Perusahaan telekomunikasi Inggris menghadapi denda besar di bawah undang-undang keamanan baru
Security

Peretasan SolarWinds dapat menyebabkan pelanggaran hukum pemberitahuan dan agen dunia maya yang lebih kuat


Kredit: Domain Publik Unsplash / CC0

Salah satu aspek yang kurang dikenal dari peretasan SolarWinds yang dihadapi para pembuat undang-undang dan pejabat keamanan siber AS adalah mencari tahu berapa banyak perusahaan Amerika dan agen federal yang telah terpengaruh.

Saat ini, tidak ada yang tahu.

Titik buta ini berasal dari tidak adanya undang-undang pemberitahuan pelanggaran federal yang mewajibkan perusahaan dan agen federal untuk memberi tahu pemerintah AS jika mereka telah diretas. Namun, hal itu mungkin akan berubah karena komite kongres mempelajari lebih lanjut tentang peretasan SolarWinds dan anggota parlemen di kedua kamar telah mengisyaratkan kesediaan bipartisan untuk mempertimbangkan gagasan tersebut.

Minggu lalu, anggota parlemen memanggil eksekutif perusahaan teknologi papan atas dan CEO SolarWinds, perusahaan yang perangkat lunaknya menjadi saluran bagi badan intelijen Rusia untuk mengakses ribuan perusahaan Amerika dan badan federal.

SolarWinds diretas oleh operator Rusia yang menyuntikkan malware ke pembaruan perangkat lunak rutin yang dikirimkan ke sebanyak 18.000 entitas pemerintah dan perusahaan Fortune 500 yang merupakan klien SolarWinds. Pejabat tinggi pemerintah AS mengatakan dinas intelijen Rusia berada di balik serangan itu dan, hingga sekarang, sembilan badan federal dan sekitar 100 perusahaan terungkap tetapi lebih banyak korban kemungkinan akan ditemukan saat penyelidikan berlanjut.

Eksekutif dari FireEye, perusahaan keamanan siber yang menemukan serangan Rusia dan mempublikasikannya pada bulan Desember, Microsoft dan SolarWinds mengatakan kepada anggota Kongres bahwa meskipun mereka telah maju untuk berbagi rincian serangan tersebut, mereka tidak diwajibkan untuk melakukannya dan menginginkan Kongres untuk melakukannya. mengatasi celah itu.

Tanpa undang-undang dan panduan yang jelas, perusahaan tidak tahu siapa yang harus diperingatkan ketika mereka diretas, kata Brad Smith, presiden Microsoft, pada sidang bersama komite House Oversight and Reform dan House Homeland Security.

Perusahaan juga menghadapi hambatan hukum karena kontrak dengan agen federal “membatasi perusahaan seperti Microsoft untuk berbagi dengan orang lain di pemerintah federal ketika agen tertentu telah diretas dengan cara ini,” kata Smith.

Pada bulan Desember, setelah FireEye mengungkapkan peretasan SolarWinds dan Microsoft mulai memeriksa pelanggaran di antara klien federal, perusahaan harus “pergi ke setiap agen, memberi tahu mereka bahwa kami telah mengidentifikasi bahwa mereka adalah korban dari ini. Dan kemudian kami harus mengatakan , ‘Anda harus pergi ke orang ini di bagian lain pemerintahan ini untuk memberi tahu mereka.’ … Kami tidak dapat melakukan itu untuk Anda. “

Ketua Keamanan Dalam Negeri DPR Bennie Thompson, D-Miss., Mengatakan bahwa dengan tidak adanya undang-undang federal yang mewajibkan berbagi informasi, perusahaan teknologi tidak dapat membahas pelanggaran dan serangan dengan anggota Kongres atau Badan Keamanan Siber dan Infrastruktur, yang dikenal sebagai CISA.

Rep John Katko, RN.Y., mengatakan ketidakhadiran berarti ada “celah yang tak terbantahkan dalam postur keamanan siber negara kita,” membuat perusahaan tanpa “insentif menyeluruh yang konsisten bagi industri untuk mengungkapkan pelanggaran.” Akibatnya, “agen federal sering beroperasi dalam kegelapan alih-alih memiliki akses ke data agregat penting mengenai taktik, teknik, dan prosedur pelaku jahat,” katanya.

CEO FireEye Kevin Mandia mengatakan kepada anggota parlemen bahwa undang-undang negara bagian yang mewajibkan pemberitahuan pelanggaran data hanya menangani hilangnya informasi identitas pribadi konsumen. Dalam kasus serangan SolarWinds, karena tidak ada informasi pribadi yang hilang, perusahaan bahkan tidak diwajibkan untuk melaporkan serangan tersebut.

Ketika serangan berskala besar seperti peretasan SolarWinds ditemukan, hanya sedikit perusahaan yang ingin menjadi yang pertama melontarkan peluit, kata Mandia, mencatat bahwa FireEye telah mengungkapkan informasi tersebut untuk kepentingan keamanan nasional.

Kongres telah mencoba dan gagal untuk mengesahkan undang-undang pemberitahuan pelanggaran federal sebelumnya. Baru-baru ini, rancangan undang-undang kebijakan fiskal 2021 Pentagon versi DPR menyertakan ketentuan yang ditambahkan oleh mantan Rep. Cedric L. Richmond yang akan meminta Departemen Keamanan Dalam Negeri untuk membuat program pelaporan insiden dunia maya yang diawasi oleh CISA. Tindakan tersebut memenangkan persetujuan bipartisan yang luar biasa.

Tetapi tindakan itu gagal untuk melewati Senat dan tidak menjadi undang-undang setelah Kamar Dagang AS keberatan dan menyerukan penolakannya. Kamar tersebut mengatakan amandemen, yang ditawarkan selama debat di DPR, tidak melalui “perintah reguler” di komite dan bahwa memaksa perusahaan untuk melaporkan pelanggaran “memotong kolaborasi keamanan siber publik-swasta” dan berbagi informasi secara sukarela.

Mengingat serangan SolarWinds, ada minat baru di Kongres untuk memberlakukan undang-undang federal yang mewajibkan pemberitahuan pelanggaran, kata Thompson.

Rep. Michael McCaul, R-Texas, yang sebelumnya menjabat sebagai ketua Komite Keamanan Dalam Negeri DPR, mengatakan bahwa dia bekerja dengan Rep. Jim Langevin, DR.I., salah satu anggota Cyberspace Solarium Commission, dalam sebuah rancangan undang-undang. yang akan membutuhkan pemberitahuan adanya gangguan dunia maya. Di bawah proposalnya, perusahaan dapat menyunting rincian sumber dan metode serta mengidentifikasi rincian tetapi masih berbagi informasi dasar tentang pelanggaran dan ancaman dengan CISA, kata McCaul.

Komisi Solarium, sebuah kelompok studi tingkat tinggi bipartisan, merekomendasikan pada Maret 2020 agar Kongres memberlakukan undang-undang federal yang mewajibkan pemberitahuan.

Setiap sistem pelaporan insiden dunia maya harus menyertakan perlindungan tanggung jawab untuk perusahaan sehingga mereka tidak tunduk pada tuntutan hukum ketika mereka berbagi rincian pelanggaran, kata Chris Roberti, wakil presiden senior untuk kebijakan keamanan siber di Kamar Dagang, dalam pertukaran email. RUU kebijakan Pentagon 2021 versi DPR tidak memasukkan ketentuan seperti itu, katanya.

Kamar tersebut juga telah mengirim surat kepada DPR dan komite Intelijen Senat yang meminta mereka untuk meloloskan undang-undang yang akan membakukan upaya berbagi intelijen antara operator “infrastruktur kritis” dan pemerintah, kata Roberti.

Ketika Komite Intelijen Senat mengadakan dengar pendapat tentang peretasan SolarWinds pada bulan Februari, Senator Mark Warner, D-Va., Ketua panel, mengatakan sudah waktunya bagi Kongres untuk mempertimbangkan undang-undang baru.

“Saya akan bertanya apakah kita seharusnya tidak memiliki sistem pelaporan wajib, bahkan jika itu memerlukan beberapa perlindungan kewajiban (untuk perusahaan) sehingga kita dapat lebih memahami dan lebih baik mengurangi serangan seperti itu di masa depan,” kata Warner.

Eksekutif teknologi juga telah memberi tahu anggota parlemen bahwa CISA harus ditugaskan untuk mengamankan jaringan komputer dari seluruh pemerintah federal di luar militer, yang ditangani oleh Komando Siber AS.

Mayoritas dari 137 badan federal tidak memiliki sarana untuk “menjalankan strategi keamanan siber yang komprehensif,” kata Dmitri Alperovitch, ketua eksekutif dan pendiri Silverado Policy Accelerator, sebuah organisasi kebijakan publik yang berfokus pada keamanan siber dan keamanan nasional, kepada House Homeland Security Committee bulan lalu .

Menempatkan CISA untuk bertanggung jawab atas upaya tersebut dengan memperluas anggarannya dan memberinya kekuatan melebihi kapasitas hanya sebagai penasihat saat ini akan menghasilkan hasil yang lebih baik, kata Alperovitch.


Bahan bakar pelanggaran besar-besaran menyerukan tindakan AS terhadap keamanan siber


© 2021 CQ Roll Call
Didistribusikan oleh Tribune Content Agency, LLC

Kutipan: Peretasan SolarWinds dapat menyebabkan pelanggaran undang-undang pemberitahuan dan agen dunia maya yang lebih kuat (2021, 3 Maret) diambil pada 3 Maret 2021 dari https://techxplore.com/news/2021-03-solarwinds-hack-breach-notification-law.html

Dokumen ini memiliki hak cipta. Selain dari transaksi yang adil untuk tujuan studi atau penelitian pribadi, tidak ada bagian yang boleh direproduksi tanpa izin tertulis. Konten tersebut disediakan untuk tujuan informasi saja.


Halaman Ini Di Persembahkan Oleh : Togel Singapore Hari Ini