Kavandatav SEC-i küberturvalisuse reegel tekitab CISO-dele tarbetut pinget

Kavandatav SEC-i küberturvalisuse reegel tekitab CISO-dele tarbetut pinget

Ajatempel: 1. september 2023 10:00
Kavandatav SEC-i küberturvalisuse reegel avaldab CISO-dele PlatoBlockchaini andmeluure tarbetult pinget. Vertikaalne otsing. Ai.

2022. aasta märtsis määras väärtpaberi- ja börsikomisjon (SEC) ettepaneku reegel küberjulgeoleku avalikustamise, juhtimise ja riskijuhtimise kohta avalike ettevõtete jaoks, tuntud kui Kavandatav reegel avalik-õiguslikele äriühingutele (PRPC). See reegel nõuaks ettevõtetelt „olulistest” küberjulgeolekuintsidentidest teatamist nelja päeva jooksul. Samuti nõuaks see, et direktorite nõukogudel oleks küberjulgeolekualased teadmised.

Pole üllatav, et see on tabatakse igasuguseid tagasilööke. Praegusel kujul jätab pakutud reegel palju tõlgendamisruumi ja see on mõnes valdkonnas ebapraktiline.

Esiteks avaldab tihe avalikustamisaken tohutut survet infoturbe ametnikele (CISO-dele), et nad avaldaksid olulised intsidendid enne, kui neil on kõik üksikasjad. Juhtumite mõistmiseks ja täielikuks kõrvaldamiseks võib kuluda nädalaid ja mõnikord kuid. Uue haavatavuse mõju on võimatu teada enne, kui heastamisele on pühendatud piisavalt ressursse. CISO-d võivad lõpuks avaldada ka haavatavused, mis aja jooksul muutuvad vähem probleemiks ja seetõttu ei ole need olulised. See võib omakorda mõjutada ettevõtte lühiajalist hinda.

Juhtumid on elav asi – mitte üks ja tehtud tehing

Neljapäevased avalikustamisnõuded võivad nimiväärtuses hästi tunduda. Kuid need ei ole realistlikud ja tõmbavad lõpuks CISO-de tähelepanu tulekahjude kustutamiselt kõrvale.

Toon võrdluseks Euroopa Liidu andmekaitse üldmääruse (GDPR). Määruse kohaselt peavad ettevõtted mittevastavusjuhtumitest teatama 72 tunni jooksul. Kuid GDPR-i puhul aruandlusvajadus on täpselt määratletud. Kuigi 72 tundi on sageli liiga vara, et teada saada intsidendi üldmõju spetsiifikat, saavad organisatsioonid vähemalt teada, kas isikuandmeid on ohustatud.

Võrrelge seda PRPC pakutud avalikustamisnõuetega. Organisatsioonidel on 24 tundi lisaaega, kuid seni avaldatu põhjal peavad nad kvalifitseeruma sisemiselt, kui rikkumine on materjal. GDPR-i kohaselt saab ettevõte seda teha vastavalt andmete tundlikkusele, nende mahule ja sellele, kuhu need läksid. PRPC kohaselt määratleb SEC "olulisuse" kui kõike, mida "mõistlik aktsionär peab oluliseks". See võib olla peaaegu kõik, mida aktsionärid peavad oma äri jaoks oluliseks. See on üsna lai ja pole selgelt määratletud.

Muud nõrgad definitsioonid

Teine probleem on ettepaneku nõue avalikustada asjaolud, mille puhul turvaintsident ei olnud iseenesest oluline, kuid on muutunud selliseks „kokku”. Kuidas see praktikas toimib? Kas kuue kuu tagune parandamata haavatavus võib nüüd avalikustada (arvestades, et ettevõte seda ei parandanud), kui seda kasutatakse hilisema intsidendi ulatuse laiendamiseks? Oleme juba seganud ohud, haavatavused ja mõju äritegevusele. Haavatavus, mida ära ei kasutata, ei ole oluline, kuna see ei avalda ärile mõju. Mida peate avalikustama, kui koondjuhtumitest tuleb teatada, ja kas koondamisklausel muudab selle tuvastamise veelgi raskemaks?

Selle keerulisemaks muutmiseks nõuab kavandatav reegel, et organisatsioonid avalikustaksid kõik varasematest juhtumitest tulenevad poliitikamuudatused. Kui rangelt seda mõõdetakse ja ausalt, miks seda teha? Eeskirjad peaksid olema kavatsuste avaldused – need ei tohiks olla madala tasemega kohtuekspertiisi konfiguratsioonijuhendid. Madalama taseme dokumendi (standardi) värskendamine tundlike andmete spetsiifilise krüpteerimisalgoritmi määramiseks on mõttekas, kuid on vähe kõrgema taseme dokumente, mida vahejuhtumi tõttu värskendataks. Näiteks võib nõuda mitmefaktorilist autentimist või paikapanemise teenusetaseme lepingu (SLA) muutmist kriitiliste haavatavuste jaoks.

Lõpuks öeldakse ettepanekus, et kvartali tuluaruanded on avalikustamise foorum. Isiklikult ei tundu kvartalipõhised tulukõned olevat õige foorum poliitikavärskenduste ja turvaintsidentide käsitlemiseks. Kes annab uuendusi? Finantsjuht või tegevjuht, kes tavaliselt esitab tuluaruandeid, ei pruugi olla nende kriitiliste aruannete esitamiseks piisavalt informeeritud. Niisiis, kas CISO liitub nüüd kõnedega? Ja kui jah, siis kas nad vastavad ka finantsanalüütikute küsimustele? See kõik tundub ebapraktiline, kuid me peame ootama ja vaatama.

Küsimused juhatuse kogemuse kohta

PRPC esimene iteratsioon nõudis küberjulgeoleku riskijuhtimise poliitika juhatuse järelevalve avalikustamist. See hõlmas üksikute juhatuse liikmete ja nende vastavate küberteadmiste avalikustamist. SEC ütleb, et ta hoidis määratluse sihikindlalt laia, võttes arvesse iga tahvli oskuste ja kogemuste ulatust.

Õnneks otsustasid nad pärast pikka uurimist selle nõude tühistada. PRPC nõuab endiselt, et ettevõtted kirjeldaksid juhatuse protsessi küberjulgeolekuriskide järelevalveks ja juhtkonna rolli nende riskide käsitlemisel.

See nõuab mõningaid kohandusi suhtluses ja üldises teadlikkuses. Hiljuti osalesid MIT Sloani küberturvalisuse tegevdirektor dr Keri Pearlson ja Stanley Black & Deckeri CISO Lucia Milică küsitles 600 juhatuse liiget küberturvalisusega seotud tegevuste kohta. Nad leidsid, et "vähem kui pooled (47%) liikmetest töötavad juhatustes, mis suhtlevad regulaarselt oma CISO-dega, ja peaaegu kolmandik neist näeb oma CISO-sid ainult juhatuse esitlustel." See viitab selgelt kommunikatsioonilünkale.

Hea uudis on see, et enamikul juhatustel on juba auditi- ja riskikomitee, mis võib sel eesmärgil toimida juhatuse alamrühmana. Sellegipoolest ei ole haruldane, et CISOd ja kodanikuühiskonna organisatsioonid esitavad küberturvalisusega seotud küsimusi, millest ülejäänud juhatus täielikult aru ei saa. Selle lünga kaotamiseks tuleb juhatuse ja turvajuhtide vahel rohkem ühtlustada.

Ebakindlus valitseb

Nagu iga uue määruse puhul, on ka PRPC puhul küsimusi ja ebakindlust. Peame lihtsalt ootama ja vaatama, kuidas see kõik areneb ja kas ettevõtted suudavad kavandatud nõudeid täita.

Ajatempel:

Veel alates Tume lugemine