প্রস্তাবিত SEC সাইবারসিকিউরিটি বিধি সিআইএসও-র উপর অপ্রয়োজনীয় চাপ সৃষ্টি করবে

2022 সালের মার্চ মাসে, সিকিউরিটিজ অ্যান্ড এক্সচেঞ্জ কমিশন (SEC) একটি নিয়ম প্রস্তাব করেছে সাইবারসিকিউরিটি ডিসক্লোজার, শাসন, এবং পাবলিক কোম্পানির জন্য ঝুঁকি ব্যবস্থাপনা, হিসাবে পরিচিত পাবলিক কোম্পানির জন্য প্রস্তাবিত নিয়ম (PRPC). এই নিয়মের জন্য কোম্পানিগুলিকে চার দিনের মধ্যে "বস্তুগত" সাইবার নিরাপত্তার ঘটনাগুলি রিপোর্ট করতে হবে। এটিরও প্রয়োজন হবে যে বোর্ড অফ ডিরেক্টরদের সাইবার সিকিউরিটি দক্ষতা থাকতে হবে।

আশ্চর্যজনকভাবে, এটা পুশব্যাক সব ধরণের সঙ্গে দেখা হচ্ছে. তার বর্তমান আকারে, প্রস্তাবিত নিয়মটি ব্যাখ্যা করার জন্য অনেক জায়গা ছেড়ে দেয় এবং এটি কিছু ক্ষেত্রে অবাস্তব।

একের জন্য, কড়া ডিসক্লোজার উইন্ডোটি প্রধান তথ্য সুরক্ষা অফিসারদের (CISOs) উপর ব্যাপক পরিমাণে চাপ সৃষ্টি করবে যাতে তারা সমস্ত বিবরণ পাওয়ার আগেই বস্তুগত ঘটনাগুলি প্রকাশ করে। ঘটনাগুলি বুঝতে এবং সম্পূর্ণরূপে প্রতিকার পেতে সপ্তাহ এবং কখনও কখনও মাস লাগতে পারে। পর্যাপ্ত সম্পদ প্রতিকারের জন্য নিবেদিত না হওয়া পর্যন্ত একটি নতুন দুর্বলতার প্রভাব জানা অসম্ভব। CISO-গুলিকে এমন দুর্বলতাগুলিও প্রকাশ করতে হতে পারে যেগুলি, বেশি সময়ের সাথে, একটি সমস্যা কম এবং তাই উপাদান নয়। যে, ঘুরে একটি কোম্পানির স্বল্পমেয়াদী মূল্য প্রভাবিত করতে পারে.

ঘটনাগুলি একটি জীবন্ত জিনিস - এক-একটি চুক্তি নয়

চার দিনের প্রকাশের প্রয়োজনীয়তাগুলি অভিহিত মূল্যে জরিমানা শোনাতে পারে। কিন্তু তারা বাস্তবসম্মত নয় এবং শেষ পর্যন্ত CISO-কে আগুন নিভিয়ে ফেলা থেকে বিভ্রান্ত করবে।

আমি তুলনা হিসেবে ইউরোপীয় ইউনিয়নের জেনারেল ডেটা প্রোটেকশন রেগুলেশন (GDPR) ব্যবহার করব। প্রবিধানের অধীনে, কোম্পানিগুলিকে 72 ঘন্টার মধ্যে অ-সম্মতির ঘটনাগুলি রিপোর্ট করতে হবে। তবে, জিডিপিআরের ক্ষেত্রে, রিপোর্ট করার প্রয়োজন ভালভাবে সংজ্ঞায়িত করা হয়. যদিও 72 ঘন্টা প্রায়ই একটি ঘটনার সামগ্রিক প্রভাবের সুনির্দিষ্ট বিবরণ জানার জন্য খুব তাড়াতাড়ি হয়, তবে সংস্থাগুলি অন্ততপক্ষে জানতে পারবে যে ব্যক্তিগত তথ্যের সাথে আপস করা হয়েছে কিনা।

এটিকে PRPC এর প্রস্তাবিত প্রকাশের প্রয়োজনীয়তার সাথে তুলনা করুন। সংস্থাগুলির অতিরিক্ত 24 ঘন্টা থাকবে, তবে - এখন পর্যন্ত যা প্রচার করা হয়েছে তার উপর ভিত্তি করে - লঙ্ঘন হলে তাদের অবশ্যই অভ্যন্তরীণভাবে যোগ্যতা অর্জন করতে হবে উপাদান. GDPR-এর অধীনে, একটি কোম্পানি ডেটার সংবেদনশীলতা, এর ভলিউম এবং এটি কোথায় গেছে তার উপর ভিত্তি করে এটি করতে পারে। PRPC-এর অধীনে, "বস্তুত্ব" SEC দ্বারা সংজ্ঞায়িত করা হয় এমন কিছু হিসাবে যা একজন "যুক্তিসঙ্গত শেয়ারহোল্ডার গুরুত্বপূর্ণ বলে মনে করবেন।" এটি কার্যত শেয়ারহোল্ডাররা তাদের ব্যবসার উপাদান বিবেচনা করে এমন কিছু হতে পারে। এটি বরং বিস্তৃত এবং স্পষ্টভাবে সংজ্ঞায়িত নয়।

অন্যান্য দুর্বল সংজ্ঞা

আরেকটি সমস্যা হল এমন পরিস্থিতিতে প্রকাশ করার প্রস্তাবের প্রয়োজনীয়তা যেখানে একটি নিরাপত্তা ঘটনা নিজে থেকেই উপাদান ছিল না কিন্তু "সমষ্টিগতভাবে" হয়ে গেছে। কিভাবে এই অনুশীলনে কাজ করে? ছয় মাস আগের একটি আনপ্যাচড দুর্বলতা কি এখন প্রকাশের সুযোগে রয়েছে (প্রদত্ত যে কোম্পানি এটি প্যাচ করেনি) যদি এটি পরবর্তী ঘটনার সুযোগ বাড়ানোর জন্য ব্যবহার করা হয়? আমরা ইতিমধ্যেই হুমকি, দুর্বলতা এবং ব্যবসায়িক প্রভাবকে একত্রিত করেছি। একটি দুর্বলতা যা শোষিত হয় না তা উপাদান নয় কারণ এটি ব্যবসায়িক প্রভাব তৈরি করে না। যখন সামগ্রিক ঘটনাগুলি রিপোর্ট করা প্রয়োজন তখন আপনাকে কী প্রকাশ করতে হবে এবং একত্রিতকরণ ধারাটি কি এটিকে আরও কঠিন করে তোলে?

এটিকে আরও জটিল করার জন্য, প্রস্তাবিত নিয়মে সংস্থাগুলিকে পূর্ববর্তী ঘটনাগুলির ফলে যে কোনও নীতিগত পরিবর্তনগুলি প্রকাশ করতে হবে৷ এটি কতটা কঠোরভাবে পরিমাপ করা হবে এবং, সৎভাবে, কেন এটি করবেন? নীতিগুলি অভিপ্রায়ের বিবৃতি বলে অনুমিত হয় - সেগুলি নিম্ন-স্তরের, ফরেনসিক কনফিগারেশন গাইড হওয়ার কথা নয়৷ সংবেদনশীল ডেটার জন্য একটি নির্দিষ্ট এনক্রিপশন অ্যালগরিদম বাধ্যতামূলক করার জন্য একটি নিম্ন-স্তরের নথি (একটি মান) আপডেট করা অর্থপূর্ণ, তবে কিছু উচ্চ-স্তরের নথি রয়েছে যা একটি ঘটনার কারণে আপডেট করা হবে। উদাহরণগুলির জন্য মাল্টিফ্যাক্টর প্রমাণীকরণের প্রয়োজন হতে পারে বা ইন-স্কোপের সমালোচনামূলক দুর্বলতার জন্য প্যাচিং পরিষেবা-স্তরের চুক্তি (এসএলএ) পরিবর্তন করা।

সবশেষে, প্রস্তাবে বলা হয়েছে ত্রৈমাসিক আয়ের প্রতিবেদন প্রকাশের ফোরাম হবে। ব্যক্তিগতভাবে, ত্রৈমাসিক উপার্জন কলগুলিকে নীতি আপডেট এবং নিরাপত্তা সংক্রান্ত ঘটনাগুলির গভীরে যাওয়ার জন্য সঠিক ফোরাম বলে মনে হয় না৷ আপডেট কে দেবে? CFO বা CEO, যিনি সাধারণত উপার্জনের রিপোর্ট প্রদান করেন, সেই সমালোচনামূলক প্রতিবেদনগুলি দেওয়ার জন্য যথেষ্ট পরিমাণে অবহিত নাও হতে পারে। তাই, CISO কি এখন কলগুলিতে যোগদান করে? এবং, যদি তাই হয়, তারা কি আর্থিক বিশ্লেষকদের প্রশ্নের জবাবও দেবে? এটা সব অব্যবহারিক মনে হয়, কিন্তু আমাদের অপেক্ষা করতে হবে এবং দেখতে হবে.

বোর্ড অভিজ্ঞতা সম্পর্কে প্রশ্ন

PRPC এর প্রথম পুনরাবৃত্তির জন্য সাইবার নিরাপত্তা ঝুঁকি ব্যবস্থাপনা নীতির বোর্ড তদারকি সম্পর্কে প্রকাশের প্রয়োজন। এতে পৃথক বোর্ড সদস্য এবং তাদের নিজ নিজ সাইবার দক্ষতা সম্পর্কে প্রকাশ অন্তর্ভুক্ত রয়েছে। এসইসি বলেছে যে এটি উদ্দেশ্যমূলকভাবে সংজ্ঞাটি বিস্তৃত রেখেছে, প্রতিটি বোর্ডের জন্য বিশেষ দক্ষতা এবং অভিজ্ঞতার পরিসর দেওয়া হয়েছে।

ভাগ্যক্রমে, অনেক যাচাই-বাছাই করার পর, তারা এই প্রয়োজনীয়তাটি সরিয়ে ফেলার সিদ্ধান্ত নিয়েছে। PRPC এখনও কোম্পানিগুলিকে সাইবার নিরাপত্তা ঝুঁকির তত্ত্বাবধানের জন্য বোর্ডের প্রক্রিয়া এবং সেই ঝুঁকিগুলি পরিচালনার ক্ষেত্রে ব্যবস্থাপনার ভূমিকা বর্ণনা করার আহ্বান জানায়।

এটি যোগাযোগ এবং সাধারণ সচেতনতার কিছু সমন্বয় প্রয়োজন হবে. সম্প্রতি, ডাঃ কেরি পার্লসন, এমআইটি স্লোনের সাইবার সিকিউরিটির নির্বাহী পরিচালক এবং স্ট্যানলি ব্ল্যাক অ্যান্ড ডেকারের সিআইএসও লুসিয়া মিলিকা, 600 বোর্ড সদস্য জরিপ সাইবার নিরাপত্তার আশেপাশের কার্যকলাপ সম্পর্কে। তারা দেখেছে যে "অর্ধেকেরও কম (47%) সদস্য বোর্ডগুলিতে কাজ করে যেগুলি নিয়মিত তাদের CISO-এর সাথে যোগাযোগ করে এবং তাদের প্রায় এক তৃতীয়াংশ শুধুমাত্র বোর্ড উপস্থাপনায় তাদের CISO দেখতে পায়।" এটি স্পষ্টভাবে একটি যোগাযোগ ফাঁক নির্দেশ করে.

ভাল খবর হল বেশিরভাগ বোর্ডের ইতিমধ্যেই একটি অডিট এবং ঝুঁকি কমিটি রয়েছে, যা এই উদ্দেশ্যে বোর্ডের উপসেট হিসাবে কাজ করতে পারে। এটি বলেছে, CISO এবং CSO-এর পক্ষে সাইবার নিরাপত্তার সাথে জড়িত বিষয়গুলি উপস্থাপন করা অস্বাভাবিক কিছু নয় যা বোর্ডের বাকিরা পুরোপুরি বোঝে না। এই ব্যবধান বন্ধ করার জন্য, বোর্ড এবং নিরাপত্তা নির্বাহীদের মধ্যে বৃহত্তর সারিবদ্ধতা থাকা দরকার।

অনিশ্চয়তা বিরাজ করছে

যেকোনো নতুন নিয়মের মতো, PRPC নিয়ে প্রশ্ন এবং অনিশ্চয়তা রয়েছে। আমাদের কেবল অপেক্ষা করতে হবে এবং দেখতে হবে যে এটি কীভাবে বিকশিত হয় এবং কোম্পানিগুলি প্রস্তাবিত প্রয়োজনীয়তাগুলি পূরণ করতে পারে কিনা।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। মোটরগাড়ি / ইভি, কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• চার্টপ্রাইম। ChartPrime এর সাথে আপনার ট্রেডিং গেমটি উন্নত করুন। এখানে প্রবেশ করুন.
• ব্লকঅফসেট। পরিবেশগত অফসেট মালিকানার আধুনিকীকরণ। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos