Una ley de seguridad cibernética del buen samaritano



La legislación debería proteger a los buenos hackers que están ayudando a mantenernos a salvo, no solo a perseguir a los malos.

El arresto y exoneración de los dos empleados de Coalfire atrapados irrumpiendo en un juzgado del condado de Iowa en septiembre de 2019, destacan los desafíos que enfrenta nuestro sistema legal para abordar el rápido ritmo de la seguridad cibernética en un mundo cada vez más conectado. Las circunstancias muestran la gran necesidad de colaboración entre diferentes equipos para elevar los niveles generales de seguridad en los sistemas físicos y cibernéticos.

Coalfire contrató a estas personas como hackers para probar los sistemas de seguridad física. Encontraron la puerta principal del juzgado en el condado de Dallas, Iowa, abierta y activaron la alarma deliberadamente para notificar a la policía. Fueron arrestados, acusados ​​de delincuentes, encarcelados y ahora tienen registros de arrestos permanentes, simplemente por hacer su trabajo.

El episodio de Iowa debería ser una señal de advertencia para toda la industria de la seguridad y una llamada de atención a los legisladores de que se requieren mejores protecciones para la comunidad de ciberseguridad y el trabajo que realizan defendiendo nuestras instituciones contra el cibercrimen. Hoy en día, los probadores de ciberseguridad tienen muy poca protección legal, y una ley de ciberseguridad del buen samaritano protegería a aquellos que realizan un trabajo de investigación crítico para probar nuestras defensas cibernéticas durante todo el día. Esta ley debe tratar de proporcionar protección penal y de responsabilidad individual para realizar trabajos de seguridad cibernética cuando:

  1. Trabajando como empleado de una empresa o división de seguridad cibernética
  2. Bajo contrato con la entidad que está realizando el trabajo.
  3. Tener documentación sobre el alcance y el enfoque del compromiso
  4. Están realizando tareas razonables relacionadas con el compromiso

(Nota: Esto aún permitiría a los clientes ir tras las empresas que contratan, pero protegería a los individuos de ser personalmente responsables).

«Hacker» recuerda a los detectives de ciberseguridad que descifran códigos, roban contraseñas, comprometen dispositivos, instalan ransomware y transfieren fondos ilegalmente. A medida que Estados Unidos se vuelve más sofisticado en la protección del mundo digital, los sistemas físicos se están convirtiendo en un objetivo, uno con una superficie de ataque que es relativamente fácil de penetrar. Obtener acceso físico es una de las formas más fáciles de piratear una pink. Esto podría incluir el acceso a registros en papel, la instalación de equipos o software en la crimson, o simplemente la instalación de sistemas de puerta trasera encubiertos.

El concepto de combinar ataques físicos y ataques cibernéticos para probar un sistema no es nada nuevo. El término «equipo rojo» se united states of america en la industria para describir un método de prueba del sistema basado en pensar y actuar como un tipo malo. Los equipos rojos ayudan a las empresas a ver cómo ocurren los robos y las interrupciones del negocio, para evaluar la fortaleza y durabilidad de sus defensas, identificar dónde existen vulnerabilidades y exponer debilidades que podrían considerarse negligentes y contribuir a una violación.

Los riesgos de llevar a cabo un equipo rojo aumentan a medida que más chicos malos se esconden en el ciberespacio. La aplicación de la ley y el sistema authorized tienen el poder de interpretar la legalidad de nuestro trabajo. En el caso de Iowa, el problema no tenía nada que ver con las defensas del sistema o las leyes específicas, sino que se reducía a la autoridad del estado compared to la autoridad del condado neighborhood para dictar y hacer cumplir. En consecuencia, los dos probadores de la pluma tomaron el calor. Esta no rendición de cuentas es arcaica y no está a la altura de las realidades del mundo cibernético, donde las amenazas aumentan y las pruebas del sistema, ya sean urnas o cerraduras de los juzgados, se están convirtiendo en la nueva norma para las empresas e instituciones estadounidenses.

La industria de la ciberseguridad necesita hacer un mejor trabajo para identificar y publicar las mejores prácticas. El Instituto Nacional de Estándares y Tecnología (NIST) ha desarrollado muchas mejores prácticas que se utilizan como base para las pruebas de hoy en día, incluido el Sistema Común de Calificación de Vulnerabilidad (CVSS), la Vulnerabilidad y Exposición Común (CVE), la Base de Datos Nacional de Vulnerabilidad, la Seguridad adoptada y los Controles de privacidad 800-53, el Marco de seguridad cibernética y el Estándar de ejecución de pruebas de penetración (PTES).

Pero cuando se trata de plantillas de órdenes de servicio y lenguaje authorized para usar como una mejor práctica para la formación de equipos rojos, hay muy poco por ahí. La gran mayoría de las empresas de pruebas de penetración son pequeñas, con menos de 100 empleados y recursos legales o financieros limitados. El lenguaje del contrato debe estar disponible públicamente y abierto a la entrada.

Además de las mejores prácticas de la industria, se necesita una mejor legislación para proteger a los profesionales de ciberseguridad que trabajan bajo contrato. Las direcciones físicas o las direcciones virtuales (conocidas como direcciones IP) que se dan para probar el alcance del trabajo a menudo carecen de detalles y resultan estar fuera de lugar. Los probadores de penetración generalmente pueden avanzar y hacer el trabajo, pero cada vez más, estos probadores están tomando grandes riesgos cuando una asignación cambia y las autoridades locales (como las de Iowa) son tomadas por sorpresa.

Necesitamos legislación para proteger a los buenos hackers, no solo perseguir a los malos. Una ley de seguridad cibernética del buen samaritano permitiría a los buenos hacer su trabajo y fomentaría una mayor colaboración entre las defensas cibernéticas del sector público y privado. Esto ayudaría a impulsar un cambio positivo en toda la industria a medida que la seguridad de la información y la seguridad física continúen convergiendo.

Contenido relacionado:

Tom McAndrew es el CEO de Coalfire, un asesor de riesgos de seguridad para organizaciones del sector público y privado, incluidas agencias gubernamentales y empresas privadas. Es reconocido en el FCW Federal 100 y por ICS2 como uno de los principales líderes de seguridad de alto nivel en América del Norte. … Ver biografía completa

Más ideas





Enlace a la noticia original