismus unserer kritischen Unterbau nicht uff freiwillige Meldungen verlassen Die Bundesregierung kann mobilisiert werden, um uff ihre Auswirkungen zu reagieren und sie abzuwehren.”

In Übereinstimmung mit dem Gesetzentwurf von Warner, dem Cyber ​​Incident Notification Act, würden Unternehmen, die Cyber-Einbrüche nicht intrinsisch von 24 Zahlungsfrist aufschieben melden, Strafen von solange bis zu 0,5 % ihres Vorjahresumsatzes z. Hd. tagtäglich vollziehen, an dem sie es versäumen, verdongeln potenziellen oder erfolgreichen Einbruch zu melden. Jener Gesetzentwurf von Senatorin Elizabeth Warren (D-MA), welcher Ransomware Disclosure Act, verhängt Geldbußen z. Hd. Unternehmen, die Ransomware-Zahlungen nicht intrinsisch von 48 Zahlungsfrist aufschieben nachher Zahlungseingang offenlegen.

Obwohl neue Gesetze zur Cybersicherheit erforderlich sind, muss jedes neue Vorschrift zur Cybersicherheit bestimmte Realitäten berücksichtigen, damit es wirksam ist. Erstens sind viele Unternehmen aufgrund eines Talentmangels heute nicht in welcher Position, ebendiese Anforderungen zu gerecht werden. Zweitens muss die Bundesregierung dasjenige Vertrauen welcher Privatwirtschaft profitieren, während sie sich weiterführend die rechtlichen und finanziellen Konsequenzen lichtvoll wird. Schließlich wird ein Flickenteppich widersprüchlicher Rechtsvorschriften nur zu Verwirrung und Gegenstimme in welcher Industrie resultieren und letztendlich die Plan hinter diesen gesetzgeberischen Schritten untergraben.

Jener Gesetzgeber muss die negativen Anreize z. Hd. die Offenlegung eines Verstoßes und die legitimen Gründe berücksichtigen, aus denen eine Organisation dies unter Umständen zögert. Jede Gesetzgebung, die Vorschrift wird, sollte ebendiese Gründe berücksichtigen. Wenige wichtige Fragen, die es zu berücksichtigen gilt:

● Welches definiert verdongeln “potenziellen” Sicherheitsvorfall? Solche Begriffe im Cyber ​​Incident Notification Act sind zu weit gefasst, um erzielbar zu sein, und könnten dazu resultieren, dass Unternehmen jede Sicherheitswarnung an die Regierung senden, ehe sie effektiv geprüft werden.

● Heute entscheiden sich Ransomware-Zahlungen in einer rechtlichen Grauzone, in welcher die Offenlegung selbst belastend sein könnte. Können die Informationen im Fallgrube einer Offenlegung zur Unterstützung welcher strafrechtlichen Verfolgung welcher Opferorganisation verwendet werden? Derzeit erwägen mindestens vier Bundesstaaten – New York, Texas, North Carolina und Pennsylvania – Gesetzesentwürfe, die Zahlungen mit Ransomware verbrecherisch zeugen. Ohne direkte Klarheit in diesen Punkten werden Unternehmen zögern, den Ransomware Disclosure Act von Warren einzuhalten.

● Welche spezifischen Informationen zur Bedrohungsanzeige sollen weitergegeben werden? Wie sicher muss die offenlegende Organisation in Form von dieser Beweise sein, ehe sie ebendiese vor Verlauf welcher Meldefrist weitergeben? Gibt es eine Haftung, wenn die Informationen unrichtig sind? Stellen Sie sich vor, dass eine IP- oder Elektronische Post-Schreiben zu einer internetweiten Sperrliste hinzugefügt wird, nur um Wochen später herauszufinden, dass die Instanz nichts mit dem Offensive zu tun hat und ziemlich harmlos ist.

● Sollte welcher Berichtszeitraum z. Hd. aufgebraucht Organisationen gleich sein? Derzeit sieht dasjenige Vorschrift zur Meldung von Cyber-Vorfällen vor, dass aufgebraucht betroffenen Organisationen nur 24 Zahlungsfrist aufschieben Zeit nach sich ziehen, um verdongeln Zwischenfall zu melden. Praktiker wissen jedoch, dass forensische Untersuchungen oft viel länger dauern. Es sollen Vorkehrungen getroffen werden, die es Unternehmen zuteil werden lassen, Informationen in Echtzeit auszutauschen, und synchron bestätigen, dass es länger dauern kann, solange bis die vollständige Vergangenheit verloren wird.

● Welche Sicherheitsmaßnahmen werden ergriffen, um die Offenlegungsdatenbanken zu sichern? Welche Elemente werden anonymisiert? Werden Offenlegungen den Anforderungen des Freedom of Information Act (FOIA) unterliegen? Dies wird Organisationen helfen, dasjenige Risiko einer Offenlegung gegen die festgelegten Strafen abzuwägen.

● Sind die Versorger von Incident-Response-Diensten in Übereinstimmung mit dieser Gesetzgebung verpflichtet, im Namen von – oder parallel zu – Kunden offenzulegen? Welche Rolle spielt dasjenige Rechtsgeheimnis in diesem Prozess? Kein Gesetzentwurf deckt ebendiese Themen hinlänglich ab.

Schließlich sollen wir Anreize z. Hd. die Offenlegung gescheit strukturieren, um sicherzustellen, dass die Problembeseitigung Unternehmen keinen unangemessenen Schaden zufügt. Zu Händen den Entstehen sollte es verdongeln Rechtsschutz z. Hd. Organisationen spendieren, die Bedrohungsinformationen offenlegen, um sie vor strafrechtlicher und zivilrechtlicher Haftung zu schützen. Eine Vorgeschichte vergangener Verstöße sollte im Kontext welcher Höhe welcher Strafe berücksichtigt werden. Jedes Bundesgesetz sollte wenn schon Anreize z. Hd. Organisationen enthalten, die gebührende Sorgfalt walten lassen und starke Sicherheitsmaßnahmen umtopfen. Wenn ein Unternehmen einem Sicherheitsvorfall zum Todesopfer fällt, hinwieder geeignete Sicherheitsmaßnahmen wie Verschlüsselung zeigt, sollte dieses Unternehmen unterschiedlich behandelt werden qua ein Unternehmen, dasjenige null Vorkehrungen getroffen hat.

Während ebendiese Gesetzentwürfe durch die Säle des Kongresses möglich sein, welches sollten Unternehmen tun, um sich uff ebendiese anhängige Gesetzgebung vorzubereiten? Prosperieren Sie verdongeln Bedrohungserkennungs- und Reaktionsplan, welcher die Zeit z. Hd. die Erkennung, Reaktion und Notifizierung verkürzt, um dasjenige Geschäftsrisiko zu mindern und potenzielle Strafen zu vermeiden. Besser noch, stellen Sie sicher, dass sie weiterführend die richtigen Sicherheitskontrollen verfügen, um dasjenige Risiko zukünftiger Cyberangriffe zu mindern, und funktionieren Sie mit einem Managed Detection and Response (Mitteldeutscher Rundfunk)-Partner zusammen, welcher die erforderlichen Cybersicherheits-Talente und -Technologien bewilligen kann.