Senator AS para eksekutif teknologi mengesyorkan keperluan pelaporan hack
Senator AS para eksekutif teknologi mengesyorkan keperluan pelaporan hack

Senator AS, para eksekutif teknologi mengesyorkan keperluan pelaporan hack

Kumpulan senator bipartisan pada 23 Februari mengesyorkan agar AS mempertimbangkan untuk menghendaki syarikat untuk mendedahkan kapan mereka telah diretas.

Pada pendengaran awam pertama sebelum Kongres sejak serangan siber besar oleh suspek penggodam Rusia diungkapkan pada bulan Disember, ketua Jawatankuasa Perisikan Senat Mark Warner, seorang Demokrat, disertai oleh naib ketua jawatankuasa itu, Senator Republik Marco Rubio, untuk meminta tindakan itu . Beberapa yang lain, termasuk Senator Angus King, yang bebas, juga menyuarakan sokongan mereka, seperti juga beberapa eksekutif teknologi yang memberi keterangan.

Pada masa ini tidak ada undang-undang pemberitahuan pelanggaran data persekutuan.

“Sudah waktunya, tidak hanya untuk membicarakan, tetapi untuk mencari cara untuk mengambil tindakan untuk mengenakan dengan cara yang tepat, semacam kewajiban pemberitahuan pada entitas di sektor swasta,” kata presiden Microsoft Corp, Brad Smith. “Saya rasa ini adalah satu-satunya cara kita melindungi negara ini, dan saya rasa ini adalah satu-satunya cara kita melindungi dunia.”

Ketua Pegawai Eksekutif FireEye Inc Kevin Mandia mengatakan bahawa dia menyokong syarat agar syarikat memberitahu agensi kerajaan yang sesuai tentang peretasan. Tetapi dia mendesak agar dirahsiakan, untuk mendorong syarikat untuk turut serta di tengah masalah tanggungjawab.

Perbicaraan di hadapan jawatankuasa Warner pada hari Selasa termasuk Sudhakar Ramakrishna, Ketua Pegawai Eksekutif SolarWinds Corp – firma perisian yang berpusat di Texas yang digodam oleh penggodam sebagai bagian dari serangan itu. Dia mengatakan kepada komite bahawa alat penggodam yang digunakan untuk mengorbankan perisian syarikat “menimbulkan risiko besar serangan rantai bekalan automatik” di seluruh industri perisian.

Para senator kebanyakan menggunakan sentuhan ringan ketika menyoal Ramakrishna – yang bermula di SolarWinds pada bulan Januari setelah peretasan itu didedahkan – mengenai tanggungjawab syarikatnya dalam serangan siber besar-besaran. Dia mengatakan bahawa syarikatnya sedang menyiasat tiga kemungkinan cara yang mungkin digunakan penyerang untuk mendapatkan akses ke rangkaian syarikat tetapi belum mencapai kesimpulan.

Para senator jauh lebih sukar di Amazon Web Services kerana tidak hadir dalam perbicaraan walaupun ada undangan. Menurut SolarWinds, platform perisian Orionnya – yang dikompromikan oleh penggodam – dapat digunakan oleh pelanggan di AWS di antara platform awan yang lain.

“Operasi yang akan kita bahas hari ini menggunakan infrastruktur mereka, sekurang-kurangnya sebagian,” kata Rubio. “Rupanya mereka terlalu sibuk untuk membincangkannya di sini hari ini.”

Amazon.com Inc tidak segera menanggapi permintaan untuk memberi komen.

Penggodam yang bertanggungjawab atas kejadian itu memasukkan kod jahat ke dalam perisian SolarWinds, yang dikirimkan kepada sebanyak 18.000 pelanggan melalui kemas kini perisian, walaupun lebih sedikit yang dipercayai disasarkan dengan peretasan tambahan.

Gedung Putih telah mengesahkan bahawa penggodam memanfaatkan akses ini untuk melanggar lebih dari 100 syarikat dan sembilan agensi AS dengan peretasan susulan yang bertujuan untuk pengintipan.

Mandia, dari FireEye, mengatakan bahawa penyerang “sangat sukar dikesan”. Dia menambah bahawa penggodam nampaknya sangat prihatin dengan tetap tersembunyi. “Pada saat anda dapat mengesan orang-orang ini dan menghentikan mereka menerobos pintu, mereka semacam menguap seperti hantu sehingga operasi mereka seterusnya.”

FireEye menemui kempen penggodaman ketika menyiasat pelanggaran rangkaiannya sendiri. Mandia mengatakan dalam kenyataannya yang bersiap sedia bahawa syarikat itu menemui pencerobohan pada akhir November dan memutuskan bahawa pihak ketiga telah mengakses rangkaian mereka tanpa kebenaran. FireEye mendedahkan serangan siber pada bulan Disember.

Smith memberitahu jawatankuasa itu bahawa pemburu dan jurutera ancaman Microsoft menganalisis serangan itu dan menganggarkan terdapat 1,000 pembangun yang mengusahakan serangan tersebut. “Ini adalah operasi terbesar dan paling canggih seperti ini yang pernah kita lihat,” katanya.

Seorang saksi lain dalam perbicaraan itu, George Kurtz, pengasas bersama dan CEO Crowdstrike, firma keselamatan siber yang disewa oleh SolarWinds untuk tindak balas insiden, meminta penambahbaikan terhadap keselamatan siber persekutuan. Dia mengatakan bahawa sistem komputer lama dan peraturan pematuhan “mengurangkan kerja keselamatan teras mereka”.

Walaupun undang-undang pemberitahuan pelanggaran data mandatori adalah salah satu mekanisme di mana Kongres dapat meningkatkan keamanan siber AS, prospek untuk meluluskan undang-undang semacam itu pada tahun 2021 sangat tipis memandangkan keutamaan bantuan Covid-19 yang bersaing, menurut Dominique Shelton Leipzig, seorang pengacara privasi dan keselamatan siber di Perkins Coie LLP.

“Secara realistik, kemungkinan mendapat undang-undang privasi dan keselamatan data omnibus persekutuan nampaknya akan berlaku tahun depan,” katanya.

Perniagaan menginginkan undang-undang persekutuan kerana pada masa ini mereka harus mematuhi undang-undang pemberitahuan pelanggaran data yang berbeza di semua 50 negeri, katanya. “Ini adalah contoh sempurna di mana syarikat meminta bimbingan baik dari segi privasi dan keselamatan data,” katanya. – Bloomberg

Sila Baca Juga

Penurunan curam Bitcoin menyeret Tesla ARK ETF sepanjang perjalanan

Penurunan curam Bitcoin menyeret Tesla, ARK ETF sepanjang perjalanan

LONDON / NEW YORK (Reuters) – Penyelewengan harga Bitcoin menular ke saham Tesla Inc, yang …

%d bloggers like this: