En marzo de 2022, se adoptó una nueva ley federal: la Ley de Infraestructura Crítica de Reporte de Incidentes Cibernéticos (CIRCIA). Esta nueva legislación se centra en los requisitos de notificación relacionados con incidentes de ciberseguridad y pagos de ransomware. La conclusión clave: las entidades cubiertas en infraestructura crítica ahora deberán informar incidentes y pagos dentro de plazos específicos a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Estos nuevos requisitos cambiarán la forma en que los CISO manejan los incidentes cibernéticos en el futuro previsible. Como resultado los CISO deben mantenerse actualizados sobre los requisitos de informes actuales, actualizar los procedimientos de informes y trabajar para garantizar que cumplan con los requisitos.
Veamos los cambios actuales representados en CIRCIA y cómo los CISO deben esperar adaptarse.
Otros recursos importantes para entender CIRCIA
Lo primero que debe tener en cuenta es que CIRCIA se basa en varias definiciones y políticas que se encuentran en otros recursos. Inicialmente pueden ser difíciles de descifrar y pueden requerir algún mapeo y/o referencias cruzadas. Algunos de los recursos son:
- Publicación especial del NIST 800-145 , la definición del NIST de computación en la nube
- La Ley de Seguridad Nacional de 2002
- El Presidente Directriz Política 21
- La Ley de Ciberseguridad de 2015.
La ley se encuentra en las páginas 2.542 a 2.581 de la Ley de Asignaciones Consolidadas.
Nota: si bien este artículo se centra en las organizaciones con sede en los EE. UU., otras regiones, como la Unión Europea, también están tomando medidas para fortalecer la infraestructura crítica a través de certificaciones relacionadas con la cibernética y requisitos adicionales . Echemos un vistazo a los detalles de CIRCIA.
¿Cuándo entra en vigor CIRCIA?
La ley está vigente, pero algunos requisitos están pendientes. CISA continuará definiéndolos y aclarándolos haciendo de CIRCIA más un documento guía para lo que debe abordarse. Actualmente, CISA tiene un total acumulado de 42 meses para emitir las reglas; pero nada impide que CISA establezca las reglas en un plazo más breve.
A mediados de septiembre de 2022, CISA publicó una solicitud de aportes públicos con fecha límite del 14 de noviembre de 2022. Como parte de este proceso CISA también ha programado sesiones de audiencia pública. Por lo tanto, está claro que todavía se están produciendo muchos cambios en tiempo real.
Por supuesto los CISO tienen un plato completo como parte de sus operaciones diarias; pero siempre que sea posible los CISO afectados deben tratar de mantenerse actualizados e involucrados.
¿Qué define a una entidad cubierta?
La primera pregunta que los CISO, sus pares y la gerencia deberán considerar es si son una entidad cubierta. Con base en PPD 21 y CISA, los ” sectores de infraestructura crítica designados ” son:
- Químico
- Instalaciones Comerciales
- Comunicaciones
- Fabricación crítica
- presas
- Base industrial de defensa
- Servicios de emergencia
- Energía
- Servicios financieros
- Comida y Agricultura
- Instalaciones gubernamentales
- Sanidad y Salud Pública
- Tecnologías de la información
- Reactores Nucleares, Materiales y Residuos
- Sistemas de Transporte
- Sistemas de Agua y Saneamiento.
Esto arroja una amplia red con algunas organizaciones obvias (bancos, hospitales, proveedores de telecomunicaciones, etc.), pero los proveedores de servicios que respaldan estas industrias también pueden quedar atrapados en la red. El proceso de elaboración de normas es fundamental y los CISO deben pecar de precavidos. Cualquiera que pueda ser capturado como una entidad cubierta debe involucrarse lo más posible en el proceso.
Sin embargo, algunas barandillas ya están en su lugar. La reglamentación debe considerar factores tales como:
- Consecuencias para la seguridad nacional, la seguridad económica o la salud y seguridad públicas
- Probabilidad de que un actor malintencionado ataque a una entidad
- La extensión del daño potencial.
El idioma exacto se encuentra en la página 2.542.
Definición de incidentes cibernéticos sustanciales y cubiertos
Las definiciones lo son todo. Como se señaló anteriormente , la Comisión de Bolsa y Valores de EE. UU. (SEC) emitió sus propias reglas que definen los incidentes de seguridad cibernética y los sistemas de información. CIRCIA seguirá haciendo lo mismo durante todo el proceso de elaboración de normas. La solicitud de información da una idea de los términos cuyo significado requiere finalización, incluidos:
- Incidente cibernético cubierto
- Incidente cibernético sustancial
- Pago de ransomware y ataque de ransomware
- Compromiso de la cadena de suministro.
Por ejemplo, el lenguaje específico establece que un “incidente cibernético cubierto” significa un incidente cibernético sustancial experimentado por una entidad cubierta que cumple con la definición y los criterios establecidos por el director de CISA en la regla final emitida de conformidad con la sección 2242(b).
Aunque no están del todo claros, la página 2543 de CIRCIA establece algunas pautas sobre lo que debe considerar un incidente cibernético sustancial:
- Ocurrencias de pérdida sustancial de confidencialidad, integridad y disponibilidad de los sistemas de información, o impacto grave en la seguridad y flexibilidad de los sistemas y procesos operativos
- Interrupción de operaciones comerciales o industriales.
- Acceso no autorizado o interrupción de operaciones comerciales o industriales causadas por terceros
- El número de personas afectadas
- Impactos en los sistemas de control industrial.
Estas calificaciones excluyen cualquier evento cuando el evento cibernético es perpetrado de buena fe por una entidad en respuesta a una solicitud específica y la amenaza de interrupción como se describe en una sección separada. Sin embargo, los CISO aún se beneficiarán de una revisión adicional de la legislación existente y un seguimiento cercano de las reglas emitidas.
Requisitos de informes de CIRCIA
A diferencia de otras secciones de CIRCIA, los requisitos de presentación de informes vienen con cierta claridad. Los incidentes cibernéticos cubiertos deben informarse dentro de las 72 horas posteriores al momento en que la entidad cubierta “cree razonablemente” que se ha producido el incidente. Las entidades también deben informar un pago como resultado de un ataque de ransomware dentro de las 24 horas posteriores a la realización del pago.
El lenguaje “razonablemente cree” es clave porque una entidad cubierta puede no saber con certeza que se ha producido el ciberincidente cubierto. Los CISO deben tener en cuenta este requisito porque esa “creencia razonable” puede presionar el botón de inicio en la ventana de 72 horas.
Además, es probable que la notificación por sí sola no sea suficiente. Los detalles necesarios del incidente incluyen (pero no se limitan a):
- Identificación de los sistemas afectados
- Descripción del ataque
- Fechas y horas
- Impacto en las operaciones
- Vulnerabilidades explotadas
- Tácticas y técnicas del actor.
- Tipos de información afectados
- Información del contacto.
Comience a leer en la página 2545 para obtener más detalles.
Antes de que los CISO los auditores y los abogados entren en pánico por los informes revise la página 2566 para conocer las protecciones de responsabilidad. Se cubre la protección de secretos comerciales, privilegios, admisibilidad y más. Aún así ahora es el momento para que los CISO comiencen a trabajar más de cerca con los abogados en sus equipos. Tenga en cuenta que la intención de los informes es ayudar a respaldar una respuesta rápida y el intercambio de información, pero las sanciones aún pueden ser graves.
Los próximos pasos a seguir para los CISO
A medida que 2022 llega a su fin, el paso inmediato para los CISO es mantenerse informados, participar en la conversación y obtener más actualizaciones sobre las reglas y las fechas de vigencia. Los CISO deben planificar reunirse con sus respondedores de incidentes lo antes posible y comenzar a trabajar a través de protocolos y procesos para la notificación interna, la escalada y la recopilación de artefactos.
Sobre todo, recuerda que el total acumulado de 42 meses es el tiempo máximo para definir las reglas; CISA y su director pueden hacer que estos entren en vigor mucho antes. No se deje atrapar con los pies planos.
Fuente: https://securityintelligence.com/articles/what-cisos-should-know-circia-incident-reporting/
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.