$2,6 млрд - цена кибербезопасности: CISA подсчитала расходы на новый закон

Агентство CISA представило законопроект об обязательной отчетности организаций критической инфраструктуры о кибератаках перед правительством.

Предложение опубликовано для общественного обсуждения. Закон, который лег в основу правил, был принят в 2022 году и нацелен на улучшение способности государства отслеживать инциденты и платежи выкупов вымогателям.

Министр внутренней безопасности Алехандро Майоркас подчеркнул, что нововведения усилят способность CISA и других агентств оперативно реагировать на инциденты и выявлять уязвимые места в критической инфраструктуре США. Закон требует от организаций критической инфраструктуры сообщать о киберинцидентах в течение 72 часов и о выплатах выкупов в течение 24 часов. Отчеты будут конфиденциальными и не подлежат раскрытию.

По оценкам CISA, исполнение правила обойдется в $2,6 миллиарда на протяжении следующих 11 лет. Более 316 000 организаций будут подпадать под действие закона, подавая ожидаемое количество отчетов (более 210 000) за 10 лет. Агентство также ищет дополнительное финансирование для полного обеспечения работы офиса отчетности об инцидентах, несмотря на то что текущие ассигнования оказались меньше запрошенных.

Особое внимание в документе уделено исключениям, и официальные лица подчеркивают свою ответственность за использование получаемой информации с целью повышения кибербезопасности. Отчеты пострадавших организаций не будут публиковаться, однако ключевая информация может быть анонимизирована и распространена для предупреждения общественности о масштабных угрозах.

Общественность может комментировать законопроект в течение 60 дней до его официальной публикации, после чего CISA внесет коррективы и официально примет его в течение следующих 18 месяцев.

Специалисты в области кибербезопасности выразили смешанные чувства по поводу проекта, отмечая важность включения организаций малого бизнеса и упрощение отчетности для них, чтобы не упустить важные данные. Также эксперты подчеркнули необходимость быстрого внедрения правила в свете увеличивающихся угроз, таких как атаки программ-вымогателей и кампании иностранных государств, направленные на критическую инфраструктуру США.