Eines der schmutzigen kleinen Geheimnisse vieler, vielleicht sogar der meisten Unternehmen ist, dass sie mehr denn je akzeptieren, gehackt worden zu sein. Andere zahlen am Ende für Ransomware, haben dieses tiefe und dunkle Geheimnis jedoch nie entdeckt. Denn wer will schon vor der Welt und seinen Kunden akzeptieren, dass er mit heruntergelassener Sicherheitshose erwischt wurde?
Nun, die Dinge werden sich bald ändern. In dem kürzlich unterzeichneten staatlichen Finanzierungsgesetz in Höhe von XNUMX Billionen US-Dollar verpflichten neue Cybersicherheitsgesetze Unternehmen dazu, Datenschutzverletzungen und Ransomware-Zahlungen schnell zu melden.
Hoppla!
Natürlich sollten Sie Cyberkriminalität weiterhin beim Internet Crime Complaint Center (IC3) des FBI, der nächstgelegenen FBI-Außenstelle, oder bei FBI Tips melden. Aber wie viele haben das wirklich getan?
Nach Angaben des Justizministeriums (DoJ) akzeptiert nur jedes siebte Opfer von Cyberkriminalität, dass ihm Schaden zugefügt wird. Ich bin überrascht, dass so viele immer noch offenbaren, dass sie erfolgreich angegriffen wurden.
Niemand akzeptiert gerne, dass er einen großen Fehler gemacht hat. Dies gilt insbesondere dann, wenn Ihre Kunden die Neuigkeiten über Ihre Sicherheitsverletzung erfahren und mit Ihrem Konkurrenten Geschäfte machen können.
Ein weiterer Grund ist, dass die allermeisten erfolgreichen Angriffe nicht auf die Absicht eines Eliteteams von Hackern zurückzuführen sind, sondern vielmehr auf die Unwissenheit und Nachlässigkeit der Mitarbeiter zurückzuführen sind. Es gibt einen Grund, warum ich immer wieder darüber schreibe, wie man Phishing vermeidet. Es passiert immer noch. Einfache E-Mail-Phishing-Tricks, um Sie dazu zu verleiten, auf einen Link zu klicken oder eine Datei zu öffnen, sind nach wie vor eine der Hauptmethoden für Angreifer, in Ihre Systeme einzudringen.
Der andere wichtige Grund dafür, dass Unternehmen gehackt werden, ist, dass jemand im Inneren böswillig oder dumm, manchmal ist es ziemlich schwierig, den Unterschied zu erkennen, einem Angreifer die Tür öffnet. Wie auch immer, absolut niemand in einem Unternehmen möchte einen solchen Misserfolg akzeptieren, bei dem es darum geht, mich sofort zu feuern.
Nun, die Zeiten, in denen Sie alles getan haben, um den Fehler zu beheben und so zu tun, als wäre er nie passiert, sind vorbei.
Obwohl die genauen Vorschriften noch nicht ausgearbeitet wurden, wird Sie die Cybersecurity and Infrastructure Security Agency (CISA) des Department of Homeland Security (DHS) in Zukunft bitten, sie auf dem Laufenden zu halten, wenn Ihre Sicherheit schief geht.
Genauer gesagt: Wenn sich Ihr Unternehmen in einem der sechzehn kritischen Infrastrukturbereiche befindet, müssen Sie CISA benachrichtigen, wenn ein erfolgreicher Angriff stattgefunden hat. Genauer gesagt verlangt das neue Gesetz, dass Sie Angriffe innerhalb von XNUMX Stunden nach Entdeckung eines Unfalls melden müssen, bzw. innerhalb von XNUMX Stunden, wenn Sie eine Ransomware-Zahlung leisten.
Atmen Sie vor dem Hyperventilieren tief ein. Es mag das Gesetz des Landes sein, aber die Regeln, die dieses Gesetz zu etwas machen, dem Sie gehorchen müssen, wurden noch nicht geschrieben. Laut der führenden internationalen Anwaltskanzlei Holland & Knight „werden die neuen Cyber-Meldepflichten erst dann in Kraft treten, wenn das CISA Regeln erlässt, um die Einheiten in den kritischen Infrastrukturbereichen einzugrenzen, die dadurch geschädigt werden.“ Vorfälle, die es abdeckt.
CISA hat ein paar Jahre Zeit, um die Regel zu verfassen, also noch achtzehn Monate, bis sie endgültig ist. Die Ausarbeitung von Gesetzen und Vorschriften ist ein langer und langweiliger Prozess.
Darüber hinaus ist nicht jeder in der Regierung an diesem neuen Gesetz interessiert. In dem, was mir wie ein traditioneller Revierkampf der Regierung vorkommt, ist es dem Justizministerium und dem FBI völlig egal. FBI-Direktor Christopher Wray glaubt, dass es „gravierende Mängel aufweist“ und „die Öffentlichkeit weniger sicher vor Cyber-Bedrohungen machen würde“, weil es das FBI zugunsten von CISA außen vor lässt.
In jedem Fall ist eine Art rechtlicher Vorstoß an Unternehmen im Gange, Einbrüche und Ransomware-Angriffe zu melden und zu verfolgen. Sei vorbereitet.
Und nur eine Idee: Wie wäre es, wenn Sie sich heute besser um Ihre Sicherheit kümmern würden, damit Sie sich nicht darum kümmern müssen, zu erklären, warum Sie morgen keinen schweren Unfall gemeldet haben?
Copyright © XNUMX IDG Communications, Inc.