Mematuhi Prakarsa Penipuan Siber Sipil DoJ

Di bawah Inisiatif Penipuan Siber Sipil baru dari Departemen Kehakiman (DoJ), kontraktor pemerintah akan berada di bawah peningkatan akuntabilitas untuk menerapkan langkah-langkah keamanan siber dan melaporkan pelanggaran dan insiden. Pembukaan inisiatif DoJ datang sebagai tanggapan atas kritik terhadap protokol keamanan departemen saat ini, yang sering goyah di seluruh papan dan mengizinkan penipuan terkait keamanan siber melalui kurangnya penegakan hukum.

Inisiatif Penipuan Siber Sipil akan berfokus pada standarisasi prosedur keamanan siber untuk diikuti oleh kontraktor pemerintah dan membatasi penipuan terkait keamanan siber di mana perusahaan gagal melaporkan insiden siber.

Inisiatif baru ini akan memperkuat penegakan hukum dengan menetapkan bahwa DoJ bekerja sama dengan kantor jaksa agung untuk mengejar kontraktor palsu melalui penggunaan False Claims Act yang sudah ada sebelumnya. Secara khusus, inisiatif baru ini berusaha untuk menghapus praktik saat ini di antara beberapa kontraktor di mana pelanggaran disembunyikan daripada dilaporkan, yang menciptakan risiko keamanan yang sangat besar bagi lembaga pemerintah.

Undang-Undang Klaim Palsu, yang awalnya dilembagakan pada tahun 1863 untuk mengekang penipuan oleh kontraktor pemerintah selama Perang Saudara, akan digunakan untuk 1) mengejar kontraktor yang gagal mematuhi peraturan keamanan siber DoJ 2) meminta pertanggungjawaban perusahaan yang melanggar atas kerugian yang ditimbulkan oleh pemerintah federal.

Pengumuman DoJ tentang inisiatif baru datang sebagai tanggapan terhadap “Perintah Eksekutif untuk Meningkatkan Keamanan Siber Negara” yang dikeluarkan oleh Presiden Biden pada Mei 2021, yang dilembagakan untuk memperkuat kemampuan pemerintah untuk menanggapi serangan keamanan siber dan meningkatkan keadaan keamanan siber nasional secara keseluruhan.

Setelah peretasan SolarWinds tahun lalu, yang membuat beberapa departemen federal disusupi, semua agen federal diperintahkan untuk melakukan tinjauan internal terhadap prosedur keamanan siber mereka saat ini dan mengembangkan rencana mitigasi.

Inisiatif Penipuan Siber Sipil adalah langkah selanjutnya dalam memperkuat keamanan siber dan memperjelas niat pemerintah federal untuk memperluas dan meningkatkan peran DoJ dalam memerangi serangan siber dan mengejar kejahatan terkait siber; namun, ini sangat mengubah lanskap keamanan siber bagi perusahaan yang ingin tetap patuh.

Apa yang perlu diketahui bisnis Anda

Pengumuman DoJ mengidentifikasi beberapa jenis tindakan yang dimaksudkan untuk meminta pertanggungjawaban individu dan perusahaan di bawah False Claims Act.

Pertama, kontraktor pemerintah dapat didenda maksimum $23.000 karena tidak melaporkan insiden. Namun, selain sanksi hukum, perusahaan akan dimintai pertanggungjawaban finansial atas kerugian pemerintah hingga tiga kali lipat. Oleh karena itu, jika sebuah perusahaan gagal untuk melaporkan suatu insiden, ia akan membayar denda hukum dan bertanggung jawab untuk mengganti uang yang hilang dari pemerintah — biaya ini dapat tumbuh secara eksponensial, sehingga perusahaan harus waspada dengan kepatuhan.

Sebagai catatan, Civil Cyber-Fraud Initiative juga menyertakan klausa whistleblower, yang memungkinkan pihak swasta yang memberikan informasi yang relevan dengan suatu insiden untuk berbagi aset yang dipulihkan.

Mempertimbangkan implikasi keuangan yang serius dari ketidakpatuhan, penting untuk tetap berada di depan kurva. Untuk menghindari pelanggaran peraturan baru dan membayar denda yang besar, kontraktor pemerintah harus:

Bersikaplah jujur ‚Äč‚Äčtentang prosedur keamanan siber Anda saat ini — salah mengartikan protokol keamanan Anda saat ini juga dapat dikenakan denda. Pantau dan segera laporkan pelanggaran. Berikan hanya produk atau layanan keamanan siber yang optimal — dengan sengaja menyediakan produk atau layanan yang tidak memadai akan mengakibatkan hukuman finansial yang serupa Kembangkan tim yang kuat yang didedikasikan untuk keamanan data yang terus memantau aktivitas sistem

Pada akhirnya, persyaratan baru ini dimaksudkan untuk membangun budaya kepercayaan antara pemerintah dan kontraktornya, di mana kejujuran dan keandalan dihargai dan kegiatan klandestin dihukum.

Meningkatkan taruhannya pada kepatuhan

Kontraktor sekarang menghadapi hukuman yang jauh lebih besar karena kegagalan melaporkan pelanggaran dan kelalaian lainnya, yang oleh karena itu menciptakan kasus bisnis yang mendesak bagi kontraktor pemerintah untuk menerapkan perlindungan keamanan siber yang diperlukan.

Secara tradisional, upaya keamanan siber DoJ terutama berfokus pada mengejar peretas atau sindikat kriminal keamanan siber. Civil Cyber-Fraud Initiative menunjukkan pergeseran dari pendekatan ini, sedangkan sebelumnya hanya “orang jahat” yang dikejar. Sekarang, kontraktor pemerintah yang gagal melaporkan serangan siber dan pelanggaran lainnya mungkin akan menerima tuntutan hukum dari DoJ dan jaksa agung.

Pada akhirnya, karena serangan siber menjadi ancaman keamanan nasional yang selalu mendesak, risiko yang ditimbulkan oleh ribuan kontraktor pemerintah yang gagal menerapkan prosedur keamanan siber yang ketat menciptakan kerentanan yang besar, yang telah memaksa DoJ untuk mulai mengejar kontraktor yang tidak patuh.

Inisiatif Penipuan Siber Sipil hanyalah undang-undang terbaru dalam lanskap peraturan yang berubah dengan cepat karena serangan siber menjadi lebih maju dan ada di mana-mana. Protokol keamanan siber yang terus berubah pada akhirnya membutuhkan perhatian dan kewaspadaan konstan oleh kontraktor, yang perlu mulai mendedikasikan lebih banyak sumber daya untuk memastikan mereka mengelola kewajiban hukum mereka dengan tepat.

Steven Freidkin adalah Pendiri dan CEO Ntiva, Penyedia Layanan Keamanan Terkelola (MSSP) yang berspesialisasi dalam keamanan dan kepatuhan siber.

Author: Martha Meyer