CISA đang yêu cầu các tổ chức cung cấp thông tin (Request for Information - RFI) về các sự cố an ninh mạng quan trọng trong vòng tối đa 72 giờ và thông tin các khoản tiền thanh toán cho các tấn công mã độc tống tiền trong vòng 24 giờ sau khi các khoản thanh toán được thực hiện. RFI được xây dựng tuân theo Đạo luật báo cáo sự cố mạng của các cơ sở hạ tầng quan trọng (Cyber Incident Reporting for Critical Infrastructure Act - CIRCIA) năm 2022, được Tổng thống Joe Biden ký và ban hành vào tháng 3/2022. CIRCIA yêu cầu CISA xây dựng lộ trình RFI với các quy tắc quản lý để thu thập thông tin các sự cố an ninh mạng và dữ liệu các khoản tiền thanh toán cho các cuộc tấn công mã độc tống tiền.
Theo yêu cầu của CIRCIA, trong quá trình xây dựng RFI, CISA phải tham khảo ý kiến của các đơn vị khác, bao gồm các cơ quan quản lý rủi ro, Bộ Tư pháp Hoa Kỳ (DOJ), các cơ quan Liên bang, Hội đồng Báo cáo Sự cố Mạng trực thuộc Bộ An ninh Nội địa Hoa Kỳ (DHS),... Ngoài ra, CISA thông báo sẽ tổ chức 11 phiên lấy ý kiến trực tiếp để chọn và xây dựng bộ quy tắc, các tiêu chuẩn cho RFI với 10 phiên trên 10 văn phòng đại diện của CISA trên toàn Hoa Kỳ và một phiên ở Washington, DC.
Giám đốc của CISA, Jen Easterly nói trong một thông cáo báo chí rằng: “CIRCIA là một sự đột phá cho toàn bộ cộng đồng an ninh mạng, tất cả đối tượng đã và đang đầu tư vào việc bảo vệ các cơ sở hạ tầng mạng quan trọng của mỗi quốc gia. Nó sẽ cho phép chúng tôi hiểu rõ hơn về các mối đe dọa mà chúng tôi đang đối mặt, phát hiện ra các chiến dịch của tin tặc sớm hơn và chủ động hành động, phối hợp với các cơ quan chính phủ và các đối tác tư nhân của chúng tôi để đối phó”.
Tầm quan trọng của báo cáo sự cố an ninh mạng
Các chuyên gia từ lâu đã kêu gọi báo cáo về các sự cố an ninh mạng là bắt buộc để có đầy đủ thông tin chính xác, cụ thể giúp các nhà phân tích an ninh mạng và các quan chức chính phủ có thể phân tích, đánh giá: tần suất, thời gian, số tiền thanh toán của các cuộc tấn công mã độc tống tiền các sự cố an ninh mạng.
Việc không có những thông tin chính xác và cụ thể về các sự cố an ninh mạng và các khoản thanh toán cho các cuộc tấn công mã độc tống tiền sẽ khiến việc đưa ra các giải pháp để khắc phục và giảm thiểu các thiệt hại là rất khó khăn. Easterly chia sẻ rằng: "Chúng tôi không thể bảo vệ những gì mà chúng tôi không biết, thông tin nhận được sẽ giúp chúng tôi có những thông tin quan trọng, để đưa ra các hướng dẫn và chia sẻ tới toàn bộ cộng đồng giúp bảo vệ quốc gia tốt hơn trước các mối đe dọa an toàn, an ninh mạng".
Nhiều đạo luật bắt buộc báo cáo sự cố mạng trong các lĩnh vực đang có hiệu lực hoặc chuẩn bị ban hành
Trong phiên điều trần trước quốc hội để thông qua CIRCIA, Giám đốc Easterly của CISA phát biểu rằng: “Mặc dù có một số lĩnh vực yêu cầu bắt buộc báo cáo về các sự cố an ninh mạng, nhưng hiện tại không có bất kì yêu cầu bắt buộc báo cáo nào của liên bang về sự cố an ninh mạng. Thay vào đó, các tổ chức phải tự đánh giá theo loạt các tiêu chí do các cơ quan ở cấp liên bang và tiểu bang đưa ra”.
Việc đưa ra một bộ quy tắc báo cáo bắt buộc về sự cố an ninh mạng của liên bang được thực hiện trong bối cảnh đang có nhiều cơ quan chính phủ yêu cầu báo cáo về sự cố mạng. RFI được giám đốc Easterly tham chiếu từ ít nhất 10 đạo luật yêu cầu bắt buộc báo cáo sự cố an ninh mạng ở nhiều lĩnh vực như: Quy tắc do Ủy ban Chứng khoán và Sàn giao dịch Hoa Kỳ (SEC) đề xuất, các quy định do Ủy ban Thương mại Liên bang (FTC) đề xuất, các quy tắc do Tổng công ty Bảo hiểm Ký thác Liên bang Hoa Kỳ (FDIC), Cục An ninh Vận tải Hoa Kỳ (TSA),... Các chủ đề và câu hỏi mà CISA đang đưa ra để lấy ý kiến gồm: Định nghĩa về sự cố mạng; Cách thức gửi các báo cáo về sự cố mạng; Các quy định đã có trong các đạo luật khác nhằm tránh sự xung đột.
Các báo cáo đầu tiên về sự cố an ninh mạng có thể không chính xác
Michael Daniel - cựu trợ lý đặc biệt của Tổng thống Obama, điều phối viên an ninh mạng trong Hội đồng An ninh Quốc gia Hoa Kỳ, đã chia sẻ với Tạp chí cung cấp tin tức, phân tích về rủi ro bảo mật mạng CSO (Hoa Kỳ) rằng: “Dựa trên kinh nghiệm của tôi trong 15, 20 năm làm việc ở lĩnh vực bảo mật thông tin, báo cáo đầu tiên về một sự cố mạng không hoàn toàn chính xác. Nó sẽ sai ở một khía cạnh nào đó, không phải vì mọi người không đủ năng lực để đánh giá mà chỉ là bởi không có đầy đủ các thông tin dẫn tới việc phân tích và đưa ra các nhận định sẽ mất nhiều thời gian”. Ông nói tiếp: “CISA và chính phủ sẽ phải chấp nhận thực tế rằng các báo cáo sẽ phải được cập nhật liên tục và thường xuyên để có thông tin đầy đủ và chính xác nhất về sự cố an ninh mang, các cuộc tấn công mã độc tống tiền”.
Daniels cũng nhấn mạnh sự điều chỉnh để cân đối tất cả các yêu cầu báo cáo đối với các sự cố mạng khác nhau. Tuy nhiên, Daniels thừa nhận rằng việc đạt được sự cân đối này có thể khó khăn vì các cơ quan chính phủ khác nhau sẽ có khả năng bảo vệ các quy tắc của riêng họ đưa ra. Ông nói: “Cả hai nhánh hành pháp và lập pháp cần phải dành thời gian làm việc với nhau để đạt được một mốc thời gian báo cáo chung nếu đó là cùng một vấn đề mà họ yêu cầu được báo cáo”.
Daniel cho rằng sự yêu cầu kết hợp này này nằm ngoài thẩm quyền của CISA và phải lấy ý kiến của quốc hội: “Có thể sẽ cần đến sự đồng ý của quốc hội để xem xét điều đó bởi vì nhiều cơ quan là các cơ quan quản lý độc lập và Nhà Trắng không có bất kỳ quyền kiểm soát hoặc ủy quyền cho họ làm bất kì vấn đề gì. Vì vậy, sẽ phải tuân theo biểu quyết của quốc hội. "
Việc lấy ý kiến về RFI sẽ có thời hạn trước ngày 14/11/2022. CIRCIA sẽ cho CISA thời gian 24 tháng để công bố đề xuất ban đầu về việc xây dựng bộ quy tắc và thêm 18 tháng kể từ khi công bố đề xuất ban đầu về việc xây dựng bộ quy tắc, để ban hành các quy định cuối cùng của RFI. Có thể RFI sẽ chưa được ban hành trong ít nhất là hai cho đến ba năm tới, mặc dù CISA có thể xúc tiến để quá trình này diễn ra nhanh hơn.