Federal hükümet, 316.000'den fazla ABD'li kritik altyapı sahibini, operatörünü ve tedarikçisini siber saldırıları ve fidye ödemelerini hızla açıklamaya zorlamayı planlayarak, daha fazla kuruluşun güvenlik olaylarını ifşa etmesini sağlama çabalarında ilerleme kaydediyor.
Mart 2022'de yasalaşan ve CIRCIA olarak adlandırılan 2022 Kritik Altyapı için Siber Olay Raporlama Yasası için önerilen kural, endüstrilerin hassas ve eyleme geçirilebilir siber olay ayrıntılarını federal düzeyde paylaşma biçiminde büyük bir değişikliğe işaret ediyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, raporunun ilk versiyonunu yayınladı. Önerilen kural koymaya ilişkin 447 sayfalık bildirim Geçen hafta yayınlanacak olan Federal Kayıt Perşembe günü, davanın ardından 60 günlük bir kamuya açık yorum dönemi var. Kural 18 ay içinde yürürlüğe girecek.
ABD'de faaliyet gösteren çeşitli kuruluşlar için geçerli olan düzinelerce federal, eyalet ve yerel siber olay raporlama düzenlemesi halihazırda kayıtlarda yer alıyor. CIRCIA, bu çabalar etrafında federal bir bütünleşme ortaya koyuyor.
CISA, “CIRCIA'nın yürürlüğe girmesinden önce, kritik altyapı sektörlerindeki siber olayların anlaşılmasına yönelik kapsamlı ve koordineli bir yaklaşımı destekleyen herhangi bir federal yasa veya düzenleme yoktu” dedi. “Siber olaylarla ilgili bilgilerin federal ve federal olmayan paydaşlarla sektörler arası paylaşımını koordine etmekle görevli bir federal departman veya kurum da yoktu.”
Bu kurala bağlı pek çok şey var ve CISA'nın bunu nasıl uygulayacağı ve kuralın ortaya çıkaracağı veri yığınını nasıl eyleme geçireceği de dahil olmak üzere pek çok soru açık uçlu kalıyor. Siber Güvenlik Dalışı, CIRCIA'nın kapsam dahilindeki kuruluşlardan neyi, ne zaman açıklamasını istediğini açıkladı.
Kurallar ne zaman yürürlüğe girecek?
En geç Ekim 2025'e kadar.
Kapsam dahilindeki kuruluş nedir?
Kural, herhangi bir ülkede faaliyet gösteren kuruluşlar için geçerlidir. 16 kritik altyapı sektörü daha önce CISA tarafından bu şekilde belirlenmişti. Ajans, CIRCIA'nın düzenleyici raporlama gereksinimleri kapsamına giren kuruluşları bilgilendirmek için bir sosyal yardım ve eğitim kampanyası başlatacağını açıkladı.
CISA, kuralın 316.244'e kadar kuruluşu kapsayacağını ve bunun 11 yıllık bir süre boyunca 210.525 CIRCIA raporuyla sonuçlanacağını tahmin ediyor. Bu sayıya, aynı kuruluştan 11 yıllık süre boyunca olası ek raporlar ve birden fazla rapor dahildir.
Toplamda, CISA'nın tahmini, kapsanan kuruluşların üçte ikisinin CIRCIA raporlarına denk geliyor.
Ajans, CIRCIA'nın bu dönemde sanayiye 1,4 milyar dolar ve federal hükümete 1,2 milyar dolar maliyet taşımasını bekliyor.
Önerilen kural, kritik bir altyapı sektöründeki kuruluşların ABD Küçük İşletme Yönetimi'nin standartlarında belirtilen küçük işletme boyutu standardını aşması gerektiğini açıklığa kavuşturuyor. küçük işletme boyutu düzenlemeleri.
Standartlar sektöre göre değişmekle birlikte, küçük işletme statüsü için mevcut eşik, sektöre bağlı olarak 100 ila 1.500 çalışanı ve yıllık geliri 2,75 milyon ila 47 milyon dolar arasında olan kuruluşları kapsamaktadır.
Kuruluşun kendisini hangi kritik altyapı sektörünün parçası olarak gördüğüne bakılmaksızın, sektör bazlı bir kriteri karşılayan kuruluşlar da kural kapsamındadır.
Şirketler ne zaman rapor sunmak zorunda kalacak?
CISA'ya göre, kapsam dahilindeki kuruluşların, kuruluşun “kapsanan siber olayın meydana geldiğine makul ölçüde inandığı” andan itibaren 72 saat içinde Kapsam Dahilindeki Siber Olay Raporu'nu CISA'ya sunması gerekmektedir.
Fidye Ödeme Raporları, fidye ödemesi yapıldıktan sonraki 24 saat içinde CISA'ya sunulmalıdır.
Bir siber olayla karşılaşan ve bir siber olayın meydana geldiğini tespit ettikten sonraki 72 saat içinde fidye ödemesi yapan kapsam dahilindeki kuruluşlar, 72 saat içinde CISA'ya Ortak Kapsamlı Siber Olay ve Fidye Ödeme Raporu sunabilir.
Şirketlerin neyi açıklaması gerekecek?
Kapsanan kuruluşların CIRCIA raporlarını CISA'nın web sitesindeki web tabanlı CIRCIA Olay Raporlama Formu aracılığıyla CISA'ya göndermeleri gerekmektedir.
Tüm CIRCIA raporları, istismar edilen güvenlik açıklarının açıklaması, yerlerdeki güvenlik savunmaları ve saldırı sırasında kullanılan taktikler, teknikler ve prosedürler de dahil olmak üzere olayın nasıl gerçekleştiğine ilişkin ayrıntıları içermelidir.
Siber olay, etkilenen ağların veya sistemlerin işlevi ve yetkisiz erişim, tehlike göstergeleri, olayla ilgili tarihler ve operasyonel etkiler gibi teknik ayrıntılar hakkında ek bilgiler de dahil edilmelidir.
Fidye ödemesi yapan mağdur kuruluşların, saldırı sırasında kullanılan kötü amaçlı yazılımların açıklamasını, saldırıdan sorumlu olduğu varsayılan her aktörün iletişim bilgilerini ve fidye ödemesinin tarihini eklemeleri gerekmektedir.
Gerekli diğer bilgiler arasında fidye ödeme tutarı, kullanılan varlıkların türü, fidye ödeme talebi, talimatlar ve sonuçlar yer alır.