Τον Μάρτιο του 2022, η Επιτροπή Κεφαλαιαγοράς (SEC) πρότεινε έναν κανόνα σχετικά με την αποκάλυψη της κυβερνοασφάλειας, τη διακυβέρνηση και τη διαχείριση κινδύνων για δημόσιες εταιρείες, γνωστές ως Προτεινόμενος κανόνας για τις δημόσιες εταιρείες (PRPC). Αυτός ο κανόνας θα απαιτούσε από τις εταιρείες να αναφέρουν «ουσιώδη» περιστατικά κυβερνοασφάλειας εντός τεσσάρων ημερών. Θα απαιτούσε επίσης τα διοικητικά συμβούλια να διαθέτουν εμπειρογνωμοσύνη στον τομέα της κυβερνοασφάλειας.
Δεν αποτελεί έκπληξη, είναι αντιμετωπίζεται με κάθε είδους απωθήσεις. Στην τρέχουσα μορφή του, ο προτεινόμενος κανόνας αφήνει πολλά περιθώρια ερμηνείας και δεν είναι πρακτικός σε ορισμένους τομείς.
Πρώτον, το σφιχτό παράθυρο αποκάλυψης θα ασκήσει τεράστια πίεση στους επικεφαλής της ασφάλειας πληροφοριών (CISOs) να αποκαλύψουν σημαντικά περιστατικά προτού έχουν όλες τις λεπτομέρειες. Τα περιστατικά μπορεί να χρειαστούν εβδομάδες και μερικές φορές μήνες για να κατανοηθούν και να αποκατασταθούν πλήρως. Είναι αδύνατο να γνωρίζουμε τον αντίκτυπο μιας νέας ευπάθειας έως ότου αφιερωθούν άφθονοι πόροι για την αποκατάσταση. Οι CISO μπορεί επίσης να καταλήξουν να πρέπει να αποκαλύπτουν τρωτά σημεία που, με περισσότερο χρόνο, καταλήγουν να είναι λιγότερο θέμα και επομένως όχι ουσιαστικά. Αυτό, με τη σειρά του, θα μπορούσε να επηρεάσει τη βραχυπρόθεσμη τιμή μιας εταιρείας.
Τα περιστατικά είναι ένα ζωντανό πράγμα - όχι μια συμφωνία που γίνεται μόνο και μόνο
Οι απαιτήσεις γνωστοποίησης τεσσάρων ημερών μπορεί να ακούγονται καλές στην ονομαστική τους αξία. Αλλά δεν είναι ρεαλιστικά και τελικά θα αποσπάσουν την προσοχή των CISO από το να σβήσουν τις πυρκαγιές.
Θα χρησιμοποιήσω τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης ως σύγκριση. Σύμφωνα με τον κανονισμό, οι εταιρείες πρέπει να αναφέρουν περιστατικά μη συμμόρφωσης εντός 72 ωρών. Ωστόσο, στην περίπτωση του GDPR, η ανάγκη αναφοράς είναι σαφώς καθορισμένη. Ενώ οι 72 ώρες είναι συχνά πολύ νωρίς για να γνωρίζουμε τις ιδιαιτερότητες του συνολικού αντίκτυπου ενός περιστατικού, οι οργανισμοί τουλάχιστον θα γνωρίζουν εάν τα προσωπικά στοιχεία έχουν παραβιαστεί.
Συγκρίνετε αυτό με τις προτεινόμενες απαιτήσεις γνωστοποίησης της PRPC. Οι οργανισμοί θα έχουν επιπλέον 24 ώρες, αλλά — με βάση όσα έχουν δημοσιευτεί μέχρι τώρα — πρέπει να πληρούν τις προϋποθέσεις εσωτερικά εάν η παραβίαση είναι υλικό. Σύμφωνα με τον GDPR, μια εταιρεία μπορεί να το κάνει αυτό με βάση την ευαισθησία των δεδομένων, τον όγκο τους και το πού πήγε. Σύμφωνα με την PRPC, η «υλικότητα» ορίζεται από την Επιτροπή Κεφαλαιαγοράς ως οτιδήποτε ένας «λογικός μέτοχος θα θεωρούσε σημαντικό». Αυτό θα μπορούσε να είναι σχεδόν οτιδήποτε θεωρούν οι μέτοχοι σημαντικό για την επιχείρησή τους. Είναι αρκετά ευρύ και δεν ορίζεται σαφώς.
Άλλοι αδύναμοι ορισμοί
Ένα άλλο ζήτημα είναι η απαίτηση της πρότασης να αποκαλύπτονται οι περιστάσεις στις οποίες ένα περιστατικό ασφαλείας δεν ήταν σημαντικό από μόνο του, αλλά έχει γίνει τόσο «συνολικά». Πώς λειτουργεί αυτό στην πράξη; Υπάρχει τώρα πεδίο αποκάλυψης μια μη επιδιορθωμένη ευπάθεια πριν από έξι μήνες (δεδομένου ότι η εταιρεία δεν την επιδιόρθωση) εάν χρησιμοποιείται για την επέκταση του πεδίου εφαρμογής ενός επόμενου περιστατικού; Ήδη συγχωνεύουμε απειλές, τρωτά σημεία και επιχειρηματικό αντίκτυπο. Μια ευπάθεια που δεν γίνεται αντικείμενο εκμετάλλευσης δεν είναι ουσιώδης επειδή δεν δημιουργεί επιχειρηματικό αντίκτυπο. Τι θα χρειαστεί να αποκαλύψετε όταν χρειάζεται να αναφερθούν συγκεντρωτικά περιστατικά και η ρήτρα συγκέντρωσης καθιστά ακόμη πιο δύσκολο να το διακρίνουμε;
Για να γίνει αυτό πιο περίπλοκο, ο προτεινόμενος κανόνας θα απαιτεί από τους οργανισμούς να αποκαλύπτουν τυχόν αλλαγές πολιτικής που προέκυψαν από προηγούμενα περιστατικά. Πόσο αυστηρά θα μετρηθεί αυτό και, ειλικρινά, γιατί να το κάνουμε; Οι πολιτικές υποτίθεται ότι είναι δηλώσεις προθέσεων — δεν υποτίθεται ότι είναι χαμηλού επιπέδου, εγκληματολογικοί οδηγοί διαμόρφωσης. Η ενημέρωση ενός εγγράφου χαμηλότερου επιπέδου (ένα πρότυπο) για την εντολή ενός συγκεκριμένου αλγόριθμου κρυπτογράφησης για ευαίσθητα δεδομένα είναι λογική, αλλά υπάρχουν λίγα έγγραφα υψηλότερου επιπέδου που θα ενημερωθούν λόγω ενός περιστατικού. Τα παραδείγματα μπορεί να απαιτούν έλεγχο ταυτότητας πολλαπλών παραγόντων ή αλλαγή της συμφωνίας επιδιόρθωσης σε επίπεδο υπηρεσίας (SLA) για κρίσιμα τρωτά σημεία εντός πεδίου.
Τέλος, η πρόταση αναφέρει ότι οι τριμηνιαίες εκθέσεις κερδών θα είναι το φόρουμ για γνωστοποιήσεις. Προσωπικά, οι κλήσεις τριμηνιαίων κερδών δεν φαίνονται το κατάλληλο φόρουμ για να εμβαθύνουμε στις ενημερώσεις πολιτικών και στα συμβάντα ασφαλείας. Ποιος θα δώσει τις ενημερώσεις; Ο Οικονομικός Διευθυντής ή ο Διευθύνων Σύμβουλος, ο οποίος συνήθως παρέχει αναφορές κερδών, ενδέχεται να μην είναι επαρκώς ενημερωμένος για να παρέχει αυτές τις κρίσιμες αναφορές. Λοιπόν, ο CISO συμμετέχει τώρα στις προσκλήσεις; Και, αν ναι, θα απαντήσουν και σε ερωτήσεις οικονομικών αναλυτών; Όλα φαίνονται ανέφικτα, αλλά θα πρέπει να περιμένουμε και να δούμε.
Ερωτήσεις σχετικά με την εμπειρία του συμβουλίου
Η πρώτη επανάληψη του PRPC απαιτούσε γνωστοποιήσεις σχετικά με την εποπτεία του διοικητικού συμβουλίου των πολιτικών διαχείρισης κινδύνων στον κυβερνοχώρο. Αυτό περιελάμβανε γνωστοποιήσεις σχετικά με τα μεμονωμένα μέλη του διοικητικού συμβουλίου και την αντίστοιχη εμπειρία τους στον κυβερνοχώρο. Η SEC λέει ότι διατήρησε σκόπιμα τον ορισμό ευρύ, δεδομένου του εύρους δεξιοτήτων και εμπειρίας που είναι ιδιαίτερα για κάθε διοικητικό συμβούλιο.
Ευτυχώς, μετά από πολύ έλεγχο, αποφάσισαν να καταργήσουν αυτήν την απαίτηση. Η PRPC εξακολουθεί να ζητά από τις εταιρείες να περιγράψουν τη διαδικασία του συμβουλίου για την επίβλεψη των κινδύνων κυβερνοασφάλειας και τον ρόλο της διοίκησης στον χειρισμό αυτών των κινδύνων.
Αυτό θα απαιτήσει κάποιες προσαρμογές στην επικοινωνία και τη γενική επίγνωση. Πρόσφατα, ο Dr. Keri Pearlson, εκτελεστικός διευθυντής κυβερνοασφάλειας στο MIT Sloan, και η Lucia Milică, CISO στο Stanley Black & Decker, ερωτήθηκαν 600 μέλη του διοικητικού συμβουλίου σχετικά με δραστηριότητες που αφορούν την ασφάλεια στον κυβερνοχώρο. Διαπίστωσαν ότι «λιγότερα από τα μισά (47%) των μελών υπηρετούν σε συμβούλια που αλληλεπιδρούν με τους CISO τους τακτικά και σχεδόν το ένα τρίτο από αυτά βλέπει τους CISO τους μόνο στις παρουσιάσεις του διοικητικού συμβουλίου». Αυτό δείχνει ξεκάθαρα ένα επικοινωνιακό κενό.
Τα καλά νέα είναι ότι τα περισσότερα συμβούλια έχουν ήδη μια επιτροπή ελέγχου και κινδύνου, η οποία μπορεί να χρησιμεύσει ως υποσύνολο του διοικητικού συμβουλίου για το σκοπό αυτό. Τούτου λεχθέντος, δεν είναι ασυνήθιστο για CISO και CSO να παρουσιάζουν θέματα που αφορούν την ασφάλεια στον κυβερνοχώρο που το υπόλοιπο διοικητικό συμβούλιο δεν κατανοεί πλήρως. Για να καλυφθεί αυτό το χάσμα, πρέπει να υπάρξει μεγαλύτερη ευθυγράμμιση μεταξύ του διοικητικού συμβουλίου και των στελεχών ασφαλείας.
Επικρατεί η αβεβαιότητα
Όπως με κάθε νέο κανονισμό, υπάρχουν ερωτήματα και αβεβαιότητες με τη PRPC. Θα πρέπει απλώς να περιμένουμε και να δούμε πώς θα εξελιχθούν όλα και αν οι εταιρείες μπορούν να ανταποκριθούν στις προτεινόμενες απαιτήσεις.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
- BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- :έχει
- :είναι
- :δεν
- :που
- $UP
- 2022
- 24
- 7
- 72
- a
- Σχετικα
- δραστηριοτήτων
- προσαρμογές
- επηρεάζουν
- Μετά το
- σύνολο
- συσσωμάτωση
- πριν
- Συμφωνία
- αλγόριθμος
- ευθυγραμμία
- Όλα
- σχεδόν
- ήδη
- Επίσης
- Ποσά
- an
- Αναλυτές
- και
- κάθε
- οτιδήποτε
- ΕΙΝΑΙ
- περιοχές
- AS
- At
- έλεγχος
- Πιστοποίηση
- επίγνωση
- βασίζονται
- BE
- επειδή
- γίνονται
- ήταν
- πριν
- είναι
- μεταξύ
- Μαύρη
- επιτροπή
- παραβίαση
- ευρύς
- επιχείρηση
- αλλά
- by
- κλήση
- κλήσεις
- CAN
- περίπτωση
- Διευθύνων Σύμβουλος
- CFO
- Αλλαγές
- αλλαγή
- αρχηγός
- περιστάσεις
- CISO
- σαφώς
- Κλεισιμο
- παραπομπής σας
- επιτροπή
- Επικοινωνία
- Διαβιβάσεις
- Εταιρείες
- εταίρα
- σύγκριση
- περίπλοκος
- Συμβιβασμένος
- διαμόρφωση
- Εξετάστε
- θα μπορούσε να
- δημιουργία
- κρίσιμης
- Ρεύμα
- στον κυβερνοχώρο
- Κυβερνασφάλεια
- ημερομηνία
- την προστασία των δεδομένων
- Ημ.
- αποφάσισε
- αφιερωμένο
- βαθύς
- ορίζεται
- ορισμός
- περιγράφουν
- καθέκαστα
- didn
- Διευθυντής
- Διευθυντές
- Αποκαλύπτω
- αποκάλυψη
- do
- έγγραφο
- κάνει
- doesn
- Μην
- dr
- δυο
- κάθε
- Κέρδη
- κλήσεις κερδών
- κρυπτογράφηση
- τέλος
- ευρωπαϊκός
- Ευρωπαϊκή Ένωση
- Even
- εξελίσσεται
- παραδείγματα
- ανταλλαγή
- εκτελεστικός
- Εκτελεστικός Διευθυντής - andrew@betterdays.ngo
- στελέχη
- εμπειρία
- εξειδίκευση
- Κακοποιημένα
- επεκτείνουν
- επιπλέον
- Πρόσωπο
- μακριά
- λίγοι
- λιγότερα
- οικονομικός
- τέλος
- πυρκαγιών
- Όνομα
- Για
- Δικανικός
- μορφή
- Φόρουμ
- Βρέθηκαν
- τέσσερα
- από
- πλήρως
- χάσμα
- GDPR
- General
- γενικά δεδομένα
- Γενικός κανονισμός για την προστασία των δεδομένων
- Δώστε
- δεδομένου
- Go
- καλός
- διακυβέρνησης
- μεγαλύτερη
- Οδηγοί
- Ήμισυ
- Χειρισμός
- σκληρότερα
- Έχω
- που έχει
- Τίμια
- ΩΡΕΣ
- Πως
- Ωστόσο
- HTTPS
- if
- Επίπτωση
- σημαντικό
- αδύνατος
- in
- περιστατικό
- περιλαμβάνονται
- ατομικές
- πληροφορίες
- την ασφάλεια των πληροφοριών
- ενημερώνεται
- πρόθεση
- αλληλεπιδρούν
- εσωτερικώς
- ερμηνεία
- συμμετοχή
- isn
- ζήτημα
- IT
- επανάληψη
- ΤΟΥ
- ενταχθούν
- jpg
- μόλις
- διατηρούνται
- Ξέρω
- γνωστός
- ελάχιστα
- μείον
- Μου αρέσει
- ζουν
- ll
- Παρτίδα
- κάνω
- ΚΑΝΕΙ
- διαχείριση
- Εντολή
- Μάρτιος
- μαζική
- υλικό
- Θέματα
- Ενδέχεται..
- Γνωρίστε
- Μέλη
- πληρούνται
- ενδέχεται να
- MIT
- μήνες
- περισσότερο
- πλέον
- πολύ
- επαλήθευση πολλών παραγόντων
- πρέπει
- Ανάγκη
- ανάγκες
- Νέα
- νέα
- τώρα
- of
- αξιωματικών
- συχνά
- on
- ONE
- αποκλειστικά
- or
- οργανώσεις
- έξω
- φόρμες
- εποπτεία
- Επίβλεψη
- δική
- Ειδικότερα
- Patch
- Διόρθωση
- προσωπικός
- Προσωπικά
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σημεία
- Πολιτικές
- πολιτική
- πρακτική
- παρόν
- Παρουσιάσεις
- χυτρα
- προηγούμενος
- τιμή
- διαδικασια μας
- πρόταση
- προτείνεται
- προστασία
- παρέχει
- δημόσιο
- δημόσιες εταιρείες
- σκοπός
- βάζω
- Βάζοντας
- έχω τα προσόντα
- Ερωτήσεις
- σειρά
- μάλλον
- RE
- ρεαλιστικός
- λογικός
- πρόσφατα
- τακτικά
- Ρυθμιστικές Αρχές
- αφαιρέστε
- αναφέρουν
- αναφέρθηκαν
- Εκθέσεις
- απαιτούν
- απαιτείται
- απαίτηση
- απαιτήσεις
- Υποστηρικτικό υλικό
- εκείνοι
- Απάντηση
- ΠΕΡΙΦΕΡΕΙΑ
- δεξιά
- Κίνδυνος
- διαχείριση των κινδύνων
- κινδύνους
- Ρόλος
- Δωμάτιο
- Άρθρο
- s
- Είπε
- λέει
- έκταση
- λεπτομερής έλεγχος
- SEC
- Χρεόγραφα
- Securities and Exchange Commission
- ασφάλεια
- δείτε
- φαίνομαι
- φαίνεται
- αίσθηση
- ευαίσθητος
- Ευαισθησία
- εξυπηρετούν
- μέτοχος
- Μέτοχοι
- βραχυπρόθεσμα
- ΕΞΙ
- Έξι μήνες
- επιδεξιότητα
- Sloan
- So
- μερικοί
- σύντομα
- Ήχος
- συγκεκριμένες
- ειδικότητες
- πρότυπο
- Stanley
- δηλώσεις
- Ακόμη
- μεταγενέστερος
- υποτιθεμένος
- περιβάλλων
- Πάρτε
- από
- ότι
- Η
- τους
- Τους
- Εκεί.
- επομένως
- αυτοί
- πράγμα
- Τρίτος
- αυτό
- εκείνοι
- απειλές
- Ετσι
- ώρα
- προς την
- πολύ
- ΣΤΡΟΦΗ
- συνήθως
- τελικά
- αβεβαιότητες
- Ασυνήθης
- υπό
- καταλαβαίνω
- ένωση
- περιττός
- μέχρι
- ενημερώθηκε
- ενημερώσεις
- ενημέρωση
- χρήση
- μεταχειρισμένος
- αξία
- πολύ
- πρακτικώς
- τόμος
- Θέματα ευπάθειας
- ευπάθεια
- περιμένετε
- ήταν
- we
- Εβδ.
- πήγε
- Τι
- πότε
- αν
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- WHY
- θα
- παράθυρο
- με
- εντός
- Εργασία
- θα
- Εσείς
- zephyrnet