ארה״ב: מלחמות אגו מאיימות לסנדל את החקיקה המחייבת דיווח בעת אירוע סייבר ברשתות פדרליות
מאבקי כוח בין ה-FCC ל-CISA ובין CISA לרשויות פדרליות, מאיימים על היכולת של הקונגרס לייצר הרמוניה "ויישור קו״ בין כלל הרשתות הפדרליות כדי לגרום לחקיקה להתקיים בפועל
עמי רוחקס דומבה
| 13/04/2022
https://www.c-span.org/video/?519019-1/fcc-oversight-hearing
פרסום באתר nextgov חושף את מלחמות האגו מאחורי הקלעים של החקיקה לדיווח אודות אירועי סייבר ברשתות פדרליות בארה״ב. החוק הקרוי ״incident reporting law״ מטיל על הסוכנות לאבטחת סייבר ותשתיות (CISA) את האחריות לסנכרן איך, למה וכמה צריך לדווח בקרב עשרות רשויות פדרליות בארה״ב. והוא נותן לה 3.5 שנים לעשות זאת. ״יש משקיפים שאומרים שיכול לקחת עוד יותר זמן - ואולי אפילו לא יהיה אפשרי - לממש את כוונתו (של החוק) ״, נכתב בפרסום.
לצד CISA, המנוהלת על ידי Jen Easterly, רשות התקשורת הפדרלית האמריקאית (FCC), המנוהלת על ידי ג'סיקה רוזנוורצל, לא רוצה לוותר על חלקה בעוגת הסייבר, עם פורום הכולל כ-30 גופים רגולטוריים, אותו מנהלת הרשות מאז 2014.
"נדון כיצד הקבוצה הזו יכולה לעבוד על השגת עקביות רבה יותר בדיווח על תקריות סייבר", אמרה יו"ר ה-FCC, רוזנוורצל, בנאום בפני נציגי 30 סוכנויות רגולטוריות וייעוץ, לפי הודעה לעיתונות שהוועדה פרסמה ביום שישי האחרון.
"כרגע, יש הרבה פיצול בין מגזרים ותחומי שיפוט באיזה מידע מדווח, מתי וכיצד הוא מדווח, וכיצד ניתן להשתמש במידע הזה. אז נדון בשימוש בפורום הזה כמקום לעבוד לקראת התכנסות גדולה יותר בנושאים האלה".
כינוס הפורום של ה-FCC, בשעה שהאחריות הוטלה על CISA, מייצר מתיחות סביב השאלה מי יקבע את הממד התפעולי של החקיקה. בצורה אחרת, מי הגוף שיוביל את הרגולציה בסייבר בעתיד. ״CISA לא הגיבה עד למועד האחרון עם תגובה לסיפור הזה״, כותבים בפרסום של nextgov.
CISA כבר החלה לעסוק במשימה שהקונגרס הטיל עליה לפקח על תהליך קביעת חוקים ועל מועצה בין-סוכנויות למטרת גיבוש הסכמים עם סוכנויות ספציפיות למגזר, כגון משרד האנרגיה ואחרות שכבר יש להן דרישות דיווח על אירועים.
בכירים ב-CISA ו-DHS השתתפו בפורום של ה-FCC - שהיה סגור לעיתונות - יחד עם מנהל הסייבר הלאומי כריס אינגליס וסגן היועץ לביטחון לאומי לסייבר ולטכנולוגיה מתפתחת אן נויברגר.
בינתיים, מחוקקים בעלי סמכות שיפוט על הסוכנויות הספציפיות למגזר כבר מתחילים לדחוף את פקידי הקבינט להגן על הרשויות שלהם בתחום אבטחת הסייבר במהלך תהליך קביעת החוקים של CISA.
"אנו כותבים כדי לבקש מכם להבטיח שמשרד האנרגיה ישמור על סמכותו הקיימת כסוכנות לניהול סיכונים במגזר לאבטחת סייבר במגזר האנרגיה", כתבו היו"ר וחברי הדירוג של ועדות הבית והסנאט הרלוונטיות במכתב למזכירת האנרגיה ג'ניפר גרנהולם.
"ללא מעורבותך ותשומת הלב המיידית שלך, אנו מודאגים שהתפקיד של DOE בסיוע להבטיח אבטחת סייבר של מגזר האנרגיה יפחת."
שרדול דסאי, שותף במשרד עורכי הדין הולנד ונייט שעבד בעבר עבור משרד התובע האמריקאי לפשעי סייבר, אמר ל-Nextgov כי "יש לך חוק פדרלי שאומר לך לעשות הרמוניה, אז אני צופה שהסוכנויות יקחו את זה ברצינות וינסו לפתור משהו. אבל המיקודים של הסוכנויות ושל CISA מעט שונים, ו... אני לא רואה איך נשיג את ההרמוניה הזו. אני חושב שהדרך היחידה שנגיע לשם היא אם יהיו לנו ויתורים מהסוכנויות, מה ששוב, אני לא צופה".
דסאי אמר שהוא מצפה שהמשא ומתן בין CISA לבין סוכנויות ספציפיות למגזר עדיין יתקיים בעוד חמש שנים מהיום.
מאבקי כוח בין ה-FCC ל-CISA ובין CISA לרשויות פדרליות, מאיימים על היכולת של הקונגרס לייצר הרמוניה "ויישור קו״ בין כלל הרשתות הפדרליות כדי לגרום לחקיקה להתקיים בפועל
https://www.c-span.org/video/?519019-1/fcc-oversight-hearing
פרסום באתר nextgov חושף את מלחמות האגו מאחורי הקלעים של החקיקה לדיווח אודות אירועי סייבר ברשתות פדרליות בארה״ב. החוק הקרוי ״incident reporting law״ מטיל על הסוכנות לאבטחת סייבר ותשתיות (CISA) את האחריות לסנכרן איך, למה וכמה צריך לדווח בקרב עשרות רשויות פדרליות בארה״ב. והוא נותן לה 3.5 שנים לעשות זאת. ״יש משקיפים שאומרים שיכול לקחת עוד יותר זמן - ואולי אפילו לא יהיה אפשרי - לממש את כוונתו (של החוק) ״, נכתב בפרסום.
לצד CISA, המנוהלת על ידי Jen Easterly, רשות התקשורת הפדרלית האמריקאית (FCC), המנוהלת על ידי ג'סיקה רוזנוורצל, לא רוצה לוותר על חלקה בעוגת הסייבר, עם פורום הכולל כ-30 גופים רגולטוריים, אותו מנהלת הרשות מאז 2014.
"נדון כיצד הקבוצה הזו יכולה לעבוד על השגת עקביות רבה יותר בדיווח על תקריות סייבר", אמרה יו"ר ה-FCC, רוזנוורצל, בנאום בפני נציגי 30 סוכנויות רגולטוריות וייעוץ, לפי הודעה לעיתונות שהוועדה פרסמה ביום שישי האחרון.
"כרגע, יש הרבה פיצול בין מגזרים ותחומי שיפוט באיזה מידע מדווח, מתי וכיצד הוא מדווח, וכיצד ניתן להשתמש במידע הזה. אז נדון בשימוש בפורום הזה כמקום לעבוד לקראת התכנסות גדולה יותר בנושאים האלה".
כינוס הפורום של ה-FCC, בשעה שהאחריות הוטלה על CISA, מייצר מתיחות סביב השאלה מי יקבע את הממד התפעולי של החקיקה. בצורה אחרת, מי הגוף שיוביל את הרגולציה בסייבר בעתיד. ״CISA לא הגיבה עד למועד האחרון עם תגובה לסיפור הזה״, כותבים בפרסום של nextgov.
CISA כבר החלה לעסוק במשימה שהקונגרס הטיל עליה לפקח על תהליך קביעת חוקים ועל מועצה בין-סוכנויות למטרת גיבוש הסכמים עם סוכנויות ספציפיות למגזר, כגון משרד האנרגיה ואחרות שכבר יש להן דרישות דיווח על אירועים.
בכירים ב-CISA ו-DHS השתתפו בפורום של ה-FCC - שהיה סגור לעיתונות - יחד עם מנהל הסייבר הלאומי כריס אינגליס וסגן היועץ לביטחון לאומי לסייבר ולטכנולוגיה מתפתחת אן נויברגר.
בינתיים, מחוקקים בעלי סמכות שיפוט על הסוכנויות הספציפיות למגזר כבר מתחילים לדחוף את פקידי הקבינט להגן על הרשויות שלהם בתחום אבטחת הסייבר במהלך תהליך קביעת החוקים של CISA.
"אנו כותבים כדי לבקש מכם להבטיח שמשרד האנרגיה ישמור על סמכותו הקיימת כסוכנות לניהול סיכונים במגזר לאבטחת סייבר במגזר האנרגיה", כתבו היו"ר וחברי הדירוג של ועדות הבית והסנאט הרלוונטיות במכתב למזכירת האנרגיה ג'ניפר גרנהולם.
"ללא מעורבותך ותשומת הלב המיידית שלך, אנו מודאגים שהתפקיד של DOE בסיוע להבטיח אבטחת סייבר של מגזר האנרגיה יפחת."
שרדול דסאי, שותף במשרד עורכי הדין הולנד ונייט שעבד בעבר עבור משרד התובע האמריקאי לפשעי סייבר, אמר ל-Nextgov כי "יש לך חוק פדרלי שאומר לך לעשות הרמוניה, אז אני צופה שהסוכנויות יקחו את זה ברצינות וינסו לפתור משהו. אבל המיקודים של הסוכנויות ושל CISA מעט שונים, ו... אני לא רואה איך נשיג את ההרמוניה הזו. אני חושב שהדרך היחידה שנגיע לשם היא אם יהיו לנו ויתורים מהסוכנויות, מה ששוב, אני לא צופה".
דסאי אמר שהוא מצפה שהמשא ומתן בין CISA לבין סוכנויות ספציפיות למגזר עדיין יתקיים בעוד חמש שנים מהיום.
