Julie DiMauro es directora de capacitación en Compliance Week, profesora adjunta de cursos de gestión de crisis y delitos financieros en Fordham Law y las facultades de derecho de la Universidad de Seattle, y editora colaboradora del blog FCPA habla sobre el panorama de la seguridad cibernética en todos los aspectos, desde las amenazas planteadas hasta los métodos utilizados para contrarrestarlas.
antilavadodedinero / FCPA
Además de los requisitos reglamentarios sobre cómo prevenir, detectar y mitigar los incidentes cibernéticos, siempre está cambiando. Eso es un hecho. Lo que es un poco más difícil de entender es cómo trabajar con el gobierno y cuándo hacerlo, durante una crisis de ciberseguridad en desarrollo.
El WSJ informó el 9 de febrero que después de que los agentes del FBI se infiltraran en las redes de Hive, un grupo de ransomware que había extorsionado a unas 1000 empresas, hospitales y otros objetivos, la agencia descubrió algo impactante a partir de los datos de su investigación.
¿Su descubrimiento? Solo el 20 por ciento de estos negocios afectados se habían acercado a las fuerzas del orden sobre sus ataques.
A menudo escuchamos acerca de asociaciones comerciales y de aplicación de la ley, sandboxes y regímenes de crédito de cooperación que existen para persuadir a las empresas para que informen incidentes temprano y entreguen evidencia. Incluso admitir sus pasos en falso, como copias de seguridad deficientes, listas obsoletas de permisos de empleados, personal sin supervisión, proveedores mal examinados, etc., según sea necesario.
Pero muchas empresas simplemente no los están utilizando, tratando de minimizar el daño a la reputación de cualquier atención adicional y evitar el trabajo adicional y la demora que pueden generar que otros examinen sus datos y participen en una investigación.
El FBI ha llevado su mensaje a otro nivel ahora, diciendo a las reuniones de ejecutivos de Fortune 500 que la oficina ofrecerá un servicio discreto y de primer nivel (“servicio al cliente al nivel de Ritz Carlton”) a las empresas que son víctimas de un ataque cibernético y que “luchará con los reguladores y tratará con los medios en su nombre”.
El FBI dice que quiere cambiar la percepción que las empresas podrían tener de su agencia en busca de otras pruebas de delitos, prácticas corruptas o negligencia en el cumplimiento de las normas. Y enfatiza que solo está ahí para enfocarse en la brecha de seguridad cibernética para proteger a las víctimas, la infraestructura y la propiedad intelectual.
Informes de ciberseguridad, respuestas y competencias.
Las empresas tienen muchas consideraciones que sopesar cuando se trata de informar a las fuerzas del orden público y solicitar su ayuda. Parte de su análisis implica analizar las muchas leyes (propuestas o reales) en este ámbito que exigen diferentes plazos para la presentación de informes, si una empresa paga legalmente un rescate y qué tipo de experiencia en seguridad cibernética se espera en su empresa.
Por ejemplo, un proyecto de ley del Senado llamado Ley de Informes de Incidentes Cibernéticos de 2021 (S.2875) estaba dirigido específicamente al informe de incidentes de ransomware, pero no fue aprobado por el Congreso. Entre otras cosas, habría incluido una ventana de 72 horas para informar un incidente de ransomware y ordenaría que cualquier pago de ransomware se informe dentro de las 24 horas.
Varios estados también han aprobado o propuesto leyes que prohíben que las agencias estatales, el gobierno local y algunas empresas privadas paguen rescates.
El Departamento de Servicios Financieros de Nueva York (NYDFS) tiene reglas explícitas sobre cuándo notificar al superintendente de un incidente de seguridad cibernética en el que un usuario no autorizado obtuvo acceso a una cuenta privilegiada o un evento que resultó en el despliegue de ransomware dentro de una parte material. del sistema de información de la entidad.
Las empresas que realicen un pago de ransomware en relación con un evento de seguridad cibernética deben notificar al NYDFS dentro de las 24 horas posteriores al pago y, dentro de los 30 días, explicarle a la agencia por qué se consideró necesario el pago.
También se espera una mayor experiencia en supervisión y seguridad cibernética en todas las empresas que el NYDFS supervisa en los niveles de junta directiva y ejecutivos.
Lo que las empresas deberían considerar hacer ahora.
Si el FBI dice que puede mantener a raya a los reguladores y ayudar a mediar en su trabajo e informar con ellos, corresponde a las empresas tomar en serio a la Oficina. Los requisitos de respuesta a incidentes, informes, supervisión y experiencia que los reguladores imponen a las empresas hacen que sea fundamental que las empresas obtengan la mayor asistencia posible para gestionar estos incidentes.
La investigación más exhaustiva ayudará a informar una auditoría exhaustiva de lo que salió mal más tarde y ayudará a remediar el daño que podría existir mucho más allá de sus propios límites corporativos pero estar relacionado con su incidente de seguridad cibernética.
También significa planificar y presupuestar estos incidentes, los requisitos, los cambios necesarios y las pruebas esperadas para los planes de respuesta a incidentes, los costos de la experiencia mejorada y las auditorías y evaluaciones de riesgos, y los gastos asociados con la coordinación del trabajo de uno con más entidades y expertos externos. Todos sabemos que ninguno de estos es gratuito.
Dejaré que el FBI tenga la última palabra aquí, ya que aseguraron a las empresas en una conferencia el año pasado sobre lo que dirán si la Comisión de Bolsa y Valores utiliza la evidencia obtenida de sus investigaciones cibernéticas como palanca para acusar a las empresas de acciones de cumplimiento.
“La relación regulatoria es entre el regulador y la víctima. El FBI no es un representante de eso, y nunca permitiremos que se nos utilice como representante”.
