Sådan håndteres vagheden i nye cyberregler

Reguleringsorganer på alle regeringsniveauer har givet strengere krav til privatlivets fred og offentliggørelse i år - og sanktioner, der matcher - udformet med tvetydigt sprog og squishy retningslinjer, der efterlader cybersikkerhedsteams hoftedybt i ansvar og ingen klar vej til overholdelse.

Nyligt udgivet Sikkerheds- og udvekslingskommissionens (SEC) retningslinjer om afsløring af cyberhændelser er et eksempel på den form for forvirring, som vagt lovgivningssprog kan forårsage. Cybersikkerhedsekspert Adam Shostack påpeger over for Dark Reading, at han har observeret, at reglerne er blevet udbredt fejlfortolket.

"Jeg synes, at kravet om gennemsigtighed generelt er godt, og det er vigtigt at bemærke, at det er inden for fire dage efter at have fastslået, at det er et væsentligt brud, ikke inden for fire dage efter at have opdaget et brud," bemærker Shostack. "Mange mennesker mangler den vigtige sondring."

Shostack vil sammen med et panel af eksperter, herunder Mike Hintze, Daniel P. Cooper og Leslie R. Katz tilbyde råd om, hvordan man navigerer i en række nye cyberregler på Black Hat USA under deres præsentation, "Hot Topics in Cyber ​​and Privacy Regulation".

Uklart sprog, mere håndhævelse

Nogle af de vagt sprog i cyberregulering er nødvendigt, påpeger Shostack.

"Lad os også være ærlige. Grunden til, at disse standarder er vage, er ofte [fordi] industriens krav om fleksibilitet," tilføjer han. "Hvis vi har problemer, fordi standarderne er for åbne, bør vi bringe det til vores branchegrupper og lobbyister."

Katz, en advokat og tidligere tech-chef, er enig i, at det er op til cybersikkerhedssamfundet at hjælpe med at uddanne og forme regelskabende diskussioner. Uden teknisk vejledning er reguleringsorganer som SEC tilbage med ringe indflydelse ud over straf, tilføjer hun.

Katz siger, at mangel på cybersikkerhedsekspertise giver næring til SEC's overvejelse af sagsanlæg mod SolarWinds-ledere for virksomhedens brud i 2020.

"Dette ser ud til at være endnu et forsøg fra SEC på at regulere ved håndhævelse. I stedet for at give klarere retningslinjer, sender de en besked via sådan en handling,” siger Katz til Dark Reading. “Et advarselsskud for alle om, at der vil være behov for endnu større årvågenhed og hurtige reaktioner."

Panelet vil give vejledning om emner, der spænder over amerikansk privatlivslovgivning, Den Europæiske Union regler omkring AI, EU-US databeskyttelsesramme, og hvordan sikkerhedsprofessionelle bedst kan engagere sig i overholdelses- og regeludformningsprocessen.

Fortsat regulatorisk usikkerhed kræver et stadig tættere samarbejde med juridiske og compliance-eksperter både under forberedelse, såvel som under en egentlig cyberhændelsesreaktion, siger Shostack. Han tilføjer, at det bedste sted for cyberhold at starte er med tekniske standarder fra National Institute of Standards and Technology, Cybersecurity Framework eller Sikker softwareudviklingsramme.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations