Em uma tentativa de obter uma visão mais ampla sobre as ameaças de cibersegurança atuais, os Estados Unidos aprovaram uma lei que exige que donos e operadores de infraestrutura crítica no país informem ciberataques e pagamentos de ransomware à Cybersecurity and Infrastructure Security Agency (CISA).  

A nova medida foi aprovada pelo Senado como parte do orçamento de US$ 1,5 trilhão, previsto para o ano fiscal de 2022. Ela está relacionada ainda ao Strengthening American Cybersecurity Act, que obriga os operadores e proprietários de infraestrutura crítica reportem ciberataques à CISA dentro de 72 horas e, no caso de ransomware, em até 24 horas após o pagamento. 

O objetivo principal é que a CISA possa fornecer mais informações sobre as ameaças de cibersegurança enfrentadas pelas organizações do setor público e privado do país. Cerca de US$ 2,6 bilhões do orçamento total serão destinados à agência, o que corresponde a US$ 568 milhões a mais do que no ano passado. 

De acordo com os autores da nova medida e do financiamento, os senadores Rob Portman e Gary Peters, a iniciativa foi motivada pela necessidade urgente de combater potenciais ciberataques apoiados pelo governo russo como forma de retaliação ao suporte oferecido pelos EUA à Ucrânia.

Prazos e penalidades

Ao receber notificações sobre incidentes envolvendo a infraestrutura crítica do país, o governo federal poderá alertar sobre as ameaças em questão, se preparar para os possíveis impactos e auxiliar os sistemas mais essenciais a voltarem a funcionar, afirma o senador Peters em comunicado.

Dois computadores em uma mesa.
O objetivo principal é que a CISA possa fornecer mais informações sobre as ameaças de cibersegurança enfrentadas pelas organizações do setor público e privado do país.

O financiamento também exercerá um papel importante ao garantir as ferramentas e recursos necessários para auxiliar na redução dos impactos de vazamentos de dados às operações de infraestrutura crítica.

Caso um incidente ou pagamento de ransomware não seja reportado, a CISA poderá intimar os operadores. Caso não haja uma resposta à intimação, a vítima do ataque será encaminhada ao Departamento de Justiça, podendo resultar em uma extinção do contrato com o governo federal.

Para as organizações sem fins lucrativos, empresas com mais de 50 funcionários e governos locais e estaduais, o prazo para informar a CISA sobre um pagamento de ransomware será de até 24 horas.

Prevenção e Combate

A nova lei havia sido apresentada pela primeira vez em setembro do ano passado após o incidente envolvendo a Colonial Pipeline, que chegou a pagar cerca de US$ 4 milhões em criptomoedas aos hackers

Com a nova medida, a CISA deverá criar um programa para alertar as organizações sobre as vulnerabilidades que podem ser potencialmente exploradas pelos responsáveis por ataques ransomware.

A expectativa é que haja uma força-tarefa conjunta para coordenar os esforços federais, com o apoio da indústria, a fim de prevenir e combater ataques ransomware.

O FBI, por outro lado, mostrou-se contra a nova medida. De acordo com a agência, o ideal seria obter acesso em tempo real a um único relatório, em vez de receber vários deles diferentes. 

Já a CISA defende que os relatórios de parceiros do setor privado e público serão utilizados para obter uma compreensão mais ampla das ameaças que os hackers representam às redes dos EUA e à infraestrutura crítica do país. 

A partir dessas informações, será possível mobilizar recursos e oferecer apoio às vítimas dos ataques, além de analisar tendências com base nas notificações recebidas de diferentes setores e rapidamente alertar potenciais alvos futuros.

Você também pode gostar