DHS meminta masukan tentang proses pelaporan insiden keamanan siber, berencana untuk meningkatkan formulir online

Divisi Keamanan Siber (CSD) dalam Badan Keamanan Siber dan Infrastruktur (CISA) Departemen Keamanan Dalam Negeri AS (DHS) mengeluarkan pemberitahuan Federal Register selama 60 hari dengan Permintaan Pengumpulan Informasi (ICR) kepada Kantor Manajemen dan Anggaran (OMB) untuk ditinjau dan disetujui. Ini merupakan pengganti pengumpulan yang sudah ada dan merupakan permintaan pengumpulan baru. ICR mengumpulkan laporan insiden keamanan siber yang terkait dengan sistem informasi lembaga Federal, laporan wajib atas nama lembaga regulasi Federal tertentu, laporan wajib karena persyaratan kontrak, dan laporan sukarela dari masyarakat. 

ICR terbaru, yang disahkan oleh Undang-Undang Modernisasi Keamanan Informasi Federal tahun 2014 (FISMA) dan Undang-Undang Keamanan Dalam Negeri, berbeda dari pelaporan insiden berdasarkan Undang-Undang Pelaporan Insiden Siber untuk Infrastruktur Kritis ( CIRCIA ). CISA akan menggunakan instrumen pengumpulan informasi yang berbeda untuk laporan insiden CIRCIA setelah tanggal berlakunya peraturan pelaksanaan CIRCIA. Paket tersebut berisi pertanyaan yang mungkin dapat digunakan CISA untuk mengumpulkan informasi laporan insiden; tidak semua pertanyaan akan ditanyakan kepada setiap responden.

Komentar dianjurkan dan akan diterima hingga 6 Desember 2024, menurut pemberitahuan yang diterbitkan minggu ini.

OMB berminat dalam komentar yang mengevaluasi apakah pengumpulan informasi yang diusulkan diperlukan untuk kinerja fungsi lembaga yang tepat, termasuk apakah informasi tersebut akan memiliki utilitas praktis; mengevaluasi keakuratan estimasi lembaga mengenai beban pengumpulan informasi yang diusulkan, termasuk validitas metodologi dan asumsi yang digunakan; meningkatkan kualitas, utilitas, dan kejelasan informasi yang akan dikumpulkan; dan meminimalkan beban pengumpulan informasi pada mereka yang harus menanggapi, termasuk melalui penggunaan teknik pengumpulan otomatis, elektronik, mekanis, atau teknologi lainnya yang tepat.

CISA bertanggung jawab untuk melaksanakan, mengoordinasikan, dan mendukung respons terhadap insiden keamanan informasi, yang mungkin berasal dari luar komunitas Federal dan memengaruhi pengguna di dalamnya, atau berasal dari dalam komunitas Federal dan memengaruhi pengguna di luarnya. Badan keamanan siber menggunakan informasi dari laporan insiden untuk mengembangkan informasi yang tepat waktu dan dapat ditindaklanjuti untuk didistribusikan ke departemen dan lembaga federal; Pemerintah negara bagian, lokal, suku, dan teritorial (SLTT); pemilik dan operator infrastruktur penting; industri swasta; dan organisasi internasional. Seringkali, penanganan insiden keamanan yang efektif bergantung pada pembagian informasi di antara pengguna individu, industri, dan pemerintah federal, yang dapat difasilitasi oleh dan melalui CISA.

Menurut FISMA, CISA mengoperasikan Pusat Insiden Keamanan Informasi Federal untuk pemerintah federal AS. Badan-badan federal memberi tahu dan berkonsultasi dengan CISA mengenai insiden keamanan informasi yang melibatkan sistem informasi Federal. CISA menyediakan bantuan teknis dan panduan kepada badan-badan Federal tentang pendeteksian dan penanganan insiden keamanan, menyusun dan menganalisis informasi insiden yang mengancam keamanan informasi, memberi tahu badan-badan tentang ancaman dan kerentanan terkini dan potensial, serta menyediakan informasi intelijen atau informasi lain tentang ancaman, kerentanan, dan insiden siber kepada badan-badan tersebut. 

CISA juga menerima laporan insiden dari entitas non-federal yang melapor untuk memenuhi persyaratan peraturan, undang-undang, dan/atau kontrak yang berlaku. Terakhir, CISA menerima laporan insiden sukarela dari entitas non-federal.

Situs web CISA merupakan alat utama yang digunakan oleh konstituen untuk melaporkan informasi insiden, mengakses produk dan layanan berbagi informasi, dan berinteraksi dengan CISA. Konstituen, yang dapat mencakup siapa saja atau entitas apa pun di masyarakat, menggunakan formulir yang terdapat di situs web untuk menyelesaikan aktivitas ini. Laporan insiden terutama disampaikan menggunakan Portal Pelaporan Insiden CISA saat ini. 

Pengumpulan informasi ini akan menggantikan Formulir Pelaporan Insiden CISA saat ini. Ada perubahan signifikan pada rangkaian pertanyaan yang diajukan saat ini. Pertanyaan yang disertakan dalam paket ini untuk tinjauan publik mewakili keseluruhan dari semua pertanyaan yang mungkin dapat digunakan CISA untuk tujuan pengumpulan informasi laporan insiden di berbagai kasus penggunaan yang diuraikan di atas; tidak ada responden yang akan diberikan semua pertanyaan. 

Di Portal Pelaporan Insiden, responden akan diarahkan untuk menjawab sebagian pertanyaan berdasarkan karakteristik entitas pelapor, alasan pelaporan, dan sifat insiden. Desain dinamis Portal Pelaporan Insiden berarti bahwa alur pengalaman pengguna dari pertanyaan ke pertanyaan didorong oleh respons masing-masing responden. Tidak ada responden yang akan diminta untuk menjawab semua pertanyaan yang disertakan dalam paket ini untuk ditinjau dan disetujui.

Pengumpulan informasi ini berbeda dari upaya CISA untuk menerapkan Undang-Undang Pelaporan Insiden Siber untuk Infrastruktur Kritis tahun 2022 (CIRCIA) yang mencakup persyaratan pelaporan insiden siber dan pembayaran tebusan. Pengumpulan ini dimaksudkan untuk mengganti Formulir Pelaporan Insiden saat ini, sebelum tanggal berlakunya Aturan Akhir CIRCIA, dengan serangkaian pertanyaan yang direvisi yang akan memperkaya nilai dan kemampuan analitis data yang dikumpulkan berdasarkan otoritas pelaporan insiden dan pembagian informasi lainnya.

Awal tahun ini, CISA menerbitkan Pemberitahuan tentang Usulan Peraturan (NPRM) CIRCIA. Di antara aspek-aspek lain dari usulan pembuatan peraturan, NPRM CIRCIA menguraikan usulan konten wajib laporan CIRCIA. Komentar publik untuk NPRM ditutup pada bulan Juli, dan badan keamanan saat ini sedang meninjau dan mempertimbangkan komentar-komentar tersebut saat menyusun Peraturan Akhir CIRCIA. Namun, CISA mengklarifikasi bahwa pelaporan berdasarkan CIRCIA tidak akan berlaku hingga tanggal berlakunya Peraturan Akhir CIRCIA, yang diperkirakan akan jatuh pada akhir tahun 2025 atau awal tahun 2026.

Karena upaya ini berbeda dari pengembangan Peraturan Akhir CIRCIA, komentar yang disampaikan sebagai tanggapan atas pemberitahuan Federal Register ini tidak akan dianggap sebagai komentar pada NPRM CIRCIA atau dianggap sebagai bagian dari pengembangan Peraturan Akhir CIRCIA. Lebih jauh, karena CISA masih secara aktif mempertimbangkan komentar yang diterima sebagai tanggapan atas NPRM CIRCIA, ICR ini tidak boleh dipandang sebagai indikasi bagaimana CISA akan menyelesaikan komentar tersebut sebagai bagian dari Peraturan Akhir.

Pengumpulan informasi ini tidak akan berdampak signifikan terhadap sejumlah besar entitas kecil. Berdasarkan rata-rata 26.000 responden dan tarif kompensasi per jam saat ini, estimasi beban dan biaya adalah sebagai berikut: estimasi beban per jam untuk laporan awal adalah 52.000 jam, dan 146.250 jam untuk pembaruan berikutnya pada laporan awal. Biaya beban tahunan adalah US$8.870.611. Biaya pemerintah tahunan adalah $4.351.165.

Bulan lalu, CISA merilis Rencana Penyelarasan Keamanan Siber Operasional (FOCAL) cabang eksekutif sipil federal (FCEB). Sebagai pimpinan operasional untuk keamanan siber federal, lembaga tersebut telah mengarahkan tindakan Rencana FOCAL ke arah 'keamanan siber operasional', yang mencakup aktivitas dan proses harian yang digunakan organisasi untuk mempertahankan data dan sistem informasi mereka. Aktivitas tersebut dapat mencakup pengelolaan aset dan kerentanan, mengomunikasikan dan berbagi informasi keamanan siber, merencanakan dan merancang kemampuan masa depan, serta menyelidiki dan menanggapi insiden keamanan siber