Em uma tentativa de obter uma visão mais ampla sobre as ameaças de cibersegurança atuais, os Estados Unidos aprovaram uma lei que exige que donos e operadores de infraestrutura crítica no país informem ciberataques e pagamentos de ransomware à Cybersecurity and Infrastructure Security Agency (CISA).
A nova medida foi aprovada pelo Senado como parte do orçamento de US$ 1,5 trilhão, previsto para o ano fiscal de 2022. Ela está relacionada ainda ao Strengthening American Cybersecurity Act, que obriga os operadores e proprietários de infraestrutura crítica reportem ciberataques à CISA dentro de 72 horas e, no caso de ransomware, em até 24 horas após o pagamento.
O objetivo principal é que a CISA possa fornecer mais informações sobre as ameaças de cibersegurança enfrentadas pelas organizações do setor público e privado do país. Cerca de US$ 2,6 bilhões do orçamento total serão destinados à agência, o que corresponde a US$ 568 milhões a mais do que no ano passado.
De acordo com os autores da nova medida e do financiamento, os senadores Rob Portman e Gary Peters, a iniciativa foi motivada pela necessidade urgente de combater potenciais ciberataques apoiados pelo governo russo como forma de retaliação ao suporte oferecido pelos EUA à Ucrânia.
Prazos e penalidades
Ao receber notificações sobre incidentes envolvendo a infraestrutura crítica do país, o governo federal poderá alertar sobre as ameaças em questão, se preparar para os possíveis impactos e auxiliar os sistemas mais essenciais a voltarem a funcionar, afirma o senador Peters em comunicado.
O financiamento também exercerá um papel importante ao garantir as ferramentas e recursos necessários para auxiliar na redução dos impactos de vazamentos de dados às operações de infraestrutura crítica.
Caso um incidente ou pagamento de ransomware não seja reportado, a CISA poderá intimar os operadores. Caso não haja uma resposta à intimação, a vítima do ataque será encaminhada ao Departamento de Justiça, podendo resultar em uma extinção do contrato com o governo federal.
Para as organizações sem fins lucrativos, empresas com mais de 50 funcionários e governos locais e estaduais, o prazo para informar a CISA sobre um pagamento de ransomware será de até 24 horas.
Prevenção e Combate
A nova lei havia sido apresentada pela primeira vez em setembro do ano passado após o incidente envolvendo a Colonial Pipeline, que chegou a pagar cerca de US$ 4 milhões em criptomoedas aos hackers.
Com a nova medida, a CISA deverá criar um programa para alertar as organizações sobre as vulnerabilidades que podem ser potencialmente exploradas pelos responsáveis por ataques ransomware.
A expectativa é que haja uma força-tarefa conjunta para coordenar os esforços federais, com o apoio da indústria, a fim de prevenir e combater ataques ransomware.
O FBI, por outro lado, mostrou-se contra a nova medida. De acordo com a agência, o ideal seria obter acesso em tempo real a um único relatório, em vez de receber vários deles diferentes.
Já a CISA defende que os relatórios de parceiros do setor privado e público serão utilizados para obter uma compreensão mais ampla das ameaças que os hackers representam às redes dos EUA e à infraestrutura crítica do país.
A partir dessas informações, será possível mobilizar recursos e oferecer apoio às vítimas dos ataques, além de analisar tendências com base nas notificações recebidas de diferentes setores e rapidamente alertar potenciais alvos futuros.
