violação da cibersegurança: os fornecedores de software teriam que divulgar as violações aos usuários do governo dos Estados Unidos sob novo pedido: Rascunho – Últimas notícias
UMA Conselho nacional de segurança A porta-voz disse que nenhuma decisão foi tomada sobre o conteúdo final da ordem executiva. O pedido pode ser lançado já na próxima semana.
O hack da SolarWinds Corp, que veio à tona em dezembro, mostrou que “o governo federal precisa ser capaz de investigar e remediar ameaças aos serviços que fornece ao povo americano o mais rápido possível. Simplificando, você não pode consertar o que não faz” não sei “, disse a porta-voz.
No caso da SolarWinds, hackers suspeitos de trabalhar para o governo russo se infiltraram em seu software de gerenciamento de rede e adicionaram código que permitiu aos hackers espionar os usuários finais.
Os hackers penetraram em nove agências federais e 100 empresas, incluindo Microsoft Corp e outras grandes empresas de tecnologia.
A ordem proposta adotaria medidas há muito buscadas por especialistas em segurança, incluindo a exigência de autenticação multifatorial e criptografia de dados dentro de agências federais.
A ordem imporia regras adicionais aos programas considerados críticos, como exigir uma “lista de materiais de software” que explicasse o que está dentro. Uma quantidade cada vez maior de software ativa outros programas, ampliando o risco de vulnerabilidades ocultas.
O requisito de notificação terá o impacto mais imediato. A regra visa anular os acordos de não divulgação, que os fornecedores dizem que o compartilhamento de informações é limitado, e permite que os funcionários vejam mais invasões.
O pedido também obrigaria os fornecedores a preservar mais registros digitais e trabalhar com o FBI e a Agência de Segurança Cibernética e de Infraestrutura do Departamento de Segurança Interna, conhecida como CISA, ao responder a incidentes.
Na prática, as mudanças ocorrerão por meio de atualizações nas regras de aquisição federais. Grandes empresas de software que vendem para o governo, como Microsoft e Força de vendas, serão afetados pela mudança, disseram pessoas familiarizadas com os planos.
No passado, o Congresso tentou estabelecer uma lei nacional de notificação de violação de dados, mas falhou devido à resistência da indústria. Tal projeto teria obrigado as empresas que sofrem hacks a divulgá-los publicamente por meio de agências governamentais.
Se finalizado próximo ao formulário de rascunho, a ordem executiva alcançaria parcialmente a meta ampla de divulgação. Uma nova lei sobre divulgação pública também pode ser introduzida.
O projeto de ordem também criaria um conselho de resposta a incidentes de segurança cibernética, com representantes de agências federais e empresas de segurança cibernética. O fórum encorajaria fornecedores e vítimas a compartilhar informações, talvez com uma combinação de incentivos e proteções de responsabilidade.
Source link