Kuidas tulla toime uute kübereeskirjade ebamäärasusega

Reguleerivad organid kõigil valitsustasanditel on sel aastal kehtestanud rangemad privaatsus- ja avalikustamisnõuded – ja vastavad karistused –, mis on koostatud mitmetähendusliku keelekasutusse ja nigelatest juhistest, jättes küberjulgeolekumeeskondadele täieliku vastutuse ja neil puudub selge tee nõuete täitmiseks.

Hiljuti vabastatud Turva- ja vahetuskomisjoni (SEC) juhised küberintsidentide avalikustamise kohta on näide sellest, millist segadust võib ebamäärane regulatiivne keel põhjustada. Küberturvalisuse ekspert Adam Shostack juhib Dark Readingile tähelepanu, et ta on täheldanud, et reegleid tõlgendatakse laialdaselt valesti.

"Ma arvan, et läbipaistvuse nõue on üldiselt hea ja on oluline märkida, et see toimub nelja päeva jooksul pärast olulise rikkumise tuvastamist, mitte nelja päeva jooksul pärast rikkumise avastamist," märgib Shostack. "Paljudel inimestel on see oluline eristus puudu."

Shostack koos ekspertide rühmaga, sealhulgas Mike Hintze, Daniel P. Cooper ja Leslie R. Katz, annavad oma ettekande ajal nõu, kuidas Black Hat USA-s paljudes uutes kübereeskirjades navigeerida.Kuumad teemad küber- ja privaatsuseeskirjades. "

Ebamäärane keel, rohkem jõustamist

Mõned ebamäärane küberregulatsiooni keel on vajalik, juhib Shostack tähelepanu.

"Lisaks olgem ausad. Põhjus, miks need standardid on ebamäärased, on sageli [sest] tööstus nõuab paindlikkust, ”lisab ta. "Kui meil on probleeme, kuna standardid on liiga avatud, peaksime selle oma tööstusrühmade ja lobistideni tooma."

Advokaat ja endine tehnoloogiajuht Katz nõustub, et küberturvalisuse kogukonna ülesanne on aidata harida ja kujundada reeglite koostamise arutelusid. Ta lisab, et ilma tehniliste juhisteta on reguleerivatel asutustel, nagu SEC, vähe mõju peale karistuse.

Katz ütleb, et küberjulgeolekualaste teadmiste puudumine soodustab seda SEC kaalub SolarWindsi juhtide vastu suunatud õiguslikke meetmeid ettevõtte 2020. aasta rikkumise eest.

"See näib olevat SECi järjekordne pingutus jõustamise teel reguleerida. Selgemate juhiste andmise asemel saadavad nad sellise toimingu kaudu sõnumi, ”ütleb Katz Dark Readingile. “Hoiatus kõigile, et on vaja veelgi suuremat valvsust ja kiiret reageerimist.

Paneel annab juhiseid teemadel, mis hõlmavad USA privaatsusseadust ja Euroopa Liitu tehisintellekti käsitlevad eeskirjad, EL-USA andmekaitseraamistikja kuidas turvaspetsialistid saavad kõige paremini kaasata vastavuse ja reeglite koostamise protsessi.

Jätkuv regulatiivne ebakindlus nõuab üha tihedamat koostööd õigus- ja vastavusekspertidega nii ettevalmistuse ajal kui ka tegeliku küberintsidentidele reageerimise ajal, ütleb Shostack. Ta lisab, et kübermeeskondade jaoks on parim koht alustamiseks riikliku standardi- ja tehnoloogiainstituudi tehnilisi standardeid, küberturvalisuse raamistikku või Turvaline tarkvaraarenduse raamistik.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations