Lagstiftning skulle skapa nya regler för cybersecurity

Två amerikanska senatorer har infört lagstiftning som skulle omarbeta nationens cybersecurity-insatser, och skulle enligt uppgift ge regeringen möjlighet att reglera vissa privata företags cybersäkerhetsinsatser för första gången. Senare Jay Rockefeller, en West Virginia-demokrat och senator Olympia Snowe, en republikan i Maine, införde lagstiftningen onsdag men några detaljerna var inte omedelbart tillgängliga. Tidigare onsdag uppgav Washington Post att lagstiftningen kommer att omfatta nya mandat på statliga nätverk och på privata nätverk som styr elnät, vattenfördelning och andra viktiga tjänster.

En talesman för senatskommittén för handel, vetenskap och transport, varav Rockefeller är ordförande, sade onsdag hon hade få detaljer om räkningen onsdag eftermiddag. Räkningen skulle inrätta en ny nationell cybersäkerhetsrådgivare i president Barack Obamas verkställande kontor, och det skulle "återskapa förhållandet mellan regeringen och den privata sektorn om cybersäkerhet", sade en pressmeddelande från utskottet.

[Ytterligare läsning: Hur för att ta bort skadlig kod från din Windows-dator]

"Vi måste skydda vår kritiska infrastruktur till varje pris - från vårt vatten till vår el, till bank, trafikljus och elektroniska hälsoprogram - listan fortsätter", sa Rockefeller. ett påstående. "Det är en underdrift att säga att cybersäkerhet är ett av de viktigaste frågorna vi står inför. Våra livs alltmer kopplade natur förstärker bara vår sårbarhet mot cyberattacker och vi måste agera nu."

Rockefeller sa under en 19 marshörning att han och Snowe arbetade på en proposition, med en del av fokus på att uppmuntra fler amerikanska studenter att studera cybersecurity. Men han klagade också på att få amerikanska invånare uppmärksammade landets säkerhetsproblem.

"Jag anser [cybersecurity] som ett djupt oroande problem som vi inte lägger mycket uppmärksamhet på," sa han då. "Problemet är att Amerika är oacceptabelt utsatt för massiv cyberbrottslighet." Han kallade då för regeringsledare och den privata sektorn att arbeta tillsammans om cybersäkerhet. "Vi behöver ett samordnat offentlig-privat svar, och för närvarande finns det ingen," Rockefeller sa.

Rockefeller och andra lagstiftare har nyligen tagit upp bekymmer för att cyberterrorister skulle kunna attackera och sätta ner USA: s infrastruktur, inklusive banker, flygkontroll, järnvägskontroll och telekommunikation. Den lagstiftning han har infört följer i stort sett riktlinjerna i en rapport från december från en kommission för internetberoende experter anordnade av centrumet för strategiska och internationella studier (CSIS), en Washington, DC, tank, enligt pressmeddelandet från handelskommittén.

Men vissa cybersäkerhetsexperter har ifrågasatt om nya regler för den privata sektorn skulle förbättra säkerheten. "Säkerhet är en attityd och det är svårt att lagstifta attityd", säger Brian Chess, grundare och chefforskare vid Fortify Software, en leverantör av cybersäkerhet. "Det har mer att göra med att förstå effekterna av osäker programvara på organisationen. De företag som leder inom detta område gör det som en del av en efterlevnad, men de känner igen att det är billigare att använda förebyggande säkerhet."

Tidigare den här veckan släppte Fortify ett vitt papper fokuserat på att bygga säkerheten i regeringens programvara. Rapporten tittar på de bästa metoderna för organisationer som har haft goda säkerhetsuppgifter för cybersäkerhet och rekommenderar att statliga organisationer behöver starka ledare, stark kompetens inom cybersäkerhet och fokus på förebyggande säkerhetsstandarder.

Dessutom måste statliga organisationer stärka säkerheten i deras förvärvsprocesser och fokuserar på att fixa eller ersätta sitt äldre program, säger rapporten.

"Frågan är att vi måste fästa en ny känsla av brådska på [cybersecurity]", säger Howard Schmidt, VD och chef för informationssäkerhetsforumet och en rådgivare till CSIS cybersecurity-gruppen och att stärka. "Vi går igenom denna ständiga cykel för att slå oss upp och slå oss upp, istället för att få det rätt från början." Schmidt, en före detta cybersäkerhetsrådgivare till eBay, Microsoft och Vita huset, kallade Federal Information Security Management Act (FISMA) 2003, en lag som utfärdar federala myndigheter till årliga cybersecurity recensioner, en till stor del misslyckad "övning i pappersarbete." FISMA betygsätter federala byråer inom flera säkerhetsområden.

I stället för att kolla de lådor som ingår i regelverket, kan federala byråer arbeta för förebyggande säkerhetsåtgärder, säger han.

"På något sätt är det bra att veta huset är i brand, "tillade schack. "Men låt oss stoppa vad som orsakar elden."