|
Il direttore della Cybersecurity and Infrastructure Security Agency Jen Easterly testimonia davanti a un sottocomitato per la sicurezza interna della Camera. |
La criminalità informatica accresciuta e le registrazioni incomplete delle segnalazioni riguardano i ricercatori della sicurezza informatica in un momento in cui non è chiaro quali siano gli Stati Uniti l’agenzia federale dovrebbe assumere un ruolo guida nella creazione di regole complete di violazione informatica e divulgazione degli incidenti.
C’erano 1.291 dati compromessi pubblicamente negli Stati Uniti nei primi nove mesi di quest’anno, secondo l’Identity Theft Resource Center, un’organizzazione no-profit che supporta le vittime di reati di identità. A quel ritmo, è improbabile che i numeri del 2022 superino il record di 1.862 violazioni dei dati segnalate l’anno scorso. In particolare, tuttavia, il numero di violazioni dei dati senza informazioni sulla causa principale è cresciuto dal quarto trimestre del 2021, raggiungendo il 37% di tutte le compromissioni di dati note in quel periodo. I ricercatori hanno espresso preoccupazione per il fatto che è probabile che questa tendenza continui nel prossimo anno.
Sebbene i legislatori e le autorità di regolamentazione abbiano adottato misure per migliorare la protezione dei dati degli americani, non è chiaro come e quando le organizzazioni interessate debbano notificare al pubblico gli incidenti informatici o le violazioni. Gli incidenti informatici compromettono l’integrità dei dati, mentre le violazioni comportano l’accesso non autorizzato ai dati. Attualmente, almeno tre agenzie statunitensi – la Federal Trade Commission, la Securities and Exchange Commission e la Cybersecurity and Infrastructure Security Agency – hanno potenzialmente almeno una certa autorità per stabilire requisiti sulle notifiche di divulgazione.
“Non invidio le persone che devono risolvere alcune di queste idee di implementazione difficili”, hanno detto Robert Sheldon, direttore delle politiche pubbliche e della strategia di CrowdStrike Holdings Inc., una società di sicurezza informatica.
Regole mirate
Il Congresso ha approvato una legge a marzo che richiede alla Cybersecurity and Infrastructure Security Agency, o CISA, di elaborare regole per le notifiche di violazione. Tuttavia, la legge è limitata alle entità che possiedono o gestiscono infrastrutture critiche.
Sheldon di CrowdStrike ha affermato che CISA è la migliore agenzia per creare regole complete grazie al suo ruolo nel coinvolgimento degli stakeholder della sicurezza informatica, ma molte organizzazioni hanno bisogno dell’aiuto di società del settore privato come CrowdStrike per implementare le protezioni.
Un’indagine di 451 Research tra dirigenti IT senior ha rilevato che la maggior parte delle aziende si affida alla propria infrastruttura di monitoraggio della sicurezza per scoprire se le proprie soluzioni cloud in hosting sono state violate. Secondo “Voice of the Enterprise: Information Security, Budgets & Outlook 2022”, il 54,6% degli intervistati ha affermato che la propria infrastruttura di monitoraggio della sicurezza è il modo più probabile per venire a conoscenza di una violazione, mentre il 37,3% ha affermato di aspettarsi che il proprio provider cloud lo riveli qualsiasi violazione. Circa il 6,4% ha affermato di aspettarsi che terze parti, come l’FBI, li informassero.
Legislazione vs. regolamento
Un altro disegno di legge relativo alla divulgazione delle informazioni, l’American Privacy and Data Protection Act, rimane bloccato al Congresso mentre i legislatori discutono se la legislazione federale sulla privacy omnibus debba anticipare le leggi dei singoli stati. Se approvato, il disegno di legge indirizzerebbe la FTC a creare una moltitudine di regole per proteggere i dati dei consumatori, inclusa la richiesta di procedure “per rilevare, rispondere o recuperare da incidenti o violazioni della sicurezza”.
Nel frattempo, la FTC sta portando avanti una regolamentazione sulla sorveglianza commerciale che chiede quando e come le entità dovrebbero divulgare le violazioni dei dati e quest’anno la SEC ha lanciato una regolamentazione che richiederebbe alle società pubbliche di divulgare gli incidenti informatici entro quattro giorni dall’apprendimento dell’attacco.
“[Those agencies] vogliono trasformare la sicurezza informatica in un problema di cui il mercato deve essere a conoscenza”, ha affermato Daniel Felz, avvocato per la privacy e la sicurezza dei dati presso lo studio legale Alston & Bird, in riferimento alle normative FTC e SEC.
La coppia di normative, in particolare la normativa SEC che richiede alle società pubbliche di segnalare incidenti, stabilirebbe un nuovo precedente per le regole di divulgazione. Tale trasparenza aiuterebbe i consumatori interessati a contenziosi quando i loro dati sono stati rubati e aiuterebbe gli investitori nel processo decisionale, ha affermato Felz.
Diritto di (in)azione
Sebbene vi sia un supporto generale per una maggiore regolamentazione o legislazione sulla sicurezza informatica, i legislatori e i leader aziendali rimangono divisi sulle questioni chiave che circondano la questione, ha affermato M. Kurt Alaybeyoglu, direttore senior dei servizi di sicurezza informatica e conformità presso Strive Consulting. Queste domande includono quale agenzia o agenzie applicherebbero una determinata legge, come verrebbero segnalate le violazioni e se i consumatori potrebbero citare in giudizio direttamente le aziende che subiscono attacchi.
L’American Privacy and Data Protection Act include una clausola di diritto privato di azione, che consentirebbe ai consumatori di intentare una causa se sono danneggiati dal mancato rispetto da parte di una piattaforma delle regole stabilite nel disegno di legge. In origine, il progetto di legge prevedeva una finestra di quattro anni prima che potesse essere intentata qualsiasi azione legale, dando alle aziende il tempo di conformarsi. A seguito delle denunce di Il presidente della commissione per il commercio del Senato Maria Cantwell, Washington, quella finestra è stata ridotta a due anni. I rappresentanti delle imprese sostengono che la disposizione potrebbe aprire la porta a cause legali costose e dispendiose in termini di tempo.
Per ora, l’approccio patchwork alle divulgazioni rimane. Per quanto riguarda quando gli americani possono aspettarsi un’ampia legge sulla segnalazione degli attacchi informatici, Alaybeyoglu di Strive ha affermato che prima dovrà verificarsi un attacco informatico più pericoloso delle attuali violazioni e incidenti che fanno notizia.
“Finché non ci sarà un effetto tangibile sulla vita quotidiana degli americani al di fuori degli effetti legati all’identità e alla moneta, il Congresso sarà più che disposto a lasciare che questo mentisca”, Alaybeyoglu disse.
451 Research fa parte di S&P Global Market Intelligence.