En una iniciativa pionera anunciada por el Departamento de Justicia esta semana, los contratistas federales serán demandados si no informan sobre un ciberataque o filtraciones de datos. La recién introducida “Iniciativa civil contra el fraude cibernético” aprovechará las Ley de Reclamaciones Falsas para perseguir a los contratistas y beneficiarios de subvenciones involucrados en lo que el Departamento de Justicia llama “fraude de ciberseguridad”. Por lo general, el gobierno utiliza la Ley de Reclamaciones Falsas para abordar demandas civiles por reclamos falsos en relación con fondos federales y propiedades relacionadas con programas gubernamentales.
Los contratistas cibernéticos eligieron el silencio “durante demasiado tiempo”
“Durante demasiado tiempo, las empresas han optado por el silencio bajo la creencia errónea de que es menos riesgoso ocultar una infracción que adelantarla y denunciarla”, dijo la fiscal general adjunta Lisa O. Monaco, pionera en la iniciativa. , eso cambia hoy. Hoy anunciamos que usaremos nuestras herramientas de ejecución civil para perseguir a las empresas, aquellas que son contratistas del gobierno que reciben fondos federales, cuando no cumplen con los estándares de ciberseguridad requeridos, porque sabemos que eso nos pone a todos en riesgo. Ésta es una herramienta que tenemos para asegurar que los dólares de los contribuyentes se utilicen de manera adecuada y proteger el fisco público y la confianza pública “.
La introducción de la Iniciativa Civil contra el Fraude Cibernético es el “resultado directo” de la revisión exhaustiva en curso del departamento del panorama de la seguridad cibernética ordenada por el fiscal general adjunto en mayo. El objetivo detrás de estas actividades de revisión es desarrollar recomendaciones prácticas que mejoren y amplíen los esfuerzos del Departamento de Justicia para combatir las amenazas cibernéticas.
El lanzamiento de la iniciativa tiene como objetivo frenar las amenazas de ciberseguridad nuevas y emergentes a sistemas sensibles y críticos al reunir a expertos en la materia de agencias de fraude civil, contratación pública y ciberseguridad.
El desarrollo llega en un momento en que los ataques cibernéticos son desenfrenados y las bandas de ransomware avanzado se dirigen repetidamente a infraestructuras críticas, como Colonial Pipeline e instalaciones de atención médica.
Las disposiciones de la ley protegerían a los denunciantes
La Iniciativa Civil contra el Fraude Cibernético utilizará la Ley de Reclamaciones Falsas, también conocida como la “Ley Lincoln”, que sirve como una herramienta de litigio para el gobierno cuando se responsabiliza a quienes defraudan programas gubernamentales.
“La ley incluye una disposición única sobre denunciantes, que permite a las partes privadas ayudar al gobierno a identificar y perseguir conductas fraudulentas y participar en cualquier recuperación y protege a los denunciantes que traen estas violaciones y fallas de represalias”, explicó el Departamento de Justicia en un presione soltar.
La iniciativa responsabilizará a entidades, como contratistas federales o individuos, cuando pongan en riesgo la infraestructura cibernética de los EE. UU. Al “proporcionar productos o servicios de ciberseguridad deficientes, tergiversar a sabiendas sus prácticas o protocolos de ciberseguridad o violar a sabiendas las obligaciones de monitorear e informar incidentes de ciberseguridad e infracciones “.
En resumen, la iniciativa está diseñada con los siguientes objetivos en mente:
- Construyendo una amplia resiliencia contra las intrusiones de ciberseguridad en el gobierno, el sector público y socios clave de la industria.
- Hacer que los contratistas y beneficiarios cumplan sus compromisos de proteger la información y la infraestructura del gobierno.
- Apoyar los esfuerzos de los expertos gubernamentales para identificar, crear y publicitar oportunamente parches para vulnerabilidades en productos y servicios de tecnología de la información de uso común.
- Garantizar que las empresas que sigan las reglas e inviertan en el cumplimiento de los requisitos de ciberseguridad no se encuentren en desventaja competitiva.
- Reembolsar al gobierno y a los contribuyentes las pérdidas incurridas cuando las empresas no cumplen con sus obligaciones de ciberseguridad
- Mejorar las prácticas generales de ciberseguridad que beneficiarán al gobierno, los usuarios privados y el público estadounidense.
El momento de este anuncio también coincide con la creación por parte del fiscal general adjunto de un “Equipo nacional de aplicación de criptomonedas“diseñado para abordar investigaciones complejas y casos criminales de uso indebido de criptomonedas. En particular, las actividades del equipo se centrarán en delitos cometidos por intercambios de criptomonedas y operaciones de lavado de dinero.
Lo que se destaca, sin embargo, es que la Iniciativa Civil contra el Fraude Cibernético perseguiría a aquellos que fueron deliberadamente negligentes en la implementación de una postura sólida de ciberseguridad o aquellos que deliberadamente tergiversaron sus prácticas de seguridad cibernética, dejando espacio para una negación plausible.
Igualmente interesante es el hecho de que hace apenas dos días, la senadora Elizabeth Warren y la representante Deborah Ross propusieron un nuevo proyecto de ley denominado “Ley de divulgación de rescate. “La ley requeriría que las víctimas de ransomware revelen detalles de cualquier monto de rescate pagado dentro de las 48 horas posteriores al pago y divulguen” cualquier información conocida sobre la entidad que exige el rescate “.