Este audio se generó automáticamente. Háganos saber si tiene comentario.
Un programa federal que alienta a las empresas a compartir la información de amenazas cibernéticas expiró el miércoles, lo que aumenta el temor de una colaboración de seguridad cibernética significativamente disminuida entre el gobierno y el sector privado.
La Ley de intercambio de información de ciberseguridad de 2015 Compañías protegidas por responsabilidad antimonopolio, aplicación regulatoria, demandas privadas y divulgaciones de registros públicos asociados con indicadores de amenazas que compartieron con agencias gubernamentales u otras compañías. Esas protecciones, que abordaron las preocupaciones de larga data de los abogados corporativos, condujeron a una década de sólido intercambio de información entre el gobierno federal y el sector privado, ayudando a agencias como la Agencia de Seguridad Cibernética e Infraestructura (CISA) identificar, rastrear y responder a las campañas generalizadas de ciberatchack.
Pero la ley, conocida como CISA 2015 para distinguirla de la agencia cibernética creada más recientemente, incluida una vida útil de 10 años Eso expiró el miércoles. El Congreso no pudo reautorizar el programa, a pesar de Meses de audienciasdiscursos y cartas que destacan su Apoyo casi universal entre Funcionarios de la administración Trumplegisladores, líderes de la industria y expertos en ciberseguridad.
La falta de renovación de la CISA 2015 dejará las redes informáticas de los Estados Unidos «expuestas, vulnerables e indefensas», dijo el senador Gary Peters, D-Mich., Dijo el martes el principal demócrata del Comité de Seguridad Nacional, durante un discurso en el piso en el que instó a sus colegas a actuar.
Los miembros de la comunidad empresarial estuvieron de acuerdo. «Estados Unidos es más vulnerable a las amenazas cibernéticas hoy que ayer», dijo a Cybersecurity Dive, Vicepresidenta Ejecutiva de Política de Tecnología del Bank Policy Institute.
El principal obstáculo para la reautorización fue el presidente del Comité de Seguridad Nacional del Senado, Rand Paul, R-KY. Se opuso a reautorizar CISA 2015 sin imponer nuevas restricciones a los esfuerzos de CISA para Combate en línea y desinformación en línea – Que dibujó crítica conservadora Después de las elecciones de 2020, y él bloqueado repetidamente esfuerzos para salvar el programa. Pablo redactó un proyecto de ley Eso satisfaría sus preocupaciones sobre el trabajo de desinformación de CISA, pero nunca lo trajo al Comité de Seguridad Nacional para una discusión.
Mientras tanto, la Cámara incluyó una reautorización de la CISA 2015 en su proyecto de ley de financiación del gobierno, pero los demócratas bloquearon esa legislación sobre las preocupaciones sobre los recortes de gastos de los republicanos.
No está claro cómo las prácticas de intercambio de información de las empresas cambiarán en ausencia de responsabilidad y protecciones regulatorias. Algunas compañías podrían limitar lo que proporcionan al gobierno; Otros podrían dejar de compartir por completo.
Michael Daniel, presidente de la Alianza Cyber Amenaza, un grupo de intercambio de información, predijo que algunas compañías «suspenderán algunas actividades para compartir con el gobierno», pero agregó que muchos dependerán de «la tolerancia al riesgo de cada compañía».
«Creo que cierta colaboración continuará», dijo, «pero probablemente a niveles reducidos y que requieran más supervisión humana».
Ari Schwartz, director gerente de Servicios de Ciberseguridad en el bufete de abogados Venable, dijo: «Solo habrá muchos más abogados involucrados y todo irá más lento, particularmente nuevos acuerdos de intercambio». Venable tiene clientes asesorados sobre qué considerar al establecer tales acuerdos.
En cuanto a las empresas que comparten información entre sí, eso probablemente continuará por ahora debido a la falta de preocupación a corto plazo por las investigaciones antimonopolio, dijo Daniel. Pero las actitudes de las empresas podrían cambiar si el programa no está reautorizado.
Henry Young, director senior de políticas del Grupo Comercial de la Industria de Software BSA, dijo a CyberseCurity Dive que CISA 2015 era una herramienta crítica para la defensa colectiva.
«Permitir que los silos artificiales entre el gobierno y la industria se apoderen de la postura general de ciberseguridad de los Estados Unidos», dijo.
Impacto de DHS CISA
En Una carta al Congreso La semana pasada, una amplia coalición de asociaciones de la industria advirtió que el vencimiento de CISA 2015 expondría a los Estados Unidos a «un entorno de seguridad más complejo y peligroso».
El vencimiento del programa también podría provocar cambios en CISA. La agencia recientemente dijo al Inspector General del Departamento de Seguridad Nacional que Consideraría la interrupción Su plataforma de intercambio de amenazas en tiempo real, que cuesta aproximadamente $ 1 millón por mes, si CISA 2015 expiró y la agencia comenzó a recibir muchos menos indicadores de amenazas.
La oficina del IG dijo que CISA le dijo que «la decisión sobre si mantener la capacidad se basará en los recursos disponibles y las prioridades del liderazgo».
Los líderes de la industria tecnológica fueron unánimes en sus expresiones de consternación al vencimiento de CISA 2015.
El lapso «creará una incertidumbre legal significativa para la comunidad de seguridad cibernética, debilitará la postura de ciberseguridad de los Estados Unidos y socavará una década de progreso en la construcción de la confianza entre las partes interesadas del gobierno y la industria», dijo John Miller, vicepresidente senior de políticas de confianza, datos y tecnología en el Consejo de la Industria de la Tecnología de la Información, un importante grupo de comercio tecnológico.
«La única garantía» ahora, Miller dijo: «Es que los atacantes [are] En una mejor posición para capitalizar cualquier confusión o duda resultante del sector privado para compartir información ”sin las protecciones de la ley.
Fuente