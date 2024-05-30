Nel marzo 2022, l'amministrazione Biden ha firmato il Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA). Questa legislazione storica incarica la Cybersecurity and Infrastructure Security Agency (CISA) di sviluppare e attuare regolamenti che impongono alle entità coperte di segnalare incidenti informatici coperti e pagamenti ransomware.
I report sugli incidenti CIRCIA hanno lo scopo di consentire a CISA di:
Come si dice, il diavolo è nei dettagli. All'inizio di aprile, la CISA ha pubblicato un Notice of Proposed Rulemaking (NPRM) di 447 pagine, in risposta alle responsabilità che le sono state affidate dalla CIRCIA. Il documento è ora aperto al feedback pubblico tramite il Federal Register.
Considerando CIRCIA e il suo nuovo NPRM, come potrebbe essere in futuro la segnalazione degli incidenti per attacchi ransomware? Scopriamolo.
Secondo la CISA, "Il ransomware è una forma di malware in continua evoluzione progettata per criptare i file su un dispositivo, rendendo inutilizzabili qualsiasi file e i sistemi che ne dipendono. Gli autori dei reati chiedono poi un riscatto in cambio della decrittazione."
I gruppi di ransomware spesso prendono di mira e minacciano di vendere o diffondere i dati rubati o le informazioni di autenticazione se non viene pagato il riscatto. Gli attacchi ransomware sono diventati sempre più diffusi tra gli enti pubblici statali, locali, comunitari e territoriali (SLTT) e tra le organizzazioni di infrastrutture critiche.
L'NPRM della CISA propone quattro tipi di impatti che porterebbero a classificare un incidente come un incidente cibernetico sostanziale e, di conseguenza, a essere segnalabile. Questi includono:
La CISA propone inoltre che gli incidenti informatici sostanziali includano qualsiasi incidente, indipendentemente dalla causa, indipendentemente dal fatto che sia coinvolto o meno un ransomware. Questi possono essere un compromesso di un fornitore di servizi cloud, un provider di servizi gestiti o un altro fornitore di hosting dati terzo; un compromesso della supply chain, un attacco di denial-of-service; un attacco ransomware, o sfruttamento di una vulnerabilità zero-day.
CIRCIA richiede alle entità coperte di segnalare alla CISA qualsiasi incidente informatico coperto entro 72 ore da quando l'entità ritiene ragionevolmente che l'incidente informatico coperto sia avvenuto.
Nel frattempo, i pagamenti di riscatto effettuati in risposta a un attacco ransomware devono essere segnalati entro 24 ore dal pagamento del riscatto. Chiaramente, CIRCIA considera il ransomware una priorità di segnalazione.
Per quanto riguarda la segnalazione del ransomware, l'NPRM del CISA delinea quattro fasi:
Il CISA spiega inoltre che il tempo non esclude la segnalazione. Ad esempio, supponiamo che la tua azienda scopra di aver subito un incidente informatico due anni fa e che l'incidente sia ancora in corso. Ti verrà comunque richiesto di inviare un Covered Cyber Incident Report in base alla regola proposta, perché l'incidente non si è concluso e non è stato completamente mitigato e risolto.
Secondo il CISA, gli incidenti segnalabili escludono "qualsiasi evento in cui l'incidente informatico sia stato perpetrato in buona fede da un'entità in risposta a una specifica richiesta del proprietario o operatore del sistema informativo."
Cosa sono esattamente gli scenari di "buona fede"? Potrebbe trattarsi di un fornitore di servizi terzi che agisce entro i parametri di un contratto e che ha configurato male involontariamente i dispositivi di un'azienda, causando un'interruzione del servizio. Un altro esempio potrebbe essere un test di penetrazione debitamente autorizzato che inavvertitamente provoca un incidente informatico con conseguenze reali.
Altre esclusioni in buona fede potrebbero riguardare incidenti correlati ai test di ricerca sulla sicurezza. I ricercatori potrebbero essere stati autorizzati a tentare di compromettere i sistemi, ad esempio in conformità con una politica di divulgazione delle vulnerabilità o con programmi di ricompensa per bug. Detto questo, il CISA prevede che tali esenzioni si verificheranno raramente. La ricerca sulla sicurezza in buona fede si ferma in genere al punto in cui la vulnerabilità può essere dimostrata e non dovrebbe in genere sfociare in un incidente d'impatto.
In alcuni casi, un'entità coperta, in risposta a un ransomware genuino o a un altro incidente malevolo, potrebbe decidere di agire contro se stessa, con conseguenti impatti a livello segnalabile, come la chiusura di sistemi o operazioni. Ad esempio, una vittima di un attacco ransomware-as-a-Service potrebbe scegliere questa opzione per prevenire un impatto più ampio dovuto a un attacco informatico. Questo scenario è ancora considerato un incidente informatico sostanziale e segnalabile.
In tale caso, l'incidente stesso non è stato perpetrato in buona fede, e gli impatti a livello di soglia non si sarebbero verificati se non ci fosse stato un attacco. Pertanto, il CISA non considererebbe le azioni dell'entità coperta come conformi all'eccezione della "buona fede". Chiaramente, l'entità coperta ha intenzionalmente attivato un evento di impatto (ad esempio, la messa offline dei sistemi) nel tentativo di minimizzare i potenziali danni di un incidente informatico. Tuttavia, questo tipo di attività non sarebbe esente dagli obblighi di segnalazione.
La discussione sui requisiti di segnalazione dei ransomware è ancora in corso. E quando anche le entità con una solida cyber resilience sono a rischio, le conclusioni finali di CIRCIA saranno sul radar di tutti.
