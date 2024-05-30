Segurança

Detalhes importantes sobre os relatórios de ransomware da CIRCIA

Em março de 2022, o governo Biden sancionou a Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica de 2022 (CIRCIA). Essa legislação histórica encarrega a Agência de Segurança Cibernética e de Infraestrutura (CISA) de desenvolver e implementar regulamentos que exijam que as entidades abrangidas relatem os incidentes cibernéticos e os pagamentos de resgate.

Os relatórios de incidentes da CIRCIA têm como objetivo permitir que a CISA:

  • Implemente rapidamente recursos e preste assistência às vítimas que sofrerem ataques.
  • Analise os relatórios recebidos em todos os setores para identificar tendências
  • Compartilhe rapidamente informações com os defensores da rede para alertar outras vítimas em potencial

Como diz o ditado, o diabo está nos detalhes. No início de abril, a CISA publicou o Aviso de Proposta de Regulamentação (NPRM) com 447 páginas, em resposta às suas responsabilidades determinadas pela CIRCIA. O documento está agora aberto para feedback público através do Registro Federal.

Considerando a CIRCIA e seu recém-publicado NPRM, como poderá ser o reporte de incidentes relacionados a ataques de ransomware no futuro? Vamos descobrir.

Como a CISA define ransomware?

Segundo a CISA, "ransomware é uma forma de malware em constante evolução, projetada para criptografar arquivos em um dispositivo, tornando inutilizáveis quaisquer arquivos e os sistemas que dependem deles." Atores maliciosos então exigem um resgate em troca da descriptografia."

Grupos de ransomware frequentemente atacam e ameaçam vender ou divulgar dados roubados ou informações de autenticação caso o resgate não seja pago. Os ataques de ransomware têm se tornado cada vez mais frequentes entre entidades governamentais estaduais, locais, tribais e territoriais (SLTT) e organizações de infraestrutura crítica.

Como o relatório de incidentes de ransomware pode diferir de outros ataques?

O NPRM da CISA propõe quatro tipos de impactos que resultariam na classificação de um incidente como um incidente cibernético substancial e, portanto, passível de ser relatado. Os quatro tipos de impacto incluem:

  • Impacto 1: perda substancial de confidencialidade, integridade ou disponibilidade
  • Impacto 2: impacto grave na segurança e resiliência dos sistemas e processos operacionais
  • Impacto 3: interrupção da capacidade de realizar operações comerciais ou industriais
  • Impacto 4: acesso não autorizado facilitado ou causado por: (1) comprometimento de um CSP, provedores de serviços gerenciados ou outro provedor de hospedagem de dados terceirizado, ou (2) comprometimento da cadeia de suprimentos

A CISA propõe ainda que incidentes cibernéticos substanciais incluam qualquer incidente, independentemente da causa, tenha ou não um ransomware envolvido. Esses poderiam ser o comprometimento de um provedor de serviço de nuvem, provedores de serviços gerenciados ou outro provedor de hospedagem de dados terceirizado; um comprometimento da cadeia de suprimentos; um ataque de denial-of-service ; um ataque de ransomware; ou invasão de vulnerabilidade de dia zero.

A CIRCIA exige que as entidades abrangidas reportem à CISA quaisquer incidentes cibernéticos cobertos no prazo de 72 horas após a entidade ter motivos razoáveis para acreditar que o incidente cibernético ocorreu.

Entretanto, os pagamentos de resgate efetuados em resposta a um ataque de ransomware devem ser comunicados no prazo de 24 horas após o pagamento ter sido realizado. Claramente, a CIRCIA considera o combate ao ransomware uma prioridade.

Quais são as etapas a serem seguidas para relatar um caso de ransomware?

No que diz respeito à notificação de ransomware, o NPRM da CISA descreve quatro etapas:

  1. Uma entidade abrangida que sofrer um incidente cibernético abrangido deve reportá-lo à CISA.
  2. Uma entidade abrangida que efetuar um pagamento de resgate como resultado de um ataque de ransomware deve reportar esse pagamento à CISA.
  3. Até que uma entidade abrangida notifique a CISA de que o incidente cibernético em questão foi concluído, mitigado e resolvido integralmente, a entidade deve enviar uma atualização ou suplemento a um relatório previamente enviado sobre o incidente cibernético, caso novas informações substanciais ou diferentes se tornem disponíveis.
  4. Uma entidade abrangida deve enviar uma atualização ou suplemento a um relatório previamente enviado sobre o incidente cibernético abrangido, caso efetue um pagamento de resgate após o envio de um Relatório de Incidente Cibernético Abrangido.

A CISA também explica que o prazo não exclui a necessidade de relatórios. Por exemplo, digamos que sua empresa descubra que sofreu um incidente cibernético há dois anos e que o incidente ainda está em andamento. Você ainda precisará enviar um Relatório de Incidente Cibernético Abrangido pela regra proposta, pois o incidente não foi concluído e não foi totalmente mitigado e resolvido.

Quais são as exceções ao relatar um incidente cibernético à CISA?

De acordo com a CISA, os incidentes reportáveis excluem "qualquer evento em que o incidente cibernético seja perpetrado de boa-fé por uma entidade em resposta a uma solicitação específica do proprietário ou operador do sistema de informação".

O que exatamente são cenários de "boa-fé"? Pode ser um prestador de serviços terceirizado, atuando dentro dos parâmetros de um contrato, que involuntariamente configurou incorretamente os dispositivos de uma empresa, causando uma interrupção do serviço. Outro exemplo seria um teste de inserção devidamente autorizado que, inadvertidamente, resulta em um incidente cibernético com impactos reais.

Outras exclusões de boa-fé poderiam incluir incidentes relacionados a testes de pesquisa de segurança. Os pesquisadores podem ter sido autorizados a tentar comprometer sistemas, por exemplo, de acordo com uma política de divulgação de vulnerabilidades ou programas de recompensa por bugs. Dito isso, a CISA prevê que essas isenções raramente ocorrerão. A pesquisa de segurança de boa-fé geralmente termina no ponto em que a vulnerabilidade pode ser demonstrada e normalmente não deve resultar em um incidente real de impacto.

O desligamento intencional não é uma exceção se houver envolvimento de ransomware

Em alguns casos, uma entidade abrangida, em resposta a um ataque genuíno de ransomware ou outro incidente malicioso, pode decidir tomar medidas contra si mesma, resultando em impactos que exigem notificação, como o desligamento de sistemas ou operações. Por exemplo, uma vítima de um ataque de Ransomware-as-a-Service pode fazer isso para evitar um impacto maior devido a um ataque cibernético. Esse cenário ainda é considerado um incidente cibernético substancial que deve ser reportado.

Nesse caso, o incidente em si não foi perpetrado de boa fé, e os impactos de nível crítico não teriam ocorrido se não tivesse havido o ataque. Portanto, a CISA não consideraria as ações da entidade abrangida como atendendo à exceção de "boa-fé". Claramente, a entidade abrangida provocou intencionalmente um evento impactante (por exemplo, a desativação de sistemas) na tentativa de minimizar os danos potenciais de um incidente cibernético. No entanto, esse tipo de atividade não estaria isento das exigências de comunicação.

Conversa em andamento

A discussão sobre os requisitos para notificação de casos de ransomware está em andamento. E quando até mesmo entidades com forte resiliência cibernética estão em risco, as conclusões finais da CIRCIA estarão no radar de todos.
