Разделы

Безопасность Стратегия безопасности Бизнес Законодательство Техника

Власти США будут отдавать ИТ-компании под суд за плохую киберзащиту

Новая инициатива Министерства юстиции США предполагает, что правительственные подрядчики, скрывшие кибератаку и не наладившие у себя надлежащую киберзащиту, могут быть привлечены к суду.

Не врать и не скрывать

Министерство юстиции США анонсировало свою новую инициативу, согласно которой правительственные подрядчики этой страны, скрывшие факт киберинцидента от уполномоченных органов, будут отвечать за это по суду.

Гражданская инициатива по борьбе с кибермошенничество (Civil Cyber-Fraud Initiative), объявленная Минюстом, также предусматривает, что ведомство будет привлекать к суду и тех правительственных подрядчиков, что не обеспечили себе киберзащиту, соответствующую стандартным требованиям.

«В рамках инициативы ответственности будут подлежать организации и физические лица, которые ставят под угрозу информацию или системы в США, поставляя заведомо неэффективные продукты или услуги, связанные с кибербезопасностью, предоставляя некорректную информацию о практических мерах и протоколах в сфере кибербезопасности или сознательно нарушают обязательства в области мониторинга и информирования об инцидентах с кибербезопасностью и утечках данных», — говорится в заявлении министерства юстиции.

В США действует закон о ложных сообщениях (False ClaimsAct), согласно которому ответственность затрагивает всех, кто предоставляет правительству страны ложную информацию.

antihakery600.jpg
Минюст США будет отдавать под суд за плохую киберзащиту

В соответствии с этим законом те подрядчики, которые предоставляют госорганам ложную информацию о защищенности своей инфраструктуры, вполне могут быть привлечены к ответственности.

Закон также предусматривает защиту и даже вознаграждение для лиц, которые сообщат властям о нарушениях в проштрафившихся организациях.

С подрядчиков спрос особый

В целом инициатива призвана усилить киберзащиту правительственных учреждений и снизить риски, связанные с недостатками защиты в организациях-поставщиках.

Инициатива Минюста отчасти связана с кибератаками на госорганы последних месяцев, которые осуществлялись в том числе опосредованно, через взломы крупных поставщиков мониторингового ПО — Solar Winds и Kaseya. Кроме государственный агентств тогда пострадали сотни коммерческих структур, использовавших ПО этих двух компаний.

«Судебное преследование — крайняя мера, но, возможно, именно она заставит правительственных подрядчиков принять необходимые меры к своей защите, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEQ. — К компаниям, осуществляющим поставки продуктов и услуг правительственным органам, должны предъявляться намного более высокие требования в плане обеспечения киберзащиты, нежели к другим организациям. Так что данная инициатива весьма рациональна, пусть и выглядит драконовской».

Минюст также планирует создать специальный общенациональный отдел по контролю над криптобиржами (National Cryptocurrency Enforcement Team), задачей которого будет борьба с теми криптообменными ресурсами, которые причастны к бизнесу шифровальщиков-вымогателей и помогают киберпреступникам отмывать деньги.

«Криптовалюты хотят стать банками будущего, в таком случае мы должны удостовериться, что их клиенты могут пользоваться этими системами без лишних рисков, и что у нас есть возможности предотвращать направленные на них злоупотребления. Поэтому мы и создаём этот отдел», — заявила заместитель генерального прокурора США Лайза Монако (Lisa Monaco).

Роман Георгиев