ClickCease 贖金披露法怎麼了?

目錄

加入我們的熱門時事通訊

加入 4,500+ Linux 和開源專業人士!

每月2次。沒有垃圾郵件。

《贖金披露法》發生了什麼變化——以及您的義務?

斯蒂芬·文特爾

實施期間: 2023年6月 6 日 - 技術佈道者

是的,隨著一個又一個行業受到新的合規要求的打擊,合規生活變得越來越複雜。當然,這一切都是有充分理由的,但每當有新的東西出現時,這都是令人震驚的。

2021 年底有消息稱,眾議員黛博拉·羅斯和參議員伊莉莎白·沃倫起草了《贖金披露法》,該法案試圖引入一項法律,迫使企業向美國國土安全部申報勒索軟體付款。 

此披露要求發生了什麼變化 - 公司還應注意哪些其他勒索軟體披露要求?

在本文中,我們將介紹擬議的贖金披露法案以及其他一些創建聯邦勒索軟體披露法的嘗試。我們還將快速檢查您還能在哪裡找到勒索軟體披露要求。 

請注意,這絕不是對勒索軟體披露要求的徹底檢查。您經營的行業、您與客戶的合同以及您的保險單可能對披露勒索軟體攻擊和付款有特定要求。請務必諮詢法律建議,以確保您瞭解適用於您的合規性要求的最新情況。

 

提出,但從未簽署成為法律

 

《贖金披露法於 2021 年 10 月 5 日推出是一項擬議的美國法律,旨在通過要求組織在支付贖金后 48 小時內披露有關贖金支付的詳細資訊來應對勒索軟體威脅。

這包括支付的金額、使用的貨幣以及有關攻擊者的任何已知資訊。這些資訊將報告給國土安全部(DHS),新法律還要求國土安全部每年公開報告這些資訊,並對勒索軟體模式和加密貨幣的作用進行研究。 

該法案被視為瞭解勒索軟體問題規模並可能為進一步立法提供資訊的一步。 

然而,儘管你可能會在一些技術網站上讀到該法案,即使其中一些內容的措辭好像該法案已經簽署成為法律,但該法案仍然是一個提案,從未得到眾議院和參議院的批准。(這不是第一次圍繞勒索軟體披露的擬議法案沒有成為法律。

 

另一項披露要求確實成為法律

 

這並不是說在要求勒索軟體披露方面在法律方面沒有任何進展。2022 年 3 月,拜登總統簽署了一項重點更窄的法案成為法律,該法案適用於運營關鍵國家基礎設施 (CNI) 的組織。

該法案為醫療保健、金融服務、能源、運輸和商業設施的企業引入了重要的新網路安全報告要求。這些被視為「涵蓋實體」,現在有四項報告義務:

  • 任何遇到「涵蓋網路事件」的受保實體必須在該實體合理相信事件發生后的 72 小時內向 CISA 報告該事件 
  • 因勒索軟體攻擊而支付贖金的受保實體必須在支付贖金后 24 小時內向 CISA 報告付款 
  • 如果出現大量新的或不同的資訊,例如在提交涵蓋的網路事件報告后支付贖金,實體必須提交更新  
  • 涵蓋實體必須保留與涵蓋的網路事件或贖金支付相關的數據

因此,如果您在 CNI 內運營,您現在受聯邦法律保護,需要在嚴格的時間內報告勒索軟體攻擊和勒索軟體付款。

 

強制報告的利弊

 

某些勒索軟體披露立法沒有成為法律的原因可能有很多。畢竟,在強制報告方面有很多優勢。 

強制受害者報告克服了少報勒索軟體事件的集體行動問題:報告事件詳細資訊通過為起訴勒索軟體團夥和防禦未來攻擊提供資訊來支援公共利益。

報告中提供的付款說明可以説明執法部門追回贖金和跟蹤交易,報告可能會導致特定勒索軟體團夥的入侵指標,從而有助於調查。

但是有幾個問題。報告數據的品質可能會有所不同,報告任務可能會導致攻擊者使用洩露的數據作為執行機制,從而給受害者及其客戶帶來更多痛苦,或增加贖金需求。 

仲介機構、保險公司、跨國公司的報告要求以及不同實體的報告標準也存在漏洞和不確定性。受害者可能面臨艱難的選擇:冒著數據洩露的風險報警或因不報告而支付罰款。

 

其他勒索軟體披露要求呢?

 

這裡變得混亂,因為披露需求無處不在。您需要尋求法律建議,以查看您的組織是否因未披露勒索軟體攻擊而面臨處罰。

例如,在 2021 年底,司法部 (DOJ) 宣佈將對未能報告網路攻擊或數據洩露的聯邦承包商提起民事法律訴訟。這是民事網路欺詐倡議的一部分。

該倡議將利用現有的《虛假申報法》來打擊政府承包商和贈款接受者與網路安全相關的欺詐行為。聯邦承包商將對故意提供有缺陷的網路安全產品或服務以及未能監控和報告網路安全事件和違規行為(包括勒索軟體攻擊)負責。 

此外,美國證券交易委員會有網路安全披露要求,要求上市公司(在證券交易所上市的公司)在確定事件發生后的四個工作日內報告重大網路安全事件。這也包括勒索軟體事件 - 事實上,美國證券交易委員會誤導性披露而對Blackbaud處以300萬美元的罰款

對於《健康保險流通與責任法案》(HIPAA) 涵蓋的實體,勒索軟體的存在被視為安全事件。當檢測到勒索軟體時,這些實體需要啟動報告程式。

例如,您可能還會發現您需要遵守保險單中的勒索軟體披露要求。例如,如果您打算成功提出索賠,某些保單要求公司在勒索軟體攻擊發生后的某個時間範圍內通知其保險公司。

 

無論要求如何 – 隨時準備回應

 

勒索軟體的攻擊是一個日益嚴重的威脅。如果沒有全面的勒索軟體回應計劃,組織將面臨嚴重的運營中斷、財務損失和聲譽受損的風險。精心準備的戰略不僅有助於快速恢復,還可以確保業務連續性並保持客戶信任。 

為了説明您防範和緩解這些威脅,我們建議您下載我們的白皮書 如何從勒索軟體中恢復

此資源提供有關回應此類攻擊的最佳做法以及防止此類攻擊的主動措施的見解。邁出增強組織勒索軟體準備的第一步,並 立即在此處下載

總結
《贖金披露法》發生了什麼變化——以及您的義務?
文章名稱
《贖金披露法》發生了什麼變化——以及您的義務?
描述
讓我們看看擬議的贖金披露法案和其他一些制定聯邦勒索軟體披露法的嘗試。
作者
發行者名稱
燕尾服護理
發行者徽標

希望在不重新啟動內核、系統停機或計劃維護窗口的情況下自動修補漏洞?

瞭解TuxCare的即時修補

成為TuxCare客座作家

開始使用

郵件

加入

4,500

Linux和開源
專業人士!

訂閱
我們的時事通訊
郵件

加入

4,500

Linux和開源
專業人士!

訂閱
我們的時事通訊
緊密聯繫