Ο προτεινόμενος κανόνας κυβερνοασφάλειας της SEC θα ασκήσει περιττή πίεση στους CISO

Τον Μάρτιο του 2022, η Επιτροπή Κεφαλαιαγοράς (SEC) πρότεινε έναν κανόνα σχετικά με την αποκάλυψη της κυβερνοασφάλειας, τη διακυβέρνηση και τη διαχείριση κινδύνων για δημόσιες εταιρείες, γνωστές ως Προτεινόμενος κανόνας για τις δημόσιες εταιρείες (PRPC). Αυτός ο κανόνας θα απαιτούσε από τις εταιρείες να αναφέρουν «ουσιώδη» περιστατικά κυβερνοασφάλειας εντός τεσσάρων ημερών. Θα απαιτούσε επίσης τα διοικητικά συμβούλια να διαθέτουν εμπειρογνωμοσύνη στον τομέα της κυβερνοασφάλειας.

Δεν αποτελεί έκπληξη, είναι αντιμετωπίζεται με κάθε είδους απωθήσεις. Στην τρέχουσα μορφή του, ο προτεινόμενος κανόνας αφήνει πολλά περιθώρια ερμηνείας και δεν είναι πρακτικός σε ορισμένους τομείς.

Πρώτον, το σφιχτό παράθυρο αποκάλυψης θα ασκήσει τεράστια πίεση στους επικεφαλής της ασφάλειας πληροφοριών (CISOs) να αποκαλύψουν σημαντικά περιστατικά προτού έχουν όλες τις λεπτομέρειες. Τα περιστατικά μπορεί να χρειαστούν εβδομάδες και μερικές φορές μήνες για να κατανοηθούν και να αποκατασταθούν πλήρως. Είναι αδύνατο να γνωρίζουμε τον αντίκτυπο μιας νέας ευπάθειας έως ότου αφιερωθούν άφθονοι πόροι για την αποκατάσταση. Οι CISO μπορεί επίσης να καταλήξουν να πρέπει να αποκαλύπτουν τρωτά σημεία που, με περισσότερο χρόνο, καταλήγουν να είναι λιγότερο θέμα και επομένως όχι ουσιαστικά. Αυτό, με τη σειρά του, θα μπορούσε να επηρεάσει τη βραχυπρόθεσμη τιμή μιας εταιρείας.

Τα περιστατικά είναι ένα ζωντανό πράγμα - όχι μια συμφωνία που γίνεται μόνο και μόνο

Οι απαιτήσεις γνωστοποίησης τεσσάρων ημερών μπορεί να ακούγονται καλές στην ονομαστική τους αξία. Αλλά δεν είναι ρεαλιστικά και τελικά θα αποσπάσουν την προσοχή των CISO από το να σβήσουν τις πυρκαγιές.

Θα χρησιμοποιήσω τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης ως σύγκριση. Σύμφωνα με τον κανονισμό, οι εταιρείες πρέπει να αναφέρουν περιστατικά μη συμμόρφωσης εντός 72 ωρών. Ωστόσο, στην περίπτωση του GDPR, η ανάγκη αναφοράς είναι σαφώς καθορισμένη. Ενώ οι 72 ώρες είναι συχνά πολύ νωρίς για να γνωρίζουμε τις ιδιαιτερότητες του συνολικού αντίκτυπου ενός περιστατικού, οι οργανισμοί τουλάχιστον θα γνωρίζουν εάν τα προσωπικά στοιχεία έχουν παραβιαστεί.

Συγκρίνετε αυτό με τις προτεινόμενες απαιτήσεις γνωστοποίησης της PRPC. Οι οργανισμοί θα έχουν επιπλέον 24 ώρες, αλλά — με βάση όσα έχουν δημοσιευτεί μέχρι τώρα — πρέπει να πληρούν τις προϋποθέσεις εσωτερικά εάν η παραβίαση είναι υλικό. Σύμφωνα με τον GDPR, μια εταιρεία μπορεί να το κάνει αυτό με βάση την ευαισθησία των δεδομένων, τον όγκο τους και το πού πήγε. Σύμφωνα με την PRPC, η «υλικότητα» ορίζεται από την Επιτροπή Κεφαλαιαγοράς ως οτιδήποτε ένας «λογικός μέτοχος θα θεωρούσε σημαντικό». Αυτό θα μπορούσε να είναι σχεδόν οτιδήποτε θεωρούν οι μέτοχοι σημαντικό για την επιχείρησή τους. Είναι αρκετά ευρύ και δεν ορίζεται σαφώς.

Άλλοι αδύναμοι ορισμοί

Ένα άλλο ζήτημα είναι η απαίτηση της πρότασης να αποκαλύπτονται οι περιστάσεις στις οποίες ένα περιστατικό ασφαλείας δεν ήταν σημαντικό από μόνο του, αλλά έχει γίνει τόσο «συνολικά». Πώς λειτουργεί αυτό στην πράξη; Υπάρχει τώρα πεδίο αποκάλυψης μια μη επιδιορθωμένη ευπάθεια πριν από έξι μήνες (δεδομένου ότι η εταιρεία δεν την επιδιόρθωση) εάν χρησιμοποιείται για την επέκταση του πεδίου εφαρμογής ενός επόμενου περιστατικού; Ήδη συγχωνεύουμε απειλές, τρωτά σημεία και επιχειρηματικό αντίκτυπο. Μια ευπάθεια που δεν γίνεται αντικείμενο εκμετάλλευσης δεν είναι ουσιώδης επειδή δεν δημιουργεί επιχειρηματικό αντίκτυπο. Τι θα χρειαστεί να αποκαλύψετε όταν χρειάζεται να αναφερθούν συγκεντρωτικά περιστατικά και η ρήτρα συγκέντρωσης καθιστά ακόμη πιο δύσκολο να το διακρίνουμε;

Για να γίνει αυτό πιο περίπλοκο, ο προτεινόμενος κανόνας θα απαιτεί από τους οργανισμούς να αποκαλύπτουν τυχόν αλλαγές πολιτικής που προέκυψαν από προηγούμενα περιστατικά. Πόσο αυστηρά θα μετρηθεί αυτό και, ειλικρινά, γιατί να το κάνουμε; Οι πολιτικές υποτίθεται ότι είναι δηλώσεις προθέσεων — δεν υποτίθεται ότι είναι χαμηλού επιπέδου, εγκληματολογικοί οδηγοί διαμόρφωσης. Η ενημέρωση ενός εγγράφου χαμηλότερου επιπέδου (ένα πρότυπο) για την εντολή ενός συγκεκριμένου αλγόριθμου κρυπτογράφησης για ευαίσθητα δεδομένα είναι λογική, αλλά υπάρχουν λίγα έγγραφα υψηλότερου επιπέδου που θα ενημερωθούν λόγω ενός περιστατικού. Τα παραδείγματα μπορεί να απαιτούν έλεγχο ταυτότητας πολλαπλών παραγόντων ή αλλαγή της συμφωνίας επιδιόρθωσης σε επίπεδο υπηρεσίας (SLA) για κρίσιμα τρωτά σημεία εντός πεδίου.

Τέλος, η πρόταση αναφέρει ότι οι τριμηνιαίες εκθέσεις κερδών θα είναι το φόρουμ για γνωστοποιήσεις. Προσωπικά, οι κλήσεις τριμηνιαίων κερδών δεν φαίνονται το κατάλληλο φόρουμ για να εμβαθύνουμε στις ενημερώσεις πολιτικών και στα συμβάντα ασφαλείας. Ποιος θα δώσει τις ενημερώσεις; Ο Οικονομικός Διευθυντής ή ο Διευθύνων Σύμβουλος, ο οποίος συνήθως παρέχει αναφορές κερδών, ενδέχεται να μην είναι επαρκώς ενημερωμένος για να παρέχει αυτές τις κρίσιμες αναφορές. Λοιπόν, ο CISO συμμετέχει τώρα στις προσκλήσεις; Και, αν ναι, θα απαντήσουν και σε ερωτήσεις οικονομικών αναλυτών; Όλα φαίνονται ανέφικτα, αλλά θα πρέπει να περιμένουμε και να δούμε.

Ερωτήσεις σχετικά με την εμπειρία του συμβουλίου

Η πρώτη επανάληψη του PRPC απαιτούσε γνωστοποιήσεις σχετικά με την εποπτεία του διοικητικού συμβουλίου των πολιτικών διαχείρισης κινδύνων στον κυβερνοχώρο. Αυτό περιελάμβανε γνωστοποιήσεις σχετικά με τα μεμονωμένα μέλη του διοικητικού συμβουλίου και την αντίστοιχη εμπειρία τους στον κυβερνοχώρο. Η SEC λέει ότι διατήρησε σκόπιμα τον ορισμό ευρύ, δεδομένου του εύρους δεξιοτήτων και εμπειρίας που είναι ιδιαίτερα για κάθε διοικητικό συμβούλιο.

Ευτυχώς, μετά από πολύ έλεγχο, αποφάσισαν να καταργήσουν αυτήν την απαίτηση. Η PRPC εξακολουθεί να ζητά από τις εταιρείες να περιγράψουν τη διαδικασία του συμβουλίου για την επίβλεψη των κινδύνων κυβερνοασφάλειας και τον ρόλο της διοίκησης στον χειρισμό αυτών των κινδύνων.

Αυτό θα απαιτήσει κάποιες προσαρμογές στην επικοινωνία και τη γενική επίγνωση. Πρόσφατα, ο Dr. Keri Pearlson, εκτελεστικός διευθυντής κυβερνοασφάλειας στο MIT Sloan, και η Lucia Milică, CISO στο Stanley Black & Decker, ερωτήθηκαν 600 μέλη του διοικητικού συμβουλίου σχετικά με δραστηριότητες που αφορούν την ασφάλεια στον κυβερνοχώρο. Διαπίστωσαν ότι «λιγότερα από τα μισά (47%) των μελών υπηρετούν σε συμβούλια που αλληλεπιδρούν με τους CISO τους τακτικά και σχεδόν το ένα τρίτο από αυτά βλέπει τους CISO τους μόνο στις παρουσιάσεις του διοικητικού συμβουλίου». Αυτό δείχνει ξεκάθαρα ένα επικοινωνιακό κενό.

Τα καλά νέα είναι ότι τα περισσότερα συμβούλια έχουν ήδη μια επιτροπή ελέγχου και κινδύνου, η οποία μπορεί να χρησιμεύσει ως υποσύνολο του διοικητικού συμβουλίου για το σκοπό αυτό. Τούτου λεχθέντος, δεν είναι ασυνήθιστο για CISO και CSO να παρουσιάζουν θέματα που αφορούν την ασφάλεια στον κυβερνοχώρο που το υπόλοιπο διοικητικό συμβούλιο δεν κατανοεί πλήρως. Για να καλυφθεί αυτό το χάσμα, πρέπει να υπάρξει μεγαλύτερη ευθυγράμμιση μεταξύ του διοικητικού συμβουλίου και των στελεχών ασφαλείας.

Επικρατεί η αβεβαιότητα

Όπως με κάθε νέο κανονισμό, υπάρχουν ερωτήματα και αβεβαιότητες με τη PRPC. Θα πρέπει απλώς να περιμένουμε και να δούμε πώς θα εξελιχθούν όλα και αν οι εταιρείες μπορούν να ανταποκριθούν στις προτεινόμενες απαιτήσεις.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Αυτοκίνητο / EVs, Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• ChartPrime. Ανεβάστε το Trading Game σας με το ChartPrime. Πρόσβαση εδώ.
• BlockOffsets. Εκσυγχρονισμός της περιβαλλοντικής αντιστάθμισης ιδιοκτησίας. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos