הקרב על CISA: הקונגרס האמריקאי טרם האריך את תוקף החוק
החוק שמאפשר לחברות לשתף מידע על איומי סייבר ממשיך להיות בעין הסערה, אך טרם הושגה הסכמה על הנוסח החדש בעקבות מחלוקות
תמונה: Dreamstime
ועדת המשנה לביטחון המולדת בבית הנבחרים האמריקאי התכנסה אתמול כדי להמשיך ולקדם חבילת חוקים בתחום הסייבר, כשהחשוב שבהם הוא הארכה של Cybersecurity Information Sharing Act מ-2015: החוק שמסדיר את שיתוף המידע על מתקפות בין חברות פרטיות לבין הממשל הפדרלי. זה אולי נשמע בירוקרטי, אבל החוק הזה הוא מה שמאפשר לחברות בארה"ב (ובעקיפין גם אצלנו) לחלוק מודיעין על איומים מבלי לחשוש מתביעות.
החוק המקורי נתן לחברות חסינות משפטית כשהן משתפות מידע על מתקפות, כך שאפשר היה להזרים מודיעין זדוני לרשתות ISACs מגזריות – בבנקים, ברפואה, באנרגיה – בלי שעורכי הדין יבלמו את המהלך. מאז 2015 הוא הפך לאחד מעמודי התווך של הגנת הסייבר הגלובלית. לפי הערכות, אם ההגנה המשפטית הזו תיעלם, עד 90% מהשיתופים פשוט ייעלמו יחד איתה. הבעיה, כפי שסיפרנו לכם בחודש שעבר, היא שהחוק עומד לפקוע בסוף ספטמבר.
בתקופה האחרונה, החוק הפך להיות נקודת התנגשות בין מי שרוצה לחדש אותו לעשר שנים נוספות עם עדכונים שמתאימים לעידן של מתקפות AI, ומי שמתעקש להכניס סעיפים שמגבילים את סוכנות הסייבר הפדרלית (CISA) בטענה שהיא עלולה לעסוק בצנזורה ברשתות החברתיות – טענות שהסוכנות מכחישה.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
ההצעה החדשה, שקיבלה את השם WIMWIG Act, מאריכה את תוקפו לעשר שנים נוספות ומעדכנת את הגדרות החוק כך שיכללו טכניקות פריצה חדשות, שימוש בבינה מלאכותית לצרכים הגנתיים וחיזוק מנגנוני הפרטיות הקיימים. יו"ר הוועדה, אנדרו גרברינו (רפובליקני מניו יורק), אמר כי חידוש החוק לפני פקיעתו קריטי לשימור החוסן הקיברנטי של ארה"ב, וציין שהחקיקה המקורית שינתה את מפת הסייבר בארה"ב "לטובה ולעד". נכון לעת זו, התחזית היא שתהיה הארכה קצרה בלבד שתישען על התקציב השנתי, אבל חידוש מלא לטווח ארוך עדיין לא בטוח.
עכשיו תחשבו על ההשלכות מחוץ לארה"ב. חברות ישראליות שמחוברות ל-ISACs מקבלות התרעות בזמן אמת על נוזקות ומתקפות בארה"ב. אם החוק לא היה מתחדש, הזרם הזה היה מצטמצם בצורה דרמטית ופירוש הדבר פחות מודיעין זמין גם כאן. בסוף, פחות מידע משותף שם אומר יותר סיכון לנו כאן.
מענקי סייבר למדינות ולרשויות מקומיות
לצד זה, הוועדה אישרה גם חוקים נוספים: הארכה לעשור נוסף של תוכנית המענקים לממשלות מקומיות, חוק שיקבע בחוק את אחריות ה-TSA לאבטחת צינורות אנרגיה, וגם הצעה שתחייב את משרד הביטחון הפנימי להעריך מדי שנה איך ארגוני טרור עושים שימוש בבינה מלאכותית גנרטיבית.
ואם כל זה נשמע לכם מוכר, זה לא במקרה. באפריל האחרון כמעט נסגרה תוכנית CVE הגלובלית עד שסוכנות CISA התערבה ברגע האחרון. בארה"ב יש נטייה למשוך סוגיות כאלה עד הדקה ה-90, ואולי גם הפעם זה ייגמר באיזו הארכה חפוזה שתציל את המערכת ברגע האחרון. אבל עד שזה יקרה, ענן אי הוודאות ממשיך לרחף מעל אחד מכלי ההגנה המשמעותיים ביותר שיש לסייבר המודרני.
