Las compañías críticas para los intereses nacionales de los Estados Unidos tendrán que hacer un reporte a partir de ahora cuando sean hackeadas o paguen un ransomware (en español un secuestro de datos), según las nuevas normas aprobadas por el Congreso.
La legislación sobre la obligación de informar fue aprobada por la Casa Blanca y el Senado el pasado jueves y se espera que el presidente Joe Biden lo convierta en ley próximamente. Los requerimientos indican que cualquier entidad que se considere parte de la infraestructura crítica de la nación, incluyendo sectores de finanzas, transporte y energía. Estos sectores deben informar al gobierno sobre cualquier “incidente cibernético sustancial” en un plazo de tres días y de cualquier pago por hecho por secuestro de datos en 24 horas.
Según la página oficial del congreso de Estados Unidos esta ley podría ser citada como “Ley de notificación de incidentes cibernéticos de 2021”
Según la propuesta de ley, la Oficina de Revisión de Incidentes Cibernéticos debe recibir, agregar y analizar todos los informes relacionados con los incidentes cibernéticos presentados por las entidades cubiertas en la promoción de actividades específicas y cualquier otra situación de amenaza en todos los sectores de infraestructura critica de la nación. Igualmente, se menciona que se van a implementar tácticas de seguimiento e identificación de los pagos de rescates utilizando monedas virtuales, que los adversarios usan para generar los ataques de ransomware y facilitar el pago de rescates.
Por otro lado, hay que aprovechar la información recopilada sobre dichos incidentes y mejorar la calidad y eficacia de los esfuerzos de intercambio de información. Es indispensable proporcionar informes oportunos, procesables y anónimos de las campañas y tendencias de ciberataques, incluyendo la mayor información contextual posible, relacionada a los indicadores de ciberamenazas y las medidas defensivas.