El Departamento de Justicia multará a los contratistas por no informar de incidentes cibernéticos

El Departamento de Justicia impondrá grandes multas a los contratistas federales que no cumplan con lo que su segundo al mando dijo que son «los estándares de seguridad cibernética requeridos», incluida la divulgación de infracciones de seguridad cibernética.

La subsecretaria de Justicia, Lisa Monaco, dio a conocer la nueva política el miércoles en una conferencia de ciberseguridad organizada por The Aspen Institute, una organización de investigación y políticas sin fines de lucro, y dijo que «durante demasiado tiempo, las empresas han optado por el silencio bajo la creencia errónea de que es menos riesgoso ocultar una infracción». que adelantarlo e informarlo. Bueno, eso cambia hoy «.

“Cuando aquellos a quienes se les confía dinero del gobierno, a quienes se les confía trabajar en sistemas gubernamentales sensibles, no cumplen con los estándares de ciberseguridad requeridos, vamos a perseguir ese comportamiento y obtener multas muy considerables”, dijo.

El Departamento de Justicia usará los poderes bajo la Ley de Reclamaciones Falsas, una ley que apunta a personas u organizaciones que defraudan al gobierno de los Estados Unidos, y se incluirán protecciones a los denunciantes, dijo Monaco.

Las empresas que reciben fondos federales y que, a sabiendas, tergiversan sus defensas, suministran equipos de ciberseguridad defectuosos o no informan incidentes están cubiertas por la nueva iniciativa, según el Departamento de Justicia. No respondió a una solicitud de comentarios.

Según la FCA, una ley de la época de la Guerra Civil, es una violación presentar un reclamo de fondos al gobierno que incluya información falsa, como que un contratista envíe una factura por un trabajo que no hizo, dijo Kellen Dwyer, socio. en el grupo de investigaciones gubernamentales y de ciberseguridad del bufete de abogados Alston & Bird.

El Departamento de Justicia dijo que obtuvo más de $ 2.2 mil millones en acuerdos y sentencias bajo la FCA en el año fiscal que finalizó el 30 de septiembre de 2020, principalmente a través de violaciones en el sector de la salud.

Un uso «agresivo» de la FCA en el ámbito de la ciberseguridad es parte del impulso de la administración de Biden para utilizar los poderes ejecutivos para obligar a las empresas a informar sobre incidentes cibernéticos y cumplir con los estándares de seguridad, dijo Dwyer, ex vicefiscal general adjunto de Justicia. División de Seguridad Nacional del Departamento, donde trabajó en temas relacionados con la piratería patrocinada por el estado.

Para que la FCA sea más eficaz en estas situaciones, los contratos entre empresas y organismos federales podrían requerir, por ejemplo, que una empresa presente una factura y certifique que ha cumplido con los requisitos de seguridad cibernética, dijo Dwyer.

“Cada vez que envía una factura, debe incluir una cláusula de que no hemos tenido ningún incidente cibernético que no hayamos informado. Si sabe que ha tenido un incidente, entonces eso es potencialmente una afirmación falsa ”, dijo.

Más de WSJ Pro Cybersecurity

Pero leyes como la FCA se redactaron en diferentes épocas y no fueron diseñadas para combatir el ciberdelito, dijo Lisa MacLean, directora de educación en ciberseguridad en Flatiron School, una organización educativa en la ciudad de Nueva York. Es posible que en un futuro cercano se necesite una revisión de los poderes legales existentes utilizados para procesar asuntos de seguridad cibernética para garantizar que sean aptos para ese propósito, dijo.

“Debe haber un equilibrio entre asegurarse de que exista algún tipo de incentivo para que las empresas eviten estas cosas, sin arruinar por completo su reputación o su sustento”, dijo MacLean.

La iniciativa del Departamento de Justicia se produce en medio de un creciente escrutinio por parte del gobierno y el Congreso sobre cómo las agencias federales, los contratistas y los operadores de infraestructura crítica protegen sus sistemas informáticos.

En mayo, el presidente Joe Biden emitió una orden ejecutiva que ordena varias revisiones de seguridad cibernética para las agencias federales y aquellos que hacen negocios con el gobierno, incluido el uso de autenticación multifactorial. Y en las últimas semanas, la Cámara y el Senado han debatido nuevas leyes que requerirían que ciertas empresas reporten incidentes graves de ciberseguridad a la Agencia de Seguridad de Infraestructura y Ciberseguridad.

Además, la Administración de Seguridad del Transporte emitió dos conjuntos de requisitos de ciberseguridad para los operadores de oleoductos este verano, después de que un ataque de ransomware en mayo contra Colonial Pipeline Co. obligara a cerrar durante seis días una importante arteria de combustible de la costa este. El secretario de Seguridad Nacional, Alejandro Mayorkas, dijo el miércoles que se emitirán más pautas de la TSA para los operadores ferroviarios y aeroportuarios más importantes.

Estas iniciativas y otras acciones para mitigar los efectos del delito cibernético reflejan cómo el gobierno de EE. UU. Está abordando la ciberseguridad como un problema de seguridad nacional, dijo Tom Kellermann, jefe de estrategia de ciberseguridad de la empresa de software VMware Inc.,

mediante el uso de una variedad de autoridades civiles y penales en todas las agencias para forzar cambios en la seguridad cibernética.

«La sostenibilidad a largo plazo de la economía estadounidense está completamente respaldada y depende de la ciberseguridad», dijo Kellermann.

Escribir a James Rundle en [email protected] y Kim S. Nash en [email protected]

Copyright © 2021 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8

Fuente: WSJ