United States flag at US Capitol

CISA 2015 Cyber ​​Threat Info-Sharing Law Lapses au milieu de la fermeture du gouvernement

Lucas Morel

L’expiration d’une loi historique de la loi sur la cybersécurité supprime les protections de responsabilité pour le partage d’informations sur le cyber-menace, laissant les cyber-défenses plus faibles jusqu’à la loi sur les législateurs.

Il y a dix ans, le Congrès a adopté un grand projet de loi sur la cybersécurité appelée la Cybersecurity Information Sharing Act of 2015 (CISA 2015) pour permettre au gouvernement fédéral de collecter et de diffuser les informations sur les menaces, tout en permettant aux entités du secteur privé de partager volontairement ces informations avec le gouvernement et entre elles, protégées contre les ramdifications légales ou réglementaires négatives.

La CISA 2015 devait expirer le 30 septembre 2025. Maintenant, malgré de nombreux efforts à la fois à la Chambre et au Sénat, et même avec le soutien de l’administration Trump, le secteur de la cybersécurité et les deux côtés de l’allée, la CISA 2015 a expiré parce qu’elle n’a pas été étendue au milieu des chaos législatifs et politiques qui ont conduit à un objet gouvernemental américain.

Par conséquent, les défenseurs de la cybersécurité ont perdu la protection de la responsabilité du partage d’informations que le projet de loi a fourni, et le gouvernement a perdu beaucoup de visibilité dans les menaces émergeant dans le secteur privé. Compte tenu de l’environnement partisan surchauffé à Washington, on ne sait pas à quelle vitesse ou quand le Congrès reviendra à l’extension de la CISA 2015 ou pendant combien de temps.

Ce que CISA 2015 a fourni

La CISA 2015 a explicitement autorisé les entités privées à prendre certaines mesures défensives pour arrêter les cyberattaques, pour surveiller leurs propres réseaux et leurs clients pour les cyber-menaces – avec autorisation écrite et consentement – et partager des indicateurs de cyber-menaces pour fournir une meilleure détection et une meilleure réponse aux cybermenaces.

Il a fourni une protection contre la responsabilité légale de la façon dont le secteur privé, qui possède la majeure partie de l’infrastructure critique aux États-Unis, partage des informations sur les menaces avec le gouvernement américain et les pairs du secteur privé. De plus, il a fixé des limites à la façon dont les informations partagées peuvent être utilisées et ont fourni plusieurs protections contre la divulgation indésirable.

Parmi les protections offertes par la législation figuraient:

  • Exemptions de la responsabilité anti-trust
  • Exemptions de la divulgation en vertu de la FOIA et des lois sur le soleil d’État
  • Applicabilité continue des privilèges et protections, y compris les protections secrètes pour les informations partagées
  • Protection continue des informations partagées en tant qu’information commerciale, financière et propriétaire d’une entité non fédérale lorsqu’elle est ainsi désignée
  • Exemptions des règles limitant ou communications informelles avec des responsables fédéraux
  • Protections de responsabilité large pour les efforts de partage d’informations entrepris qui sont conformes aux lois

Que se passe-t-il ensuite et que devraient faire les CISO?

La plupart des observateurs de Capitol Hill pensent que, compte tenu du large soutien que CISA 2015 a reçu, le Congrès trouvera inévitablement une solution qui met fin à la fermeture du gouvernement et, ce faisant, passera au moins une extension temporaire de la CISA 2015.

« Il pourrait y avoir juste une fenêtre à court terme où ils le déconnecteront et essaient ensuite de déterminer l’extension plus longue », explique Jones de Darktrace. «Pour le moment, la proposition est de 10 ans, ce qui, je pense, a plus de sens, mais je pense que les gens chercheront à lui donner un arrêt temporaire.»

La vraie question est de savoir combien de temps il faudra au Congrès pour prolonger la CISA 2015. Les experts soulignent que les dommages à la cybersécurité américaine d’une lance dans la CISA 2015 sont directement corrélés avec la durée de sa durée. « Si c’est une courte fenêtre, je ne pense pas qu’il y aura beaucoup d’impact », explique Hamilton de Lumifi.

Schwartz de Venable pense que la situation deviendra de plus en plus problématique que le Congrès plus long attend d’agir. «Si cela fait deux jours, ce ne sera pas si percutant pour les entreprises», dit-il. «Si cela se déroule pendant un certain temps, ne pas avoir cette disposition aura un impact.»

« C’est une chose s’il y a un incident et que les gens ne partagent pas d’informations sur l’incident pendant une journée parce que leurs avocats ont dit: » Attendons et voyons ce qui se passe demain «  », a déclaré Schwartz. « Si tout le monde commence à le faire plus d’un mois, cela devient plus problématique. »

Schwartz pense également que les organisations qui opéraient sous négociation des dispositions de partage d’informations avant le passage de la CISA pour 2015 pourraient mieux s’en tirer, car elles ont des cadres juridiques existants sur lesquels se rabattre. «Si cela a été fait avant 2015, vous avez des accords de partage qui sont probablement toujours en place pour les ISAC», dit-il, se référant aux centres de partage d’informations et d’analyse. « Il peut y avoir certaines choses qu’ils doivent mettre à jour un peu, mais ce n’est pas tant. »

L’impact de la lance de la loi variera également le secteur par secteur. « Pour certains secteurs, ce sera beaucoup moins que les autres secteurs qui ne partagent pas auparavant, n’avaient pas les accords en place ou ne travaillaient pas sur les accords », souligne Schwartz. « Ce sera beaucoup de travail pour eux. »

Cependant, Schwartz conseille aux CISO de travailler en étroite collaboration avec des conseils internes ou externes avant les futurs efforts de partage d’informations de peur qu’ils ne soient tenus responsables de tout faux pas légal.

«Vous devez aller chez les avocats», dit-il. « Vous avez besoin de critiques juridiques. Si vous êtes un CISO, vous devez vous rendre chez votre avocat intérieur et leur dire: » Nous avons entendu que cette loi ne soit pas adoptée, et nous voulons nous assurer que nous ne faisons rien qui allait donner à la responsabilité de l’entreprise. «  »

Ce niveau d’examen juridique ralentira sans aucun doute tout partage des menaces d’éventuelles techniques de défense. «Les avocats vont l’examiner et examineront les types de partage qui se sont déroulés, quelles lois pourraient être violées et s’il y a des accords en place pour ce qui lui arrive de l’autre côté», explique Schwartz.

Il ajoute: «Il y aura toujours du partage d’informations, mais nous avons fait plusieurs pas en arrière.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Office Table of a Businessman with Office Supplies, Laptop Computer, Mobile Phone and a Cup of Coffee on Top.
Des centaines de systèmes Ivanti EPM exposés en ligne suite à la correction d’une faille critique
System engineers collaborating on coding project, discussing about programming algorithm for new cloud computing user interface. Diverse team of software developers running database system code.
Comment les ingénieurs en sécurité Staff+ peuvent-ils multiplier leur impact ?
KI-Browser prend en charge les services
KI-Browser prend en charge les services