Senadores elaboran un proyecto de ley que obligaría a muchas entidades a informar de las violaciones cibernéticas en 24 horas
Alexandra Ferguson
(CNN) — Los legisladores de EE.UU. están preparando una ley que obligaría a una amplia gama de entidades públicas y privadas a alertar al gobierno en un plazo de 24 horas de una violación de la ciberseguridad, tras la ola de ataques de ransomware que han amenazado la seguridad económica y nacional del país.
¿Qué es un virus ransomware y cómo actúa?
El proyecto bipartidista de los senadores Mark Warner, demócrata de Virginia; Marco Rubio, republicano de Florida; y Susan Collins, republicana de Maine, refleja un nuevo esfuerzo del Congreso por aprobar las tan esperadas normas federales en torno a las notificaciones de violaciones de la ciberseguridad. En la actualidad no existe una norma federal única, lo que, según los críticos, constituye desde hace años un obstáculo para proteger a la nación de los ciberataques.
Warner es el presidente del Comité de Inteligencia del Senado, Rubio es el principal republicano del panel y Collins ha participado en el impulso para elaborar una legislación federal integral sobre ciberseguridad desde al menos 2012.
El proyecto de ley que circula en Washington, obtenido por CNN, se aplicaría a las agencias gubernamentales de Estados Unidos, así como a los contratistas federales y a los propietarios y operadores de infraestructuras críticas, como las empresas de los sectores manufacturero, energético y de servicios financieros. Los representantes de la industria y los grupos comerciales ya han recibido copias del borrador de debate.
JBS dice que pagó US$ 11 millones de rescate tras ciberataque
Según el proyecto de ley, estas entidades estarían obligadas a presentar informes sobre violaciones a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras que forma parte del Departamento de Seguridad Nacional (DHS, por sus siglas en inglés). La legislación ordenaría a la agencia establecer un mecanismo seguro para recibir los informes.
El proyecto de ley incluye protecciones de responsabilidad para las empresas que presenten informes de notificación de infracciones, lo que, según los expertos en ciberseguridad, es fundamental para garantizar que las empresas no tengan miedo de revelar las infracciones y para ayudar a las autoridades de EE.UU. a reforzar la ciberseguridad del país.
Algunos sectores ya están sometidos a requisitos de información más estrictos. La Administración de Seguridad en el Transporte (TSA, por sus siglas en inglés), por ejemplo, impuso recientemente a las empresas de oleoductos y gasoductos de EE.UU. un requisito de notificación de vulnerabilidades dentro de las primeras 12 horas. Según el proyecto de ley, estos requisitos tendrían prioridad sobre el plazo de 24 horas.
ANÁLISIS | Los ataques de ransomware agregan a Biden una grave crisis de seguridad nacional
El proyecto de ley ordena al DHS que desarrolle normas adicionales con definiciones y requisitos asociados a la aplicación de la ley, y que el DHS y su agencia de ciberseguridad presenten informes anuales al Congreso sobre las notificaciones.
Un alto cargo de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras ha pedido esta semana que se informe más de los incidentes de ciberseguridad a la agencia, argumentando que ayudaría al gobierno a proteger las industrias críticas de todo el país de los ciberataques.
«Necesitamos poder tener visibilidad de los riesgos de ciberseguridad nacional», dijo Eric Goldstein, subdirector ejecutivo de ciberseguridad de la agencia, durante una audiencia del Comité de Seguridad Nacional de la Cámara de Representantes el martes. «Necesitamos entender dónde están entrando los adversarios en las redes de todo el país. Tenemos que entender las técnicas que están utilizando para entrar. Tenemos que entender lo que están haciendo o intentando hacer. Cuanta más información de este tipo obtengamos, podremos proteger a los demás».
«Cuanto más podamos hacer como país para impulsar la notificación de incidentes de ciberseguridad a la CISA, como ha hecho recientemente la TSA con sus directivas, y ciertamente como han sugerido varios de sus colegas, a través de las otras vías que ayudarán a impulsar ese cambio», dijo Goldstein a los legisladores.
–Geneva Sands de CNN contribuyó con este reportaje.