Eines der schmutzigen kleinen Geheimnisse vieler, vielleicht sogar der meisten Unternehmen ist, dass sie mehr denn je akzeptieren, dass sie gehackt wurden. Andere zahlen am Ende für Ransomware, aber sie haben dieses tiefe und dunkle Geheimnis nie entdeckt. Wer will schließlich vor dem Planeten und seinen Servicekunden akzeptieren, dass sie mit heruntergelassenen Sicherheitshosen erwischt wurden?

Nun, die Dinge werden sich ändern. In der kürzlich unterzeichneten staatlichen Finanzierungsrechnung in Höhe von XNUMX Billionen US-Dollar verlangen neue Cybersicherheitsgesetze, dass Unternehmen Datenschutzverletzungen und Ransomware-Zahlungen unverzüglich melden.

Hoppla!

Natürlich sollten Sie Cyberkriminalität immer noch dem Internet Crime Protest Center (IC3) des FBI, der nächstgelegenen FBI-Außenstelle, oder FBI Tips melden. Aber wie viele haben das tatsächlich getan?

Nach Angaben des Justizministeriums (DoJ) gibt nur jedes siebte Opfer von Cyberkriminalität zu, Schaden erlitten zu haben. Ich bin überrascht, dass so viele immer noch offenbaren, dass sie erfolgreich angegriffen wurden.

Absolut niemand akzeptiert gerne, dass er einen großen Fehler gemacht hat. Dies gilt insbesondere dann, wenn Ihre Servicekunden einen Blick auf Ihre Neuigkeiten zu Sicherheitsverletzungen werfen und mit Ihrem Gegner Geschäfte machen können.

Ein weiterer Grund ist, dass die überwiegende Mehrheit erfolgreicher Angriffe nicht auf das Ziel eines Elite-Hackerteams zurückzuführen ist, sondern auf die Unwissenheit und Nachlässigkeit der Mitarbeiter. Es gibt einen Grund, warum ich immer wieder darüber schreibe, wie man Phishing umgehen kann. Es passiert immer noch die ganze Zeit. Einfache E-Mail-Phishing-Tricks, um Sie dazu zu bringen, auf einen Link zu klicken oder eine Datei zu öffnen, bleiben eine der wichtigsten Methoden, mit denen ein Angreifer in Ihre Systeme eindringt.

Der andere wichtige Grund, warum Unternehmen gehackt werden, ist, dass jemand im Inneren böswillig oder dumm, manchmal ist es ziemlich schwer zu unterscheiden, einem Angreifer die Tür öffnet. Auf jeden Fall will niemand in einem Unternehmen ein solches „Fire me now“-Versagen akzeptieren.

Nun, die Zeiten, in denen Sie alles tun konnten, um den Fehler zu beheben und so zu tun, als wäre er nie aufgetreten, sind vorbei.

Nun, dass die genauen réglementations n'aient pas encore été rédigées, à l'avenir, l'Agence de cybersécurité et de sécurité des Infrastructures (CISA) du Département de la sécurité intérieure (DHS) Sie verlangen, dass sie von Ihrem Sicherheitsdienst informiert werden teuflisch.

Um genau zu sein, wenn sich Ihr Unternehmen in einem der sechzehn kritischen Infrastrukturlager befindet, müssen Sie CISA benachrichtigen, wenn Sie erfolgreich angegriffen wurden. Genauer gesagt verlangt das neue Gesetz, dass Sie Angriffe innerhalb von zweiundsiebzig Stunden nach Entdeckung eines Unfalls und innerhalb von vierundzwanzig Stunden melden müssen, wenn Sie eine Ransomware-Zahlung leisten.

Bevor Sie hyperventilieren, atmen Sie tief durch. Es mag das Gesetz des Landes sein, aber die Regeln, die dieses Gesetz zu etwas machen, das Sie befolgen müssen, wurden noch nicht geschrieben. Laut der führenden internationalen Anwaltskanzlei Holland & Knight „werden die neuen Cyber-Meldepflichten nicht in Kraft treten, bis CISA Regeln erlässt, um Unternehmen in den Bereichen kritischer Infrastrukturen zu begrenzen, die durch dieses Gesetz und die Modelle von erheblichen Cyber-Vorfällen geschädigt werden es bedeckt.

CISA hat ein paar Jahre Zeit, um die Regel zu schreiben, dann achtzehn Monate, bis sie endgültig ist. Die Ausarbeitung von Gesetzen und Verordnungen ist ein langer und langweiliger Prozess.

Auch interessiert sich nicht jeder in der Regierung für dieses neue Gesetz. Was für mich wie ein traditioneller Revierkampf der Regierung aussieht, interessiert das Justizministerium und das FBI überhaupt nicht. FBI-Direktor Christopher Wray glaubt, dass es „ernsthafte Mängel“ hat und „die Öffentlichkeit weniger sicher vor Cyber-Bedrohungen machen würde“, während er das FBI zugunsten von CISA fallen lässt.

In jedem Fall ist eine Art rechtlicher Druck auf Unternehmen im Gange, um Einbrüche und Ransomware-Angriffe zu melden und zu verfolgen. Sei vorbereitet.

Und, nur ein Gedanke, wie wäre es, wenn Sie heute besser auf Ihre Sicherheit achten, damit Sie sich keine Gedanken darüber machen müssen, warum Sie morgen einen schweren Unfall nicht gemeldet haben?

Copyright © XNUMX IDG Communications, Inc.

Teilen Sie es