Bank mendorong Kongres untuk memperbarui perlindungan berbagi ancaman dunia maya

Sebuah koalisi asosiasi perdagangan, termasuk lima yang mewakili bank, meminta Kongres untuk melindungi hak perusahaan untuk berbagi informasi ancaman dunia maya.

Kelompok -kelompok baru -baru ini mengirim surat kepada para pemimpin kongres yang meminta reauthorization undang -undang 2015 yang memungkinkan berbagi informasi sukarela tentang ancaman keamanan siber antara lembaga pemerintah, perusahaan dan entitas AS lainnya.

Undang -Undang Berbagi Informasi Cybersecurity (CISA) tahun 2015, yang akan berakhir pada 30 September, mendorong entitas sektor publik dan swasta untuk secara sukarela berbagi informasi ancaman dunia maya oleh perusahaan ganti rugi yang ingin berbagi informasi tersebut dengan perusahaan lain atau dengan lembaga AS termasuk Departemen Keamanan Dalam Negeri (DHS), Departemen Treasury dan Direktur Intelijensi Nasional, yang menjadi 18 Departemen Kecerdasan.

Undang -undang ini menjadi undang -undang pada tahun 2015 sebagai bagian dari RUU pengeluaran omnibus. Obat kembali pada tenggat waktu September jauh dari kesimpulan terdahulu; Sebagai bagian dari upaya Presiden Donald Trump dan Elon Musk, kepala Departemen Efisiensi Pemerintah, pemerintah telah merampingkan banyak fungsi federal, dan keamanan siber tidak terkecuali.

Baru -baru ini, sebagai bagian dari penghentian sejumlah komite penasihat, pemerintah menghilangkan Dewan Penasihat Kemitraan Infrastruktur Kritis. Dewan, bertempat di DHS, memfasilitasi “interaksi antara entitas pemerintah dan perwakilan dari komunitas pemilik dan operator infrastruktur kritis,” menurut Badan DHS yang berfokus pada cybersecurity.

Badan itu, Badan Keamanan Cybersecurity dan Infrastructure, berbagi akronim CISA dengan Undang -Undang Berbagi Informasi. Badan membantu mengimplementasikan undang -undang tersebut, tetapi ditetapkan oleh tindakan terpisah dan melakukan kegiatan lain yang disahkan oleh undang -undang lain, sehingga akan terus beroperasi jika Undang -Undang tersebut tidak diotorisasi ulang.

Dalam surat mereka mengadvokasi reauthorization of CISA, yang dikirim ke minoritas dan pemimpin mayoritas dari kedua kamar Kongres, kelompok -kelompok perdagangan menyoroti peran penting yang dimainkan Undang -Undang dalam melindungi pemerintah dan sektor swasta. Surat itu menunjukkan bahwa CISA menjadi undang -undang setelah pelanggaran Kantor Manajemen Personalia 2015, yang melibatkan pencurian catatan izin keamanan oleh aktor ancaman tingkat lanjut yang berbasis di Cina.

Kelompok perdagangan keuangan yang mewakili sebagian besar sektor ini menandatangani surat itu, termasuk Lembaga Kebijakan Bank, yang terutama mewakili bank yang lebih besar; Bankir Komunitas Independen Amerika, yang mewakili bank komunitas; dan American Bankers Association, yang mewakili bank dari semua ukuran.

Asosiasi Industri Efek dan Pasar Keuangan dan Institut Bankir Internasional, yang keduanya juga mewakili bank, juga masuk ke surat itu, seperti halnya tujuh asosiasi lain yang mewakili utilitas listrik dan sektor lainnya.

Surat itu menekankan meningkatnya kecanggihan dan keparahan ancaman cyber, mengutip serangan baru-baru ini oleh peretas negara-bangsa terhadap infrastruktur kritis AS, terutama sistem telekomunikasi. Badan -badan federal juga telah ditargetkan, seperti yang terlihat dalam pelanggaran luar biasa yang mempengaruhi departemen Keuangan pada tahun 2024 dan insiden 2020 yang melibatkan SolarWinds, Microsoft dan VMware.

Peristiwa ini menggarisbawahi “keharusan untuk terus mendukung berbagi informasi dan kolaborasi informasi publik-publik serta memberikan kejelasan hukum yang saat ini diandalkan oleh perusahaan untuk berbagi informasi ancaman dunia maya dengan perusahaan lain dan lintas sektor,” kelompok perdagangan berpendapat dalam surat itu.

Dalam dekade ini sejak berlalunya, CISA telah “secara bermakna meningkatkan kapasitas dan kecepatan yang dapat kami tanggapi insiden cyber skala besar sambil menetapkan harapan yang jelas untuk privasi dan kerahasiaan,” kata kelompok itu dalam surat itu. Mereka secara khusus menunjuk peran hukum dalam “membangun struktur yang digunakan oleh pembela dunia cyber sektor swasta untuk memberi tahu mitra pemerintah tentang ancaman cyber yang sedang berlangsung dari aktor jahat.”

Yang terpenting, surat itu menggarisbawahi pentingnya perlindungan kewajiban hukum dan pembebasan antimonopoli, yang telah memfasilitasi berbagi informasi cyber antara perusahaan swasta.

Profesional keamanan siber yang membela sektor swasta, termasuk yang ada 16 sektor Itu membentuk infrastruktur kritis negara, “bergantung pada pembagian indikator ancaman dari perusahaan lain untuk memperkuat pertahanan mereka dan melindungi data pelanggan mereka,” dan selang dalam kerangka hukum yang disediakan oleh CISA dapat membatasi berbagi ini, membaca surat itu.

Ketentuan -ketentuan CISA telah dimasukkan dengan mengacu pada undang -undang cyber signifikan lainnya seperti insiden cyber yang melaporkan Undang -Undang Infrastruktur Kritis (Circia), membuat reauthorization mereka semakin kritis, menurut kelompok.

Kelompok-kelompok itu menyimpulkan dengan menyatakan komitmen mereka untuk bekerja dengan Kongres untuk “melestarikan otoritas keamanan nasional utama ini” dan memperingatkan bahwa berakhirnya perlindungan ini “berisiko menciptakan efek mengerikan pada pertukaran informasi kritis ini-membuat kita semua lebih rentan terhadap serangan negara-bangsa dan penjahat cyber bergerak maju.”

Para kritikus CISA mengatakan sebelum perikop undang -undang bahwa undang -undang tersebut tampaknya akan memajukan keamanan siber dan keamanan nasional dengan mengorbankan privasi pengguna. Misalnya, Think Tank-Tank Right R Street Institute menentang undang-undang pada tahun 2015 dengan alasan bahwa itu terlalu luas dan memiliki bahasa yang tidak jelas.

“In effect, the bill aims to sidestep search warrants and other pesky due-process limitations on government by giving technology companies a motive to ‘share’ what it calls ‘cyber threat indicators’ to the Department of Homeland Security,” argued Mike Godwin, who at the time was a distinguished senior fellow at R Street, in dan 2015 on-ed.

Yang lain telah mengkritik tindakan tersebut dari sisi yang berlawanan, dengan mengatakan definisi kecerdasan yang dapat dibagikan harus diperluas. Misalnya, Bert Lathrop, seorang pengacara untuk firma hukum Holland & Knight, berpendapat dalam sebuah artikel 2020 untuk Jurnal Hukum University of California di San Francisco bahwa Kongres harus mengubah CISA untuk mengesahkan perusahaan swasta untuk berbagi data pengamatan mentah di antara mereka, bukan hanya intelijen ancaman cyber dan langkah -langkah defensif.

Data pengamatan mentah adalah jejak bukti aktivitas pada sistem dan jaringan organisasi, tanpa penilaian risiko atau atribusi. Ancaman intelijen adalah hasil dari analisis terperinci dari data ini, cukup untuk menarik penilaian potensi risiko atau ancaman. Langkah -langkah defensif adalah rincian bagaimana bertahan melawan ancaman tertentu.

Mengizinkan entitas swasta untuk berbagi lebih banyak data cybersecurity mentah – daripada hanya langkah -langkah defensif dan intelijen ancaman – akan memungkinkan mereka untuk melatih model AI pada jumlah data yang lebih besar yang dapat lebih efektif mengidentifikasi dan membedakan ancaman dunia maya, menurut Lathrop.

Mengizinkan perusahaan swasta untuk membagikan data ini “akan sama dengan menyinari lampu-lampu terang pada semua langkah kaki di salju yang tersisa di atau dekat semua sistem pertahanan kastil dari mereka yang memilih untuk berbagi (data mentah), sehingga memungkinkan cyber-analysts untuk mengamati pergerakan calon penjahat cyber saat mereka melakukan pra-serangan pra-serangan,” Lathrop saat mereka melakukan pra-serangan pra-serangan, “Lathrop saat mereka melakukan perawat pra-serangan, Lathrop saat mereka melakukan penuntutan pra-serangan,” menulis dalam artikel tersebut.