Новые правила превращают любой инцидент безопасности в бюрократический ад.
IT-компании, обслуживающие американское правительство, выразили недовольство предложенными изменениями в правила закупок, согласно которым в случае киберинцидента им придётся предоставить полный доступ к своим системам государственным агентствам США.
Эти изменения предложены в рамках обновления Федерального правила закупок, которое нацелено на улучшение стандартов безопасности для IT-подрядчиков правительства в соответствии с исполнительным приказом президента Байдена от 2021 года.
Среди возможных новых требований: подрядчики должны будут сообщать о киберинцидентах в Агентство по кибербезопасности и инфраструктурной безопасности (CISA) в течение восьми часов после их обнаружения, обновляя информацию каждые 72 часа; необходимо будет поддерживать актуальную спецификацию программного обеспечения (SBOM); после инцидента подрядчики обязаны предоставить полный доступ к своим IT-системам сотрудникам CISA и федеральных правоохранительных органов.
Предложения были разработаны Министерством обороны США, Генеральным управлением по обслуживанию и НАСА в ответ на угрозы кибербезопасности, с которыми сталкиваются США. Инциденты с такими продуктами, как SolarWinds, Microsoft Exchange и Colonial Pipeline, — подчёркивают уязвимость как государственных, так и частных секторов перед лицом сложных киберугроз.
Предложенные изменения быстро вызвали недовольство в индустрии. Так, Консультативный совет поставщиков облачных услуг (CSP-AB) и Совет по информационным технологиям (ITIC) выразили обеспокоенность из-за того, что новые правила могут быть обременительными и несоразмерными. В частности, требование о предоставлении SBOM и ограниченный временной промежуток для сообщения об инцидентах вызвали критику за их непрактичность и возможное негативное воздействие на работу с нефедеральными клиентами.
В целом, в США последнее время наблюдается значительный рост в количестве правил, касающихся отчётности о киберинцидентах. Причём в зависимости от типа организации и характера инцидента, необходимые отчётные действия могут сильно отличаться, что и создаёт для организаций путаницу в соблюдении этих правил.
В контексте этих обсуждений возник призыв к созданию единого, авторитетного процесса отчётности об инцидентах, который был бы применим на всем федеральном уровне и в регулируемых секторах. Такой подход позволил бы избежать несоответствий и дублирования усилий для организаций, сталкивающихся с киберугрозами.
Эксперты также подчёркивают важность выбора одного координирующего агентства, которое бы стало центральным узлом для всех отчётов и последующих расследований киберинцидентов, упрощая этим процесс отчётности и повышая его эффективность.
Никаких овечек — только отборные научные факты