¿Qué ha sido de la Ley de Revelación de Rescates y de sus obligaciones?
Sí, la vida del cumplimiento normativo se complica cada vez más a medida que un sector tras otro se ve acosado por nuevos requisitos de cumplimiento. Todo es por una buena razón, por supuesto, pero es alarmante cada vez que aparece algo nuevo.
Ese fue el caso cuando a finales de 2021 surgió la noticia de que la representante Deborah Ross y la senadora Elizabeth Warren habían redactado la Ley de Divulgación de Rescates, que era un intento de introducir una ley que obligara a las empresas a declarar los pagos por ransomware al Departamento de Seguridad Nacional de Estados Unidos.
¿Qué ha pasado con este requisito de divulgación y qué otros requisitos de divulgación del ransomware deben tener en cuenta las empresas?
En este artículo, examinaremos la propuesta de Ley de Divulgación de Rescates junto con algunos otros intentos de crear leyes federales de divulgación de ransomware. También examinaremos rápidamente dónde más encontrará requisitos de divulgación de ransomware.
Tenga en cuenta que esto no es en absoluto un examen exhaustivo de los requisitos de divulgación del ransomware. El sector en el que operas, los contratos con tus clientes y tus pólizas de seguros pueden tener requisitos específicos sobre la divulgación de ataques y pagos por ransomware. Consulte siempre a un asesor jurídico para asegurarse de que está al día de los requisitos de cumplimiento que se le aplican.
Propuesto, pero nunca convertido en ley
Presentada el 5 de octubre de 2021, la Ley de Divulgación de Rescates es una propuesta de ley estadounidense que pretendía contrarrestar las amenazas de ransomware exigiendo a las organizaciones que revelaran los detalles sobre los pagos de rescates en las 48 horas siguientes al pago.
Esto incluye la cantidad pagada, la moneda utilizada y cualquier información conocida sobre los atacantes. La información se comunicaría al Departamento de Seguridad Nacional (DHS), que también estaría obligado por la nueva ley a hacer pública esta información anualmente y a realizar un estudio sobre los patrones del ransomware y el papel de la criptomoneda.
La ley se consideró un paso adelante en la comprensión de la magnitud del problema del ransomware y, potencialmente, en la elaboración de nueva legislación.
Sin embargo, a pesar de que se puede leer sobre la ley en algunos sitios web de tecnología, y a pesar de que algunos de estos contenidos están redactados como si la Ley se hubiera convertido en ley, la Ley siguió siendo una propuesta y nunca recibió la aprobación de la Cámara de Representantes ni del Senado.. (No es la primera vez que una propuesta de ley en torno a la divulgación del ransomware no llega a convertirse en ley).
Se aprueba otra obligación de información
Eso no quiere decir que no haya habido movimiento en el frente legal cuando se trata de exigir la divulgación del ransomware. En marzo de 2022, el Presidente Biden promulgó un proyecto de ley más específico que se aplica a las organizaciones que gestionan infraestructuras nacionales críticas (CNI).
Esta ley introduce nuevos e importantes requisitos de información en materia de ciberseguridad para las empresas de los sectores de la sanidad, los servicios financieros, la energía, el transporte y las instalaciones comerciales. Estas se consideran "entidades cubiertas", que ahora tienen cuatro obligaciones de información:
- Cualquier entidad cubierta que experimente un "ciberincidente cubierto" debe notificar el incidente a la CISA en un plazo de 72 horas desde que la entidad crea razonablemente que se ha producido el incidente.
- Una entidad cubierta que realice un pago de rescate debido a un ataque de ransomware debe informar del pago a CISA en un plazo de 24 horas desde que se realiza el pago del rescate
- Si se dispone de información sustancial nueva o diferente, por ejemplo, el pago de un rescate después de presentar un informe sobre un ciberincidente cubierto, la entidad deberá presentar una actualización.
- Las entidades cubiertas deben conservar los datos pertinentes al incidente cibernético cubierto o al pago del rescate.
Por lo tanto, si usted opera dentro de CNI, ahora está cubierto por la ley federal y necesita informar de los ataques de ransomware y los pagos de ransomware dentro de un plazo estricto.
Pros y contras de la denuncia forzosa
Puede haber muchas razones por las que la legislación sobre divulgación de ransomware no haya llegado a convertirse en ley. Al fin y al cabo, la obligación de informar tiene muchas ventajas.
La obligación de informar por parte de las víctimas resuelve el problema de acción colectiva que supone no informar de los incidentes de ransomware: informar de los detalles de los incidentes favorece el bien público al proporcionar información para la persecución de las bandas de ransomware y la defensa contra futuros ataques.
Las instrucciones de pago proporcionadas en los informes pueden ayudar a las fuerzas de seguridad a recuperar los pagos de rescates y a rastrear las transacciones, y los informes pueden conducir a indicadores de compromiso para bandas específicas de ransomware, ayudando a las investigaciones.
Pero hay un par de problemas. La calidad de los datos notificados podría variar y los mandatos de notificación pueden dar lugar a que los atacantes utilicen los datos exfiltrados como mecanismo coercitivo, lo que provocaría más sufrimiento para las víctimas y sus clientes, o un aumento de la demanda de rescate.
Existen lagunas e incertidumbres en cuanto a los requisitos de notificación para intermediarios, compañías de seguros, empresas multinacionales y normas de notificación que varían según las entidades. Las víctimas podrían tener que tomar decisiones difíciles: arriesgarse a la filtración de datos acudiendo a la policía o pagar una sanción por no informar.
¿Qué pasa con otros requisitos de divulgación de ransomware?
Aquí la cosa se complica porque las necesidades de divulgación están por todas partes. Es necesario buscar asesoramiento jurídico para ver si su organización se enfrenta a una sanción por no revelar un ataque de ransomware.
Por ejemplo, a finales de 2021, el Departamento de Justicia (DOJ) anunció que iniciaría acciones legales civiles contra los contratistas federales que no informen de ciberataques o violaciones de datos. Esto forma parte de la Iniciativa Civil contra el Ciberfraude.
La iniciativa hará uso de la actual Ley de Reclamaciones Falsas para combatir el fraude relacionado con la ciberseguridad por parte de contratistas y beneficiarios de subvenciones de la Administración. Los contratistas federales serán considerados responsables de suministrar a sabiendas productos o servicios de ciberseguridad defectuosos y de no supervisar y notificar incidentes y violaciones de la ciberseguridad, lo que incluiría los ataques de ransomware.
Además, la SEC tiene requisitos de divulgación de ciberseguridad que requieren que las empresas públicas (empresas que cotizan en bolsa) informen de incidentes materiales de ciberseguridad dentro de los cuatro días hábiles siguientes a la determinación de que se ha producido un incidente. Eso también incluiría incidentes de ransomware - de hecho, la SEC multó a multó a Blackbaud con 3 millones de dólares por una divulgación engañosa..
Para las entidades cubiertas por la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la presencia de ransomware se considera un incidente de seguridad. Estas entidades están obligadas a iniciar procedimientos de notificación cuando se detecta ransomware.
También puede encontrarse, por ejemplo, con que necesita cumplir con los requisitos de divulgación de ransomware en virtud de sus pólizas de seguros. Por ejemplo, algunas pólizas exigen que las empresas notifiquen a su aseguradora en un plazo determinado después de que se produzca un ataque de ransomware si tiene intención de presentar una reclamación con éxito.
Independientemente de los requisitos: esté preparado para responder
Los ataques de ransomware sonuna amenaza creciente. Sin un plan integral de respuesta al ransomware, las organizaciones corren el riesgo de sufrir graves interrupciones operativas, pérdidas financieras y daños a su reputación. Una estrategia bien preparada no solo ayuda a una rápida recuperación, sino que también garantiza la continuidad del negocio y preserva la confianza de los clientes.
Para ayudarle a prepararse y mitigar estas amenazas, le animamos a descargar nuestro whitepaper Cómo recuperarse del ransomware.
Este recurso proporciona información sobre las mejores prácticas para responder a este tipo de ataques, así como medidas proactivas para prevenirlos. Dé el primer paso para mejorar la preparación de su organización frente al ransomware y descárguelo aquí ahora.