تضمن قانون حزمة التمويل الحكومي البالغة 1.5 تريليون دولار التي وقعها الرئيس جو بايدن تشريعات شاملة للأمن السيبراني تتطلب من مشغلي البنية التحتية للتكنولوجيا الإبلاغ بسرعة عن انتهاكات البيانات ومدفوعات برامج الفدية وفقًا لوكالة بلومبرج.
من المتوقع أن يمنح الشرط الإلزامي بالقانون المسؤولين الأمريكيين نظرة أعمق لطبيعة القرصنة العالمية.
يضع التشريع وكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الوطني كمحور مركزي لتلقي تقارير الاستجابة للحوادث من القطاع الخاص، ومشاركة بيانات التهديد، وتتبع تطور برامج الفدية، وهي مشكلة ضارة للأعمال التجارية الأمريكية يصعب تحديدها كمياً.
ينص القانون الجديد على أن تقوم الشركات بالإبلاغ عن الاختراقات إلى وزارة الأمن الداخلي الأمريكية في غضون 72 ساعة من اكتشاف الحادث، و24 ساعة في حالة قيامها بدفع الفدية.
قدر مسؤولو مكتب التحقيقات الفيدرالي العام الماضي أن المكتب لديه تفاصيل عن ربع الحوادث السيبرانية فقط، مما أدى إلى نقص المعلومات على مستوى الحكومة حول طبيعة العديد من انتهاكات البيانات، وأساليب مجرمي الإنترنت والصناعات الأمريكية الأكثر عرضة للخطر.
أبلغ الضحايا عن خسائر متعلقة ببرامج الفدية بقيمة 29 مليون دولار لمكتب التحقيقات الفيدرالي في عام 2020، وهي أحدث الأرقام المتاحة، مقارنة بـ406 ملايين دولار في مدفوعات الابتزاز التي رصدتها شركة تشاينانلاسيس (Chainalysis) لتتبع العملات المشفرة خلال نفس العام.
أشادت جين إيسترلي، مديرة وكالة الأمن السيبراني، بموافقة مجلس الشيوخ على مشروع القانون، قائلة إنه يمنح وكالتها “البيانات والرؤية التي تحتاجها للمساعدة بشكل أفضل في حماية البنية التحتية الحيوية والشركات في جميع أنحاء البلاد من الآثار المدمرة للهجمات الإلكترونية”. ولفتت: “بصراحة، هذا التشريع سيغير قواعد اللعبة”.
حددت الوكالة 16 قطاعاً واسعاً تشمل الصحة والطاقة والغذاء والنقل باعتبارها بالغة الأهمية للولايات المتحدة، على الرغم من أن التشريع الجديد لم يحدد بدقة الشركات التي سيُطلب منها الإبلاغ عن الحوادث السيبرانية.
لم تذكر الوكالة كيف ستستخدم البيانات الصادرة من تقارير الخرق، لكنها تسعى إلى بناء قدراتها والعمل بشكل أوثق مع القطاع الخاص على أساس طوعي.
في غضون ذلك ، أعرب كبار مسؤولي وزارة العدل عن قلقهم من أن مشروع القانون يمنح المحققين فكرة أقل عن الجرائم الإلكترونية المحتملة لأن الشركات لا تضطر إلى الإبلاغ مباشرة عن الهجمات إلى سلطات إنفاذ القانون الفيدرالية.
وقال مدير مكتب التحقيقات الفيدرالي كريس وراي في تصريح لمجلة بوليتيكو: “في شكله الحالي، سيجعل الجمهور أقل أماناً من التهديدات الإلكترونية- مما يؤدي إلى إبطاء المساعدة للضحايا، وإعاقة تحديد الشركات الأخرى التي يستهدفها المهاجمون أنفسهم، وتقويض عمليات التعطيل ضد التهديدات الإلكترونية”.
يدخل القانون حيز التنفيذ في وقت تستعد فيه الشركات الأمريكية، لا سيما في القطاع المالي، لرد فعل سلبي محتمل في الفضاء الإلكتروني نتيجة غزو روسيا لأوكرانيا، والعقوبات المفروضة على موسكو.
وحذرت الوكالة قائلة: “على الرغم من عدم وجود تهديدات إلكترونية محددة أو موثوقة للولايات المتحدة في الوقت الحالي، فإن الغزو الروسي لأوكرانيا، والذي تضمن هجمات إلكترونية على الحكومة الأوكرانية ومؤسسات البنية التحتية الحيوية، يمكن أن يؤثر على المنظمات داخل المنطقة وخارجها، بما في ذلك الولايات المتحدة”. وأضافت: “يجب أن تكون كل مؤسسة -كبيرة وصغيرة- على استعداد للتعامل مع النشاط السيبراني التخريبي”.