Het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security heeft voor het eerst een nieuwe bevoegdheid ingezet waardoor het contactgegevens van kwetsbare klanten van internetproviders kan vorderen. Het gaat dan specifiek om vitale organisaties. De wet werd in januari van dit jaar aangenomen (pdf).

Wanneer CISA voorheen een kwetsbaar systeem op internet aantrof en de eigenaar niet kon identificeren, was er weinig wat de overheidsinstantie kon doen. Internetprovider mogen geen klantgegevens aan de Amerikaanse overheid verstrekken, tenzij er een verplicht juridisch proces is doorlopen. Het is daardoor herhaaldelijk voorgekomen dat het CISA een kwetsbare organisatie niet kon waarschuwen.

Door de Cybersecurity Vulnerability Identification and Notification Act kan het CISA de gegevens nu bij de internetprovider in kwestie vorderen en zo de kwetsbare klant waarschuwen over het probleem. Vorige week heeft het CISA voor het eerst de bevoegdheid ingezet en twee dwangbevelen naar internetproviders verstuurd.

"De gezochte informatie zal het CISA helpen om entiteiten in de vitale infrastructuur met specifieke kwetsbaarheden te identificeren en benaderen. Dit is een belangrijke stap voorwaarts voor de cybersecurity van onze natie", aldus CISA-directeur Brandon Wales tegenover The Washington Post. Het CISA heeft verder geen informatie gegevn over de aard van de kwetsbaarheden, de namen van de organisaties, de reden voor het dwangbevel en de uitkomst daarvan.