Kritik altyapı sağlayıcılarının birçoğu, Siber Güvenlik ve Altyapı Güvenlik Ajansı’na yeni olay raporlama gerekliliklerinin etrafına bariyerler koyması yönünde son bir çaba sarf ediyor.
Önümüzdeki yıl yürürlüğe girecek olan Kritik Altyapı için Siber Olay Bildirimi Yasası, kapsam dahilindeki kritik altyapı sağlayıcılarının büyük güvenlik ihlallerini veya saldırılarını 72 saat içinde bildirmesini gerektirir. Bu kuruluşlar ayrıca fidye yazılımı ödemelerini 24 saat içinde bildirmek zorunda kalacak.
Kamuoyunun 3 Temmuz’a kadar uzattığı yorum döneminde önerilen kurala karşı çıkan kritik altyapı sağlayıcıları, zorunluluğun en önemli güvenlik tehditleriyle sınırlandırılmasını ve güvenlik ekiplerinin doğru değerlendirmeler yapabilmeleri için yeterli zamana sahip olunmasını istiyor.
TechNet, endüstri CEO’ları ve üst düzey yöneticilerden oluşan iki partili bir gruptur CISA’yı, bu olayları bildirmek için hangi “kapsanan kuruluşların” gerekli olduğunu ve hangi tür “kapsanan siber güvenlik olaylarının” ifşa edilmesi gerektiğini dikkatlice değerlendirmeye çağırdı. Grup, sağlayıcıların ne olduğunu doğru bir şekilde ifşa etmek için yeterli zamana sahip olduğundan emin olmak istiyor.
TechNet, bazı sağlayıcıların kuruluşları içinde kritik işlevlere sahip olabileceğinden endişe duyuyor, ancak kuruluşun her bölümünün kritik olarak değerlendirilmemesi gerektiğini belirtiyor.
The Diğer enerji gruplarıyla iş birliği içinde çalışan Amerikan Gaz Derneği Amerikan Petrol Enstitüsü de dahil olmak üzere, CIRCIA hakkında benzer endişeler dile getirildi. En önemli konular arasında, AGA, CISA’dan ilk 72 saat içinde ilk raporlama gerekliliklerinin kapsamını sınırlandırmasını istedi ve böylece olay müdahale ekiplerinin ihlale veya saldırıya tam olarak yanıt vermesini sağladı.
AGA’da güvenlik ve operasyonlardan sorumlu başkan yardımcısı Kimberly Denbow bir açıklamada, “Kritik sistemlerimizi gerçekten tehlikeye atan doğrulanmış bir siber olayın ilk saatleri çok önemlidir” dedi. “Yorumlarımız, raporlama gerekliliklerinin federal hükümetin ihtiyaçlarını karşılamasını sağlamaya odaklanıyor, ancak azaltma ve müdahale çabalarımızı engellemiyor.”
The Amerikan Hastane Derneği gerekliliklerin birçok bakımdan diğer federal kurumların sağlık sistemine koyduğu benzer gereklilikleri tekrarladığını söyledi.
AHA, sağlık hizmeti sağlayıcılarının siber olaylar hakkında bir web portalı aracılığıyla birleşik raporlar sunmalarına izin vermek için bir uyum süreci talep ediyor. AHA ayrıca 100 yataktan az olan küçük hastaneler için bir muafiyet talep ediyor.