CISA సైబర్ సంఘటన రిపోర్టింగ్‌కు మద్దతుగా సిబ్బంది మరియు సాంకేతిక నవీకరణలను హైలైట్ చేస్తుంది

సైబర్‌ సెక్యూరిటీ మరియు ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ యొక్క కొత్త సైబర్ ఇన్‌సిడెంట్ రిపోర్టింగ్ నియమాలకు మరింత మంది సిబ్బంది మరియు సాంకేతికత అప్‌గ్రేడ్‌లు అవసరమవుతాయని ఈ వారం తన బడ్జెట్ అభ్యర్థనలో ఏజెన్సీ వెల్లడించింది.

CISA ఈ వారంలో సైబర్ క్రిటికల్ ఇన్‌ఫ్రాస్ట్రక్చర్ ఇన్‌సిడెంట్ రిపోర్టింగ్ యాక్ట్ (CIRCIA) కోసం ప్రతిపాదిత రూల్‌మేకింగ్ నోటీసును జారీ చేయాలని యోచిస్తోంది. మార్చి 2022లో ఆమోదించబడిన చట్టం, ప్రతిపాదిత నిబంధనలను అభివృద్ధి చేయడానికి ఏజెన్సీకి రెండేళ్ల సమయం ఇచ్చింది. ప్రతిపాదిత నిబంధనలు ప్రచురించబడిన తర్వాత, అభిప్రాయాన్ని సేకరించి, నిబంధనలను ఖరారు చేయడానికి ఏజెన్సీకి మరో 18 నెలల సమయం ఉంటుంది.

2025 ఆర్థిక సంవత్సరంలో CIRCIA ప్రోగ్రామ్ కోసం ఏజెన్సీ $116 మిలియన్లను అభ్యర్థిస్తోంది, ఇందులో 122 పూర్తి-సమయం సమానమైన ఉద్యోగులు ఉన్నారు. విస్తరించిన సిబ్బంది బడ్జెట్ సారాంశం ప్రకారం, CISAకి “రిపోర్టులను స్వీకరించడానికి, విశ్లేషించడానికి మరియు చర్య తీసుకోవడానికి” సహాయం చేస్తుంది.

“నాన్ క్లాసిఫైడ్ టికెటింగ్ సిస్టమ్”తో సహా CIRCIA కోసం “ప్రధాన సాంకేతిక మెరుగుదలలను” అమలు చేయాలని CISA యోచిస్తోంది. ఏజెన్సీ “కస్టమర్ రిలేషన్ షిప్ మేనేజ్‌మెంట్” సాధనాలను ఏకీకృతం చేయాలని, దాని థ్రెట్ ఇంటెలిజెన్స్ ప్లాట్‌ఫారమ్‌ను విస్తరించాలని మరియు “సంఘటన రిపోర్టింగ్ వెబ్ యాప్”ని అభివృద్ధి చేయాలని కూడా కోరుకుంటోంది.

మాట్ హేడెన్, మాజీ CISA ఉద్యోగి మరియు జనరల్ డైనమిక్స్ ఇన్ఫర్మేషన్ టెక్నాలజీలో సైబర్ క్లయింట్ ఎంగేజ్‌మెంట్ వైస్ ప్రెసిడెంట్, CIRCIAని అమలు చేయడం CISAకి ఎంత ముఖ్యమైన “మెచ్యూరిటీ టెస్ట్” అని పేర్కొన్నారు. ఐదేళ్ల-పాత ఏజెన్సీ ఇటీవలి సంవత్సరాలలో వేగంగా అభివృద్ధి చెందింది, కానీ ఈ స్థాయిలో నియమావళిని ఎన్నడూ చేపట్టలేదు.

“వారు ముందుకు సాగుతున్నప్పుడు, ఈ అధికారం వంటి కొత్త విషయాలను ప్రయత్నించే వారి సామర్థ్యం ముందుకు సాగడానికి గొప్ప మార్కర్ అవుతుంది” అని హేడెన్ చెప్పాడు. “అవి విజయవంతమవుతాయని నేను భావిస్తున్నాను, కానీ ఇది గోడపై ఉన్న లైన్లలో ఒకటిగా ఉంటుంది, అది ‘నేను ఇంత ఎత్తుకు పెరిగాను’.

ప్రైవేట్ సెక్టార్‌తో CISA యొక్క ప్రయత్నాలు ప్రధానంగా స్వచ్ఛందంగా ఉన్నాయి. అయినప్పటికీ, నియంత్రణ ప్రకారం కీలకమైన ఇన్‌ఫ్రాస్ట్రక్చర్ ఆపరేటర్లు సైబర్ సంఘటనలను 72 గంటలలోపు CISAకి నివేదించాలి. ఇది నిబంధనలకు అనుగుణంగా లేని సంస్థలకు సబ్‌పోనాలను జారీ చేసే అధికారాన్ని CISAకి ఇస్తుంది.

CIRCIA లక్ష్యం CISA మరియు ఇతర ఫెడరల్ ఏజెన్సీలకు గ్యాస్ పైప్‌లైన్‌లు మరియు ఎలక్ట్రిక్ యుటిలిటీస్ వంటి కీలకమైన ఇన్‌ఫ్రాస్ట్రక్చర్ ఎంటిటీలపై సైబర్‌టాక్‌లపై ముందస్తు అంతర్దృష్టిని అందించడం, ప్రతిస్పందనలను సమన్వయం చేయడంలో మరియు ప్రభావితం అయ్యే అవకాశాలను అంచనా వేయడంలో సహాయపడతాయి. ఇతర సంస్థలను అప్రమత్తం చేయడం.

“ఇది తెలిసిన మరియు దోపిడీ చేయబడిన దుర్బలత్వాల జాబితాలో అగ్రస్థానానికి ఎదగగల అనేక క్లిష్టమైన దుర్బలత్వాలతో కూడిన వనరును తీసుకోవడానికి మాకు అనుమతిస్తుంది మరియు తక్షణమే శ్రద్ధ వహించాల్సిన విషయాలపై నిజంగా వెలుగునిస్తుంది. ఇది మీకు నేర్చుకోడానికి స్పష్టమైన యుద్దభూమి దృక్పథాన్ని అందిస్తుంది” హేడెన్ అన్నారు.

“CISA తన పనిని చేయడానికి మరింత డేటా మరియు సమాచారాన్ని ఉపయోగించుకోవడానికి ఇది ఒక అవకాశం” అని హేడెన్ జోడించారు.
ప్రతిపాదిత నియమంలో, CISA స్వీపింగ్ ఇన్సిడెంట్ రిపోర్టింగ్ చట్టం ఎలా అమలు చేయబడుతుందనే దాని గురించి కీలక వివరాలను వెల్లడిస్తుందని భావిస్తున్నారు. కాలేబ్ స్కైస్, న్యాయ సంస్థ కోవింగ్‌టన్ & బర్లింగ్‌లో భాగస్వామి, రెండు పెద్ద ప్రశ్నలు ఉన్నాయని చెప్పారు. ఇది నిబంధనల ప్రకారం ఖచ్చితంగా ఎవరు నివేదించాలి మరియు ఏ రకమైన సంఘటనలను నివేదించాలి అనే దాని గురించి.

“చట్టం మాకు కొన్ని సందర్భోచిత ఆధారాలను అందించినప్పటికీ, అవి ఎలా బయటికి వస్తాయి, స్పష్టమైన నిర్వచనం లేదు మరియు పరిధి ఎంత విస్తృతంగా ఉందో స్పష్టంగా తెలియదు.” స్కైస్ చెప్పారు.

సమాచారం కోసం సెప్టెంబర్ 2022 అభ్యర్థనలో, CISA నిబంధనల ప్రకారం సంఘటనలను నివేదించాల్సిన “కవర్డ్ ఎంటిటీలను” ఎలా నిర్వచించాలి మరియు “కవర్డ్ ఇన్సిడెంట్” కోసం ఏ ప్రమాణాలకు అనుగుణంగా ఉండాలి వంటి ప్రశ్నలను అడిగింది. సైబర్ సంఘటన రిపోర్టింగ్ బాధ్యత. ”

“రిపోర్టబుల్ సంఘటన అంటే ఏమిటో CISA ఎలా వివరిస్తుంది మరియు మీ లక్ష్యాలను సాధించడానికి ఆ సమాచారాన్ని ఎలా పొందాలి మరియు దాని అవసరాలు చాలా విస్తృతంగా ఉంటే సమాచారంతో మునిగిపోకుండా ఎలా నివారించాలి.” వారు దానిని వారితో ఎలా సమతుల్యం చేస్తారో చూడటం ఆసక్తికరంగా ఉంటుంది. చేయండి,” స్కీస్ చెప్పారు.

సైబర్ సంఘటన రిపోర్టింగ్ నియమాలను విస్తరించడం

కాంగ్రెస్ రెండేళ్ల క్రితం ఇన్సిడెంట్ రిపోర్టింగ్ యాక్ట్‌ను ఆమోదించినప్పటి నుండి సైబర్ రెగ్యులేటరీ ల్యాండ్‌స్కేప్ కూడా మారిపోయింది. ముఖ్యంగా, సెక్యూరిటీస్ అండ్ ఎక్స్ఛేంజ్ కమీషన్ గత సంవత్సరం సైబర్ నిబంధనలను ఆమోదించింది, ఇందులో పబ్లిక్ కంపెనీలు తాము మెటీరియల్ సైబర్ సంఘటనను ఎదుర్కొన్నామని నిర్ధారించిన నాలుగు రోజులలోపు బహిర్గతం చేయవలసి ఉంటుంది.

CISA యొక్క రాబోయే నియమాలను నకిలీ చేయడం కోసం SEC నియమాలను కొందరు చట్టసభ సభ్యులు విమర్శించారు. అయినప్పటికీ, SEC యొక్క అవసరాలు గత సంవత్సరం చివరలో అమలులోకి వచ్చాయి.

సైబర్ సంఘటనలకు ప్రతిస్పందించే కంపెనీలకు నిబంధనలను తక్కువ భారంగా మార్చడానికి వివిధ సైబర్ సంఘటన రిపోర్టింగ్ అవసరాలను “సామరస్యం” చేయాలనుకుంటున్నట్లు CISA అధికారులు తెలిపారు. రెగ్యులేటరీ అతివ్యాప్తికి సంబంధించిన మరిన్ని వివరాలు భవిష్యత్ నిబంధనలలో వెలువడే అవకాశం ఉంది.

“ఈ వివిధ అవసరాలను సమన్వయం చేయడం మరియు వాటికి లోబడి వ్యాపారాలపై భారాన్ని తగ్గించడం యొక్క ప్రాముఖ్యత, ఇది ఎలా పని చేస్తుంది మరియు ప్రైవేట్ రంగ సంస్థలపై అది కలిగించే సంభావ్య భారం మీద ఆధారపడి ఉంటుంది. ఆ విషయంలో ఇది చాలా ముఖ్యమైనది కావచ్చు,” స్కైస్ చెప్పారు. .

కాపీరైట్ © 2024 ఫెడరల్ న్యూస్ నెట్‌వర్క్. అన్ని హక్కులు ప్రత్యేకించబడ్డాయి. ఈ వెబ్‌సైట్ యూరోపియన్ ఎకనామిక్ ఏరియాలోని వినియోగదారులకు సూచించబడదు.