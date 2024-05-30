En marzo de 2022, la Administración Biden firmó la Ley de Reporte de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 (CIRCIA). Esta legislación histórica encarga a la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) que desarrolle y aplique normativas que exijan a las entidades cubiertas informar de los incidentes cibernéticos cubiertos y de los pagos por ransomware.
Los informes de incidentes de CIRCIA están destinados a permitir a CISA:
Como se suele decir, el diablo está en los detalles. A principios de abril, CISA publicó el Aviso de Propuesta de Regulación (NPRM) de 447 páginas en respuesta a sus responsabilidades impuestas por CIRCIA. El documento está ahora abierto a los comentarios del público a través del Registro Federal.
Teniendo en cuenta CIRCIA y su recién publicado NPRM, ¿cómo podría ser en el futuro la notificación de incidentes por ataques de ransomware? Vamos a averiguarlo.
Según CISA, "el ransomware es una forma de malware en constante evolución diseñada para cifrar archivos en un dispositivo, haciendo inutilizables cualquier archivo y los sistemas que dependan de ellos. Los actores maliciosos luego exigen un rescate a cambio del descifrado”.
Los grupos de ransomware suelen atacar y amenazar con vender o filtrar datos robados o información de autenticación si no se paga el rescate. Los ataques de ransomware se han vuelto cada vez más frecuentes entre las entidades de gobierno estatales, locales, tribales y territoriales (SLTT) y las organizaciones de infraestructura crítica.
El NPRM de CISA propone cuatro tipos de impactos que darían lugar a que un incidente se clasifique como ciberincidente sustancial y, por lo tanto, notificable. Los cuatro tipos de impacto incluyen:
CISA propone además que los incidentes cibernéticos sustanciales incluyan cualquier incidente independientemente de la causa, ya sea que se trate o no de ransomware. Estos pueden ser un compromiso entre un proveedor de servicios en la nube, un proveedor de servicios gestionados u otro proveedor de alojamiento de datos externo; un compromiso de la cadena de suministro; un ataque de denegación de servicio; un ataque de ransomware; o la explotación de una vulnerabilidad de día cero.
CIRCIA exige a las entidades cubiertas que informen a CISA de cualquier incidente cibernético cubierto en un plazo de 72 horas después de que la entidad crea razonablemente que se ha producido el incidente cibernético cubierto.
Mientras tanto, los pagos de rescate realizados en respuesta a un ataque de ransomware deben notificarse en un plazo de 24 horas después de que se haya realizado el pago del rescate. Claramente, CIRCIA sitúa el ransomware como una prioridad de notificación.
En lo que respecta a los informes de ransomware, el NPRM de CISA describe cuatro pasos:
CISA también explica que el tiempo no excluye la elaboración de informes. Por ejemplo, supongamos que su empresa descubre que experimentó un incidente cibernético hace dos años y que el incidente continúa. Aún tendría que enviar un informe de incidente cibernético cubierto según la norma propuesta, porque el incidente no ha concluido y no se ha mitigado ni resuelto por completo.
Según CISA, los incidentes notificables excluyen "cualquier evento en el que el incidente cibernético sea perpetrado de buena fe por una entidad en respuesta a una solicitud específica del propietario u operador del sistema de información".
¿Qué son exactamente los escenarios de "buena fe"? Podría tratarse de un proveedor de servicios externo que, actuando dentro de los parámetros de un contrato, desconfigurara involuntariamente los dispositivos de una empresa, provocando una interrupción del servicio. Otro ejemplo sería una prueba de penetración debidamente autorizada que, sin darse cuenta, provoque un ciberincidente con un impacto real.
Otras exclusiones de buena fe podrían ser incidentes relacionados con pruebas de investigación en seguridad. Es posible que los investigadores estén autorizados a intentar comprometer los sistemas, por ejemplo, de acuerdo con una política de divulgación de vulnerabilidades o programas de recompensas por errores. Dicho esto, CISA anticipa que estas exenciones rara vez ocurrirían. La investigación de seguridad de buena fe generalmente se detiene en el punto en el que se puede demostrar la vulnerabilidad y, por lo general, no debe dar lugar a un incidente real impactante.
En algunos casos, una entidad cubierta, en respuesta a un ransomware genuino u otro incidente malicioso, podría decidir tomar medidas contra sí misma, lo que provocaría impactos de nivel notificable, como el cierre de sistemas u operaciones. Por ejemplo, una víctima de ataque de ransomware como servicio podría hacer esto para evitar un impacto más amplio debido a un ciberataque. Este escenario se sigue considerando un ciberincidente importante denunciable.
En tal caso, el incidente en sí no se perpetró de buena fe, y los impactos de nivel umbral no se habrían producido si no hubiera habido ataque. Por lo tanto, CISA no consideraría las acciones de la entidad cubierta para cumplir con la excepción de "buena fe". Está claro que la entidad cubierta desencadenó intencionadamente un evento impactante (por ejemplo, poner los sistemas fuera de servicio) en un intento de minimizar el daño potencial de un incidente cibernético. Sin embargo, este tipo de actividad no estaría exenta de los requisitos de presentación de informes.
El debate sobre los requisitos de notificación del ransomware continúa. Y cuando incluso las entidades con una ciberresiliencia sólida estén en riesgo, las conclusiones finales de CIRCIA estarán en el radar de todos.
