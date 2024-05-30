En marzo de 2022, la Administración Biden promulgó la Ley de Notificaciones de Incidentes Cibernéticos para Infraestructuras críticas de 2022 (CIRCIA). Esta legislación histórica encarga a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) que desarrolle e implemente regulaciones que requieran que las entidades cubiertas notifiquen los incidentes cibernéticos cubiertos y los pagos de ransomware.
Las notificaciones de incidentes de la ley CIRCIA están destinados a permitir que la CISA:
Como dicen, el secreto está en los detalles. A principios de abril, la CISA publicó el Aviso de Propuesta de Regulación (NPRM) de 447 páginas en respuesta a sus responsabilidades impuestos por la ley CIRCIA. El documento ya está abierto para recibir comentarios del público a través del Registro Federal.
Teniendo en cuenta la ley CIRCIA y su recién publicado NPRM, ¿cómo podría ser en el futuro la notificación de incidentes por ataques de ransomware? Vamos a averiguarlo.
Según la CISA, “El ransomware es una forma de malware en constante evolución diseñada para cifrar archivos en un dispositivo, haciendo inutilizables cualquier archivo y los sistemas que dependan de ellos. Luego, los actores maliciosos exigen un rescate a cambio del descifrado”.
Los grupos de ransomware a menudo atacan y amenazan con vender o filtrar datos robados o información de autenticación si no se paga el rescate. Los ataques de ransomware se han vuelto cada vez más frecuentes entre las entidades de gobierno estatales, locales, tribales y territoriales (SLTT) y las organizaciones de infraestructura crítica.
El NPRM de la CISA propone cuatro tipos de impactos que darían lugar a que un incidente se clasifique como incidente cibernético sustancial y, por lo tanto, notificable. Los cuatro tipos de impacto incluyen:
La CISA propone además que los incidentes cibernéticos sustanciales incluyan cualquier incidente independientemente de la causa, ya sea que haya o no ransomware involucrado. Estos pueden ser un compromiso entre un proveedor de servicios en la nube, un proveedor de servicios gestionados u otro proveedor de alojamiento de datos externo; un compromiso de la cadena de suministro; un ataque de denegación del servicio; un ataque de ransomware; o la explotación de una vulnerabilidad de día cero.
La ley CIRCIA requiere que las entidades cubiertas notifiquen a la CISA cualquier incidente cibernético cubierto dentro de las 72 horas posteriores a que la entidad crea razonablemente que se produjo el incidente cibernético cubierto.
Mientras tanto, los pagos de rescate realizados en respuesta a un ataque de ransomware deben informarse dentro de las 24 horas posteriores al pago del rescate. Claramente, la ley CIRCIA coloca el ransomware como una prioridad de notificación.
En lo que respecta a las denuncias de ransomware, el NPRM de la CISA describe cuatro pasos:
La CISA también explica que el tiempo no excluye la notificación. Por ejemplo, supongamos que su empresa descubre que experimentó un incidente cibernético hace dos años y el incidente continúa. De todos modos, se le exigiría enviar una notificación de incidente cibernético cubierto en virtud de la norma propuesta, ya que el incidente no ha concluido y no se ha mitigado ni resuelto por completo.
Según la CISA, los incidentes notificables excluyen "cualquier evento en el que el incidente cibernético sea perpetrado de buena fe por una entidad en respuesta a una solicitud específica del propietario u operador del sistema de información".
¿Qué son exactamente los escenarios de “buena fe”? Podría tratarse de un proveedor de servicios externo que, actuando dentro de los parámetros de un contrato, configuró incorrectamente los dispositivos de una empresa sin intención, lo que provocó una interrupción del servicio. Otro ejemplo sería una prueba de inserción debidamente autorizada que, sin darse cuenta, da como resultado un incidente cibernético con impactos reales.
Otras exclusiones de buena fe podrían ser incidentes relacionados con pruebas de investigación de seguridad. Es posible que los investigadores hayan sido autorizados para intentar comprometer los sistemas, por ejemplo, de acuerdo con una política de divulgación de vulnerabilidades o programas de recompensas por errores. Dicho esto, la CISA anticipa que estas exenciones rara vez ocurrirán. La investigación de seguridad de buena fe generalmente se detiene en el punto donde se puede demostrar la vulnerabilidad y, por lo general, no debe dar lugar a un incidente real impactante.
En algunos casos, una entidad cubierta, en respuesta a un ransomware genuino u otro incidente malicioso, podría decidir tomar medidas contra sí misma, lo que resultaría en impactos de nivel notificables, como el cierre de sistemas u operaciones. Por ejemplo, una víctima de ataque de ransomware como servicio podría hacer esto para evitar un impacto más amplio debido a un ataque cibernético. Este escenario todavía se considera un incidente cibernético sustancial notificable.
En tal caso, el incidente en sí no se perpetró de buena fe, y los impactos de nivel de umbral no se habrían producido si no hubiera habido un ataque. Por lo tanto, la CISA no consideraría las acciones de la entidad cubierta para cumplir con la excepción de "buena fe". Está claro que la entidad cubierta desencadenó intencionadamente un evento impactante (por ejemplo, poner los sistemas fuera de servicio) en un intento de minimizar el daño potencial de un incidente cibernético. Sin embargo, este tipo de actividad no estaría exenta de los requisitos de notificación.
El debate sobre los requisitos de notificación de ransomware sigue en curso. Y cuando incluso las entidades con una resiliencia cibernética sólida estén en riesgo, las conclusiones finales de la ley CIRCIA estarán en el radar de todos.
