Empresas dos EUA são obrigadas a denunciar hacks ao governo em 72 horas

O presidente dos Estados Unidos assinou um projeto de lei que, em particular, exige que os operadores de infraestrutura crítica denunciem um hack ao Departamento de Segurança Interna dos EUA dentro de 72 horas a partir do momento em que o incidente for descoberto e dentro de 24 horas se os fundos forem pagos ao ransomware hackers.

Espera-se que isso permita que o governo entenda melhor o escopo e a natureza dos invasores. De acordo com o FBI, a agência recebe informações sobre apenas um quarto dos incidentes cibernéticos e, portanto, o governo não tem informações sobre a natureza de muitas violações de dados, táticas cibercriminosas e os setores mais vulneráveis.

Fonte da imagem: Pixabay

As empresas afetadas relataram US$ 29 milhões em perdas de pagamento de ransomware ao FBI em 2020. No entanto, a empresa de rastreamento de criptomoedas Chainalysis Inc. registrou US$ 406 milhões em pagamentos a hackers no mesmo ano. As autoridades observam que a nova lei ajudará a “proteger melhor a infraestrutura crítica e os negócios em todo o país dos efeitos devastadores dos ataques cibernéticos”.

A Agência de Segurança Cibernética e Infraestrutura (CISA) designou 16 setores que abrangem saúde, energia, alimentação e transporte como críticos para os EUA, embora a nova lei não especifique explicitamente quais empresas devem relatar incidentes cibernéticos. A agência não divulgou como os dados serão usados, embora não esconda o desejo de trabalhar mais de perto com o setor privado de forma voluntária.

Nos últimos meses, a agência criou canais Slack de emergência para compartilhar informações em tempo real sobre hacks com empresas afetadas. A CISA também está financiando o Cyber ​​Security Review Board, um órgão consultivo criado este ano para analisar os principais incidentes cibernéticos com o objetivo de minimizar os danos de futuros ataques de hackers.