Согласно уведомлению о предлагаемом нормотворчестве, Агентство кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности предлагает всеобъемлющую структуру отчетности о киберинцидентах в 16 важнейших секторах. опубликовано в Федеральном реестре (PDF) в среду.
CISA заявила, что предоставит 60 дней для письменных комментариев общественности, когда предлагаемое правило будет опубликовано 4 апреля.
ПОЧЕМУ ЭТО ВАЖНО
Разработанные агентством безопасности предлагаемые правила сообщения о киберинцидентах последовали за принятием закона. Отчеты о киберинцидентах для Закона о критической инфраструктуре 2022 годаили ЦИРЦИЯ.
Затрагиваемые организации должны будут начать сообщать о киберинцидентах в соответствии с CIRCIA в соответствии с окончательным правилом, которое, по словам CISA, оно планирует опубликовать в течение 18 месяцев после окончания периода комментариев.
В то время предлагаемое правило предлагает отраслевые критерии, в качестве примера которых можно привести производство медицинского оборудования. CISA предлагает структуру критериев на основе организаций после рассмотрения сферы действия этих требований в различных альтернативных сценариях, сообщило агентство.
В соответствии с предлагаемыми отраслевыми критериями CISA предлагает определенные типы объектов, выполняющих определенные функции, которые расширят определение охватываемой организации на всю организацию.
Например, «критерии, основанные на секторах здравоохранения и общественного здравоохранения, будут включать, среди прочего, предприятия, производящие любые медицинские устройства класса II или III», — заявили в CISA.
Однако, хотя критерии фокусируются на определенных типах объектов «как на основе определения того, является ли предприятие объектом страхования, CISA предлагает, чтобы объектом страхования была вся организация (например, корпорация, организация), а не отдельный объект или функция». субъект”, – сообщили в ведомстве.
Если бы отчетность ограничивалась инцидентами, которые затрагивают только конкретные объекты или функции, определенные в отраслевых критериях, способность агентства проводить анализ угроз кибербезопасности и тенденций для конкретного сектора «может быть невозможна», заявили в CISA.
Это означает, что если застрахованная организация столкнется с серьезным киберинцидентом или выплатит выкуп за любую функцию или объект, это приведет к обязательному сообщению о киберинциденте.
Согласно предложению, отчетность потребуется даже в том случае, если инцидент не затрагивает отраслевое учреждение, например, производителя медицинского оборудования класса II или III, сообщает CISA.
«Аналогично, если организация производит медицинские устройства класса II или III, в дополнение к другим функциям, которые не соответствуют одному из отраслевых критериев, вся организация является охватываемой организацией, и любой существенный киберинцидент, с которым сталкивается любая часть организации необходимо будет сообщить», — заявили в CISA.
В почти 500-страничном документе, разработанном за два года, CISA объясняет альтернативы, которые оно рассматривало, и почему каждый из них был отклонен.
Например, в Альтернативе 4 «Увеличить затронутое население до всех объектов критической инфраструктуры» CISA заявила, что расширила описание охватываемых организаций, включив в нее «все организации», работающие в 16 секторах критической инфраструктуры.
«В соответствии с этой альтернативой, затронутое население увеличится с 316 244 охваченных организаций до 13 180 483 охваченных организаций, что увеличит количество ожидаемых отчетов CIRCIA с 210 525 до 5 292 818 за период анализа».
«Это значительно увеличит затраты для промышленности, которые оцениваются в 31,8 миллиарда долларов за анализируемый период, или 3,5 миллиарда долларов в годовом исчислении со скидкой 2%», – заявили в CISA.
В разделе здравоохранения CISA рассмотрела существующие правила кибербезопасности, которые уже требуют отчетности в различные агентства, включая Управление по контролю за продуктами и лекарствами и Министерство здравоохранения и социальных служб.
«Принимая во внимание широкую важность этого сектора для общественного здравоохранения, разнообразный характер субъектов, входящих в этот сектор, историческую направленность сектора и нынешнее отсутствие необходимой отчетности, не связанной с утечками данных или медицинскими устройствами, CISA предлагает требовать отчетности от нескольких части этого сектора”, – сказали в агентстве.
В предлагаемом правиле CISA уделяет особое внимание отчетности больниц, а не всех типов учреждений, обеспечивающих уход за пациентами, «поскольку они обычно оказывают наиболее неотложную помощь этим различным типам организаций, а пациенты и сообщества полагаются на них, чтобы оставаться в рабочем состоянии, в том числе перед лицом киберинцидентов, влияющих на их устройства, системы и сети, чтобы обеспечить их функционирование».
Чтобы еще больше защитить оказание медицинских услуг, CISA также расширило новые требования к коммунальным предприятиям, влияющим на уход за пациентами, например, к сектору водоснабжения и водоотведения.
БОЛЬШОЙ ТРЕНД
Исследования показали, что половина атак программ-вымогателей нарушили оказание медицинской помощи. Помимо взлома защищенных данных, распространенные сбои в оказании медицинской помощи включали простои электронных систем, отмену плановой помощи и перенаправление машин скорой помощи.
Прежде чем предложить правила сообщения о киберинцидентах, CISA объявила о создании своей Пилотный проект предупреждения об уязвимостях программ-вымогателейпрограмма, требуемая CIRCIA, в прошлом году.
Цель программы — использовать существующие инструменты CISA, такие как служба сканирования уязвимостей Cyber Hygiene, для смягчения воздействия программ-вымогателей и предупреждения организаций, подвергающихся риску.
«Многие из этих инцидентов совершаются злоумышленниками-вымогателями, использующими известные уязвимости», — говорится в FAQ по программе RVWP CISA. «Срочно исправив эти уязвимости, организации могут значительно снизить вероятность возникновения событий, связанных с программами-вымогателями».
ПОД ЗАПИСЬ
«При разработке предлагаемого правила CISA искала подход, который обеспечил бы наилучший баланс между качественными выгодами и затратами, связанными с внедрением правила», — говорится в сообщении агентства в NOPR.
«При установлении этих предложенных критериев CISA также рассмотрела возможность включения критериев, касающихся компаний медицинского страхования, поставщиков медицинских ИТ и организаций, управляющих лабораториями или другими медицинскими диагностическими учреждениями», – добавили в нем. «В конечном итоге CISA решила, что нет необходимости включать конкретные отраслевые критерии для любого из этих трех сегментов отрасли».
Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.
2024-03-28 14:43:30
1711913131
#Предлагаемое #правило #CISA #потребует #отчетности #киберинцидентах #выплате #выкупа