(CNN) – Los principales senadores de la Comisión de Seguridad Nacional presentaron una legislación este martes para exigir a las empresas de infraestructura crítica que informen sobre los ataques cibernéticos al Gobierno federal de Estados Unidos. La iniciativa exige que la mayoría de las organizaciones le informen al Gobierno si realizan pagos por ataques de ransomware o ciberchantajes.
Si se promulga, el proyecto de ley creará el primer requisito nacional para que las entidades de infraestructura crítica informen cuando sus sistemas hayan sido violados.
El presidente de la Comisión de Seguridad Nacional y Asuntos Gubernamentales del Senado, Gary Peters, demócrata de Michigan, y el miembro de alto rango, el senador Rob Portman, republicano de Ohio, presentaron el proyecto de ley menos de una semana después de que varios miembros de la administración Biden expresaron su apoyo público durante su testimonio ante el Congreso para tales requisitos.
La legislación requeriría que los propietarios y operadores de infraestructura crítica informen a la Agencia de Seguridad de Infraestructura y Ciberseguridad dentro de las 72 horas si están experimentando ataques cibernéticos. Las organizaciones sin fines de lucro, las empresas con más de 50 empleados y los Gobiernos estatales y locales deberán notificar al Gobierno federal dentro de las 24 horas si realizan pagos de rescate.
Aplicación de la ley sobre ataques cibernéticos
El proyecto de ley se produce después de que varios incidentes de ciberseguridad y ransomware de alto perfil a principios de este año presionaron a los legisladores para proteger mejor la infraestructura crítica y desalentar los ciberataques. En mayo, un ataque de ransomware en el Colonial Pipeline llevó a la empresa a cerrar miles de millas del oleoducto y provocó un aumento de los precios y escasez de gas.
A esto le siguió un incidente de ransomware en un importante productor de carne de res y cerdo, JBS USA, que amenazó el suministro de carne de EE.UU.
“Cuando las entidades, como los propietarios y operadores de infraestructura crítica, son víctimas de violaciones de la red o pagan a piratas informáticos para desbloquear sus sistemas, deben notificar al Gobierno federal para que podamos advertir a otros, prepararnos para los impactos potenciales y ayudar a prevenir otros ataques generalizados”, dijo Peters en un comunicado.
Los mecanismos de aplicación están integrados en la iniciativa.
El proyecto de ley le daría a la Agencia de Seguridad de Infraestructura y Ciberseguridad la autoridad para citar a las entidades que no reporten incidentes de ciberseguridad o pagos por ciberchantajes. Si una empresa o una organización sin fines de lucro no cumple con la citación, puede ser remitida al Departamento de Justicia y se le puede prohibir la contratación con el Gobierno federal.
Las empresas que planean realizar pagos de rescate también deberán evaluar alternativas antes de realizar los pagos, de acuerdo con la legislación.
El Gobierno federal desaconseja realizar pagos de rescate, pero muchas empresas sienten que no tienen otra opción cuando sus sistemas están bloqueados o se ven amenazados por la exposición de datos.
El proyecto de ley requiere que la Agencia de Seguridad de Infraestructura y Ciberseguridad lance un programa que advertirá a las organizaciones sobre las vulnerabilidades que explotan quienes perpetran ciberchantajes. También indica al director cibernético nacional que establezca un grupo de trabajo conjunto para prevenir e interrumpir los ataques de ransomware.
Durante su primera audiencia en el Congreso desde que asumió el cargo, la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Jen Easterly, pidió informes de incidentes cibernéticos para ayudar a las víctimas de ataques, así como para analizar la información y compartirla de manera más amplia para ver si se encuentran intrusiones similares en otros lugares.
“Estamos absolutamente de acuerdo en que ya es hora de que se publique una legislación sobre informes de incidentes cibernéticos, y estamos entusiasmados de trabajar con usted en esto”, dijo Easterly a Peters, la semana pasada.
Sin embargo, Easterly dijo que no cree que la autoridad de citación sea “lo suficientemente ágil” para que su agencia obtenga la información lo más rápido posible para evitar que otros caigan presa de un ataque similar.
En cambio, dijo que las multas deberían considerarse para su aplicación.
“Vengo de cuatro años y medio en el sector de servicios financieros, donde las multas son un mecanismo que permite hacer cumplir las normativas”, dijo Easterly.