Home Gobierno EE.UU. estudia la obligación de informar sobre ciberataques

EE.UU. estudia la obligación de informar sobre ciberataques

Imagen: AndyEmel

Se ha presentado en el Senado de Estados Unidos, una legislación que obliga a las empresas de infraestructuras críticas a informar de los ciberataques al gobierno federal.

Los líderes de la Comisión de Seguridad Nacional y Asuntos Gubernamentales del Senado presentaron ayer el nuevo proyecto de ley de notificación de ciberincidentes. Si se promulga, los propietarios y operadores de infraestructuras críticas tendrán que informar al gobierno de los ciberataques en un plazo de 72 horas.

El proyecto de ley se hace eco de la ley de autorización de defensa aprobada por la Cámara de Representantes, que exige a los propietarios y operadores de infraestructuras críticas que informen de los incidentes de ciberseguridad significativos en un plazo de 72 horas.

La nueva legislación incluye una propuesta para crear una Oficina de Revisión de Ciberincidentes dentro de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA). La función de la oficina sería recibir, agregar y analizar los incidentes notificados.

El nuevo proyecto de ley también obligaría a las organizaciones, incluidas las empresas con más de 50 empleados, las organizaciones sin ánimo de lucro y los gobiernos estatales y locales, a informar a la CISA de cualquier pago por ransomware que realicen. Las organizaciones infectadas por ransomware estarían obligadas por ley a considerar otras tácticas de recuperación distintas al pago a sus atacantes.

La CISA estaría facultada, en virtud de la nueva legislación, para citar a las entidades que incumplan los requisitos de notificación de incidentes y de pago por ransomware. Las posibles sanciones para los que no cumplan incluyen la remisión al Departamento de Justicia y la prohibición de la contratación federal.

El presidente de Seguridad Nacional y Asuntos Gubernamentales, Gary Peters, que presentó el proyecto de ley, dijo que podría ayudar a limitar el impacto de los ciberataques.

“Cuando las entidades, como los propietarios y operadores de infraestructuras críticas, son víctimas de violaciones de la red o pagan a los hackers para que desbloqueen sus sistemas, deben notificarlo al gobierno federal para que podamos advertir a otros, prepararnos para los posibles impactos y ayudar a prevenir otros ataques generalizados”, dijo Peters, en un comunicado.

Con información de KESQ.