El Congreso está considerando un proyecto de ley que requeriría que los operadores de infraestructura crítica y las agencias federales reporten cualquier violación y ataque cibernético a la principal agencia cibernética federal, pero el FBI también quiere estar en el circuito de informes.
Después de una serie de hacks de ransomware de alto perfil y otros ciberataques que dejaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad luchando por descubrir cómo se desarrollaron las violaciones de la red, la administración Biden ha instado a los legisladores a exigir la notificación de incidentes cibernéticos al gobierno federal.
Si bien CISA es responsable de proteger las redes de infraestructura crítica de los ataques cibernéticos, el FBI, como agencia de aplicación de la ley, persigue a los perpetradores criminales.
El papel único del FBI como agencia de inteligencia y aplicación de la ley ayuda no solo a las víctimas, sino también a CISA, la Agencia de Seguridad Nacional y el Comando Cibernético de EE. UU. A comprender dónde “los adversarios pueden atacar a continuación”, dijo Bryan Vorndran, subdirector de la división cibernética del FBI, a los legisladores la semana pasada. .
“No puedo enfatizar lo suficiente la importancia de que el FBI reciba acceso total e inmediato a los incidentes cibernéticos para que podamos actuar sobre ellos lo antes posible y al unísono con nuestros socios federales en CISA”, dijo Vorndran al Comité de Reforma y Supervisión de la Cámara de Representantes.
Chris Inglis, el director cibernético nacional, que también testificó ante el panel, dijo que la Casa Blanca apoya que el FBI y CISA reciban informes de incidentes.
Lo ideal sería exigir a las organizaciones de víctimas que informen los incidentes simultáneamente al CISA y al FBI, dijo Frank Cilluffo, director del Instituto Charles D. McCrary de Seguridad de Infraestructura Cibernética y Cibernética de la Universidad de Auburn y miembro de la Comisión del Ciber Solarium del Congreso.
“Además de brindar apoyo a las víctimas, la oficina tiene autoridades y capacidades adicionales para investigar y tomar acciones contra el perpetrador o adversario, ya sea criminal o desde una perspectiva de contrainteligencia”, dijo Cilluffo a CQ Roll Call.
La oficina también ha demostrado que puede dañar las redes criminales al retirar los pagos de rescate que obtienen de las víctimas de ataques de ransomware, dijo Cilluffo. “Eso también ilustra por qué se debería incluir al FBI” en el proceso de presentación de informes, dijo.
La versión de la Cámara del proyecto de ley de política de defensa anual establecería una oficina de revisión de incidentes cibernéticos en CISA que establecería pautas sobre la rapidez con la que las organizaciones víctimas tendrían que informar los ataques. La oficina publicaría informes trimestrales después de redactar la información identificable.
La versión del Senado también establecería una oficina de revisión de incidentes bajo la Agencia de Seguridad de Infraestructura y Ciberseguridad y requeriría que las empresas y los gobiernos estatales y locales reporten los pagos relacionados con ransomware a esa oficina dentro de las 24 horas posteriores a su realización.
El proyecto de ley del Senado también requeriría que las mismas entidades informen a CISA dentro de las 72 horas posteriores a un ciberataque.
En ausencia de un requisito uniforme de notificación de incidentes cibernéticos, las víctimas y las agencias gubernamentales luchan por determinar quién está a cargo, según un memorando preparado por el Comité de Reforma y Supervisión.
El comité obtuvo registros de CNA Financial Corp., JBS Foods y Colonial Pipeline, todos los cuales sufrieron severos ataques de ransomware este año que afectaron a millones de estadounidenses.
Se dice que CNA pagó un rescate de 40 millones de dólares en bitcoins después de sufrir un ataque de ransomware en marzo por parte de un grupo de ciberdelincuentes llamado Phoenix. En mayo, Colonial Pipeline fue atacado por DarkSide y pagó $ 4.4 millones, también en criptomonedas. En junio, REvil atacó a JBS Foods y pagó un rescate de alrededor de $ 11 millones.
“Cada compañía notificó a una variedad de agencias federales diferentes, incluida la aplicación de la ley federal”, decía el memorando del comité.
Colonial, por ejemplo, estaba en contacto con al menos siete agencias u oficinas federales, decía el memo.
“La CNA fue inicialmente referida a una oficina de campo del FBI antes de que se designara una oficina de campo diferente como el punto de contacto principal”, decía el memo.
En el caso de JBS Foods, el abogado general de la compañía “envió primero un correo electrónico a una oficina de campo del FBI, el agente al que enviaron el correo electrónico no era el punto de contacto correcto, por lo que su consulta se pasó a diferentes agentes de caso en la misma oficina de campo, lo que llevó a una Un retraso de varias horas entre el correo electrónico inicial del funcionario de JBS y la primera respuesta sustantiva por correo electrónico del FBI ”, decía el memo.
En otro caso, una empresa que estaba considerando pagar un rescate fue “remitida al Departamento del Tesoro para preguntas sobre sanciones, mientras que otra empresa recibió una respuesta sustantiva sobre este tema por parte del FBI”, concluyó el comité.
Lograr que las empresas y las agencias federales informen sobre los ataques de manera oportuna y organizada al gobierno federal impulsaría la postura de ciberseguridad del país, dijo Cilluffo.
“El objetivo final es lograr que los sectores público y privado vayan más allá de la cooperación transaccional de intercambio de información y hacia una verdadera colaboración”, dijo Cilluffo.
El puesto que el FBI quiere estar al tanto mientras el Congreso reflexiona sobre la ley de informes cibernéticos apareció primero en Roll Call.