Действие важнейшего закона США в ИБ-сфере, утратившего силу в этом сентябре, было кратковременно продлено — до 30 января 2026 года — в рамках усилий законодателей по возобновлению работы правительства после длительного перерыва.
Закон об обмене информацией о кибербезопасности (CISA 2015), который защищает компании от юридической ответственности при передаче данных об угрозах, играет огромную роль — по сути, он страхует от судебных исков организации, участвующие в добровольной «Программе автоматического обмена индикаторами».
Это трёхмесячное продление было в целом одобрено безопасниками, но некоторые из них настаивали на более серьёзных сроках. Например, CISO Центра анализа обмена медицинской информацией (Health-ISAC) Эррол Вайс назвал событие «хорошим знаком», но в то же время призвал Конгресс США «рассмотреть возможность продления CISA 2015 на постоянной основе или хотя бы ещё на десять лет».
«Под ударом оказалась готовность организаций делиться данными о киберугрозах с федеральным правительством, — пояснил Вайс. — Мы наблюдаем снижение активности со стороны государственных партнёров, таких как ФБР, Министерство внутренней безопасности и Агентство кибербезопасности и безопасности инфраструктуры. Это обусловлено несколькими факторами, в том числе истечением срока действия CISA 2015».
К числу этих факторов относится и сокращение штата федеральных ведомств. Меж тем, главы ИБ-служб также испытывают нехватку персонала и уже сталкиваются с сочетанием возросшего числа угроз и внутренних проблем. Согласно отчёту «Состояние расследований инцидентов кибербезопасности 2025», подготовленному экспертами Binalyze, сегодня 84% CISO считает успешную атаку на их организацию «неизбежной», а всего один час задержки реагирования обходится в среднем по стране в 114 тыс. долларов.
Многие из двух сотен ИБ-руководителей, опрошенных в рамках исследования, заявили, что плохо подготовлены к этим угрозам: в среднем они могут отреагировать лишь на 36% кибератак. Кроме того, 70% призналось, что в прошлом году им было трудно устранить последствия инцидента или восстановиться после него. 68% «неточно сообщало» об утечках регулирующим органам ввиду отсутствия ясности в экспертизе, а 74% потребовало от своей страховой компании меньшую сумму, чем положено — из-за отсутствия уверенности в обоснованности иска. По оценкам респондентов, за последние пять лет упомянутое «отсутствие ясности» обошлось американским предприятиям в среднем в 1,1 млн долларов, а в масштабе страны — в 48,1 млрд долларов.
Эррол Вайс отметил в заключение, что хотел бы видеть в будущем долгосрочном дополнении к CISA 2015 «более чёткие формулировки», защищающие организации, которые делятся сведениями об инцидентах, а не только информацией о киберугрозах.
Усам Оздемиров
