Πώς να αντιμετωπίσετε την ασάφεια στους νέους κανονισμούς στον κυβερνοχώρο

Οι ρυθμιστικοί φορείς σε κάθε επίπεδο διακυβέρνησης έχουν επιβάλει αυστηρότερες απαιτήσεις απορρήτου και αποκάλυψης φέτος - και ταιριάζουν με ποινές - που έχουν δημιουργηθεί με διφορούμενη γλώσσα και σκληρές κατευθυντήριες γραμμές αφήνοντας τις ομάδες κυβερνοασφάλειας με μεγάλη ευθύνη και χωρίς ξεκάθαρο δρόμο συμμόρφωσης.

Πρόσφατα κυκλοφόρησε Οδηγίες της Επιτροπής Ασφάλειας και Συναλλαγών (SEC). σχετικά με την αποκάλυψη περιστατικών στον κυβερνοχώρο αποτελούν παράδειγμα του είδους της σύγχυσης που μπορεί να προκαλέσει η ασαφής κανονιστική γλώσσα. Ο ειδικός σε θέματα κυβερνοασφάλειας Adam Shostack επισημαίνει στο Dark Reading ότι έχει παρατηρήσει ότι οι κανόνες παρερμηνεύονται ευρέως.

«Πιστεύω ότι η απαίτηση για διαφάνεια είναι γενικά καλή και είναι σημαντικό να σημειωθεί ότι είναι εντός τεσσάρων ημερών από τον προσδιορισμό της ουσιώδους παραβίασης, όχι εντός τεσσάρων ημερών από την ανακάλυψη μιας παραβίασης», σημειώνει ο Shostack. «Πολλοί άνθρωποι χάνουν αυτή τη σημαντική διάκριση».

Ο Shostack, μαζί με μια ομάδα ειδικών, συμπεριλαμβανομένων των Mike Hintze, Daniel P. Cooper και Leslie R. Katz, θα προσφέρουν συμβουλές σχετικά με τον τρόπο πλοήγησης σε μια σειρά από νέους κανονισμούς στον κυβερνοχώρο στο Black Hat USA κατά τη διάρκεια της παρουσίασής τους.Καυτά θέματα στον κυβερνοχώρο και τον κανονισμό περί απορρήτου. "

Αόριστη γλώσσα, περισσότερη επιβολή

Μερικά από τα αόριστη γλώσσα ρύθμισης στον κυβερνοχώρο είναι απαραίτητο, επισημαίνει ο Shostack.

"Επίσης, ας είμαστε ειλικρινείς. Ο λόγος που αυτά τα πρότυπα είναι ασαφή είναι συχνά [επειδή] η βιομηχανία απαιτεί ευελιξία», προσθέτει. «Αν αντιμετωπίζουμε προβλήματα επειδή τα πρότυπα είναι πολύ ανοιχτά, θα πρέπει να το φέρουμε στις βιομηχανικές ομάδες και στους λομπίστες μας».

Ο Katz, δικηγόρος και πρώην στέλεχος τεχνολογίας, συμφωνεί ότι εναπόκειται στην κοινότητα της κυβερνοασφάλειας να βοηθήσει στην εκπαίδευση και τη διαμόρφωση των συζητήσεων για τη θέσπιση κανόνων. Χωρίς τεχνική καθοδήγηση, οι ρυθμιστικοί φορείς όπως η SEC μένουν με μικρή επιρροή πέρα ​​από την τιμωρία, προσθέτει.

Ο Katz λέει ότι η έλλειψη εμπειρογνωμοσύνης στον τομέα της κυβερνοασφάλειας τροφοδοτεί το Η SEC εξετάζει τη νομική αγωγή κατά των στελεχών της SolarWinds για την παράβαση της εταιρείας το 2020.

"Αυτή φαίνεται να είναι άλλη μια προσπάθεια της Επιτροπής Κεφαλαιαγοράς να ρυθμίσει με επιβολή. Αντί να παρέχουν σαφέστερες οδηγίες, στέλνουν ένα μήνυμα μέσω μιας τέτοιας ενέργειας», λέει ο Katz στο Dark Reading. "Μια προειδοποιητική βολή για όλους ότι θα χρειαστούν ακόμη μεγαλύτερη επαγρύπνηση και γρήγορες αντιδράσεις».

Το πάνελ θα παρέχει καθοδήγηση σε θέματα που καλύπτουν τη νομοθεσία περί απορρήτου των ΗΠΑ, την Ευρωπαϊκή Ένωση κανονισμούς γύρω από την τεχνητή νοημοσύνη, τη Πλαίσιο προστασίας δεδομένων ΕΕ-ΗΠΑκαι πώς οι επαγγελματίες ασφαλείας μπορούν να συμμετάσχουν καλύτερα στη διαδικασία συμμόρφωσης και θέσπισης κανόνων.

Η συνεχιζόμενη ρυθμιστική αβεβαιότητα απαιτεί ολοένα και στενότερη συνεργασία με νομικούς και ειδικούς σε θέματα συμμόρφωσης τόσο κατά την προετοιμασία, όσο και κατά τη διάρκεια μιας πραγματικής απόκρισης περιστατικών στον κυβερνοχώρο, λέει ο Shostack. Προσθέτει ότι το καλύτερο μέρος για να ξεκινήσουν οι ομάδες στον κυβερνοχώρο είναι τεχνικά πρότυπα από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας, το Πλαίσιο Κυβερνοασφάλειας ή το Ασφαλές Πλαίσιο Ανάπτυξης Λογισμικού.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations