La frecuencia y la sofisticación de los ataques de ciberseguridad contra los gobiernos estatales y locales de Estados Unidos están en aumento, pero ahora el estado de Nueva York ha promulgado una legislación para garantizar que las respuestas de las entidades públicas a estos incidentes sean fiables.
A principios de este verano, la gobernadora Kathy Hochul firmó la ley S.7672A/A.6769A, impulsada por la senadora estatal Mónica R. Martínez, para fortalecer la prevención, notificación y recuperación de incidentes cibernéticos en los municipios de Nueva York.
La ley exige que todas las corporaciones municipales y autoridades públicas informen sobre incidentes de ciberseguridad a la División de Seguridad Nacional y Servicios de Emergencia del Estado de Nueva York en un plazo de 72 horas y que notifiquen cualquier pago por ransomware en un plazo de 24 horas.
Si se paga un rescate, la ley exige una presentación de seguimiento dentro de los 30 días, identificando el monto pagado, el motivo del pago y las medidas adoptadas para confirmar que el pago cumplió con las leyes aplicables.
La medida también exige capacitación anual sobre ciberseguridad para empleados gubernamentales, requiere revisiones tras incidentes significativos y establece estándares de protección de datos y ciberseguridad para los sistemas de información estatales.
Para proteger la información confidencial sobre seguridad, los informes de incidentes presentados conforme a la ley están exentos de divulgación según la Ley de Libertad de Información del estado.
“Proteger al público es la principal responsabilidad del gobierno, pero los ataques a infraestructuras críticas ponen en riesgo los servicios esenciales y a quienes dependen de ellos”, declaró la senadora Martínez.
“Este proyecto de ley brinda a los municipios la estructura, el apoyo y la rendición de cuentas que necesitan para proteger a los residentes y contribuyentes de interrupciones prolongadas en caso de un ciberataque. Agradezco a la gobernadora Hochul y a mis colegas de la Legislatura por reconocer el costo de la inacción y por impulsar esta importante legislación”.
Los ciberataques a las redes gubernamentales suelen tener consecuencias devastadoras para el público. En septiembre de 2022, el condado de Suffolk, en Nueva York, sufrió un ataque de ransomware vinculado al grupo de hackers BlackCat.
Este ataque paralizó servicios esenciales, paralizó sistemas durante semanas y expuso información personal de cientos de miles de residentes y empleados. Los datos robados aparecieron posteriormente en la red oscura, y se estima que el costo de la recuperación del condado tras el incidente superó los 25 millones de dólares.
Según la ley, los municipios y las autoridades públicas deben reportar incidentes de ciberseguridad y pagos de ransomware a través del portal seguro en línea de la División de Seguridad Nacional y Servicios de Emergencia: https://www.dhses.ny.gov/.
Si se paga un rescate, también se requiere un informe de seguimiento con detalles sobre el pago y las medidas adoptadas para confirmar su legalidad.
Se indica que los gobiernos locales, las agencias no ejecutivas y las autoridades estatales que necesiten asistencia inmediata deben seguir llamando a la línea directa del Equipo de Respuesta a Incidentes Cibernéticos del DHSES: 1-844-OCT-CIRT (1-844-628-2478).
- Más de Long Island : Anuncian financiación para Refugio de Animales Save-A-Pet y para Bomberos de Port Jefferson
