قانون امنیت سایبری پیشنهادی SEC فشار غیرضروری را بر CISO ها وارد می کند

قانون امنیت سایبری پیشنهادی SEC فشار غیرضروری را بر CISO ها وارد می کند

تمبر زمانی: 1 سپتامبر 2023، 10:00 صبح
قانون امنیت سایبری پیشنهادی SEC فشار غیرضروری را بر هوش داده‌های PlatoBlockchain CISO وارد می‌کند. جستجوی عمودی Ai.

در مارس 2022، کمیسیون بورس و اوراق بهادار (SEC) یک قانون پیشنهاد کرد در مورد افشای امنیت سایبری، حاکمیت و مدیریت ریسک برای شرکت های دولتی، معروف به قانون پیشنهادی برای شرکت های دولتی (PRPC). این قانون شرکت‌ها را ملزم می‌کند تا حوادث امنیت سایبری «مادی» را ظرف چهار روز گزارش کنند. همچنین مستلزم آن است که هیئت مدیره دارای تخصص امنیت سایبری باشد.

جای تعجب نیست، این است با انواع فشارها مواجه می شود. در شکل فعلی، قانون پیشنهادی جای زیادی برای تفسیر باقی می گذارد و در برخی زمینه ها غیر عملی است.

برای مثال، پنجره فشرده افشا فشار زیادی بر افسران ارشد امنیت اطلاعات (CISOs) وارد می کند تا قبل از اینکه تمام جزئیات را در اختیار داشته باشند، حوادث مهم را افشا کنند. حوادث ممکن است هفته ها و گاهی ماه ها طول بکشد تا درک شوند و به طور کامل اصلاح شوند. تا زمانی که منابع کافی به اصلاح اختصاص داده نشود، نمی‌توان تأثیر یک آسیب‌پذیری جدید را دانست. CISO ها همچنین ممکن است در نهایت مجبور به افشای آسیب پذیری هایی شوند که با گذشت زمان بیشتر، در نهایت مشکل کمتر و در نتیجه مهم نیستند. این به نوبه خود می تواند بر قیمت کوتاه مدت یک شرکت تأثیر بگذارد.

حوادث یک چیز زنده هستند - نه یک معامله یک و چند انجام شده

الزامات افشای چهار روزه ممکن است در ارزش اسمی خوب به نظر برسد. اما آنها واقع بینانه نیستند و در نهایت تمرکز CISO را از خاموش کردن آتش منحرف می کنند.

من از مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) به عنوان مقایسه استفاده خواهم کرد. بر اساس این مقررات، شرکت ها باید موارد عدم انطباق را ظرف 72 ساعت گزارش کنند. با این حال، در مورد GDPR، نیاز به گزارش به خوبی تعریف شده است. در حالی که 72 ساعت برای دانستن جزئیات تأثیر کلی یک حادثه خیلی زود است، سازمان‌ها حداقل می‌دانند که آیا اطلاعات شخصی به خطر افتاده است یا خیر.

این را با الزامات افشای پیشنهادی PRPC مقایسه کنید. سازمان‌ها 24 ساعت اضافی خواهند داشت، اما - بر اساس آنچه تاکنون منتشر شده است - در صورت وجود نقض، باید واجد شرایط داخلی باشند. ماده. تحت GDPR، یک شرکت می تواند این کار را بر اساس حساسیت داده ها، حجم آن و جایی که رفته انجام دهد. طبق PRPC، "ماده" توسط SEC به عنوان هر چیزی که یک "سهامدار معقول مهم تلقی می کند" تعریف می شود. این می تواند تقریباً هر چیزی باشد که سهامداران برای کسب و کار خود در نظر می گیرند. نسبتاً گسترده است و به وضوح تعریف نشده است.

سایر تعاریف ضعیف

موضوع دیگر، الزام پیشنهاد برای افشای شرایطی است که در آن یک حادثه امنیتی به خودی خود مهم نبوده است، اما «مجموع» شده است. این در عمل چگونه کار می کند؟ آیا آسیب‌پذیری اصلاح‌نشده شش ماه پیش در صورتی که برای گسترش دامنه رویدادهای بعدی استفاده شود، اکنون قابل افشای است (با توجه به اینکه شرکت آن را اصلاح نکرده است)؟ ما در حال حاضر تهدیدها، آسیب‌پذیری‌ها و تأثیرات تجاری را با هم ترکیب می‌کنیم. آسیب‌پذیری که مورد سوء استفاده قرار نمی‌گیرد، مادی نیست، زیرا تأثیر تجاری ایجاد نمی‌کند. هنگامی که رویدادهای انبوه باید گزارش شوند، چه چیزی را باید فاش کنید، و آیا بند تجمیع تشخیص این موضوع را سخت‌تر می‌کند؟

برای پیچیده‌تر کردن این موضوع، قانون پیشنهادی سازمان‌ها را ملزم می‌کند تا هرگونه تغییر خط‌مشی ناشی از حوادث قبلی را افشا کنند. چقدر این امر با دقت اندازه گیری می شود و صادقانه بگویم چرا این کار انجام می شود؟ قرار است خط‌مشی‌ها بیانیه‌های قصد باشند - قرار نیست آنها راهنمای پیکربندی پزشکی قانونی سطح پایین باشند. به روز رسانی یک سند سطح پایین (استاندارد) برای الزام الگوریتم رمزگذاری خاص برای داده های حساس منطقی است، اما اسناد سطح بالاتری وجود دارد که به دلیل یک حادثه به روز می شوند. به عنوان مثال ممکن است نیاز به احراز هویت چند عاملی یا تغییر توافق نامه وصله خدمات سطح سرویس (SLA) برای آسیب پذیری های حیاتی در محدوده باشد.

در نهایت، این پیشنهاد می‌گوید که گزارش‌های سود سه ماهه، انجمنی برای افشا خواهد بود. شخصاً به نظر نمی‌رسد که تماس‌های درآمد سه‌ماهه انجمن مناسبی برای پرداختن به به‌روزرسانی‌های خط‌مشی و حوادث امنیتی باشد. چه کسی به روز رسانی را خواهد داد؟ ممکن است مدیر مالی یا مدیر عامل، که معمولاً گزارش‌های درآمدی را ارائه می‌کنند، به اندازه کافی برای ارائه آن گزارش‌های مهم مطلع نباشند. بنابراین، آیا CISO اکنون به فراخوان ها می پیوندد؟ و اگر چنین است، آیا آنها به سؤالات تحلیلگران مالی نیز پاسخ خواهند داد؟ همه چیز غیرعملی به نظر می رسد، اما باید منتظر ماند و دید.

سوالات در مورد تجربه هیئت مدیره

اولین تکرار PRPC مستلزم افشاگری در مورد نظارت هیئت مدیره بر سیاست های مدیریت ریسک امنیت سایبری بود. این شامل افشاگری در مورد تک تک اعضای هیئت مدیره و تخصص سایبری مربوطه آنها بود. SEC می گوید با توجه به دامنه مهارت و تجربه خاص هر هیئت مدیره، به طور هدفمند این تعریف را گسترده نگه داشته است.

خوشبختانه، پس از بررسی های فراوان، آنها تصمیم گرفتند این الزام را حذف کنند. PRPC هنوز از شرکت‌ها می‌خواهد که فرآیند هیئت مدیره برای نظارت بر ریسک‌های امنیت سایبری و نقش مدیریت در رسیدگی به این خطرات را شرح دهند.

این به برخی تنظیمات در ارتباطات و آگاهی عمومی نیاز دارد. اخیراً دکتر کری پرلسون، مدیر اجرایی امنیت سایبری در MIT Sloan، و لوسیا میلیکا، CISO در Stanley Black & Decker، از 600 عضو هیئت مدیره نظرسنجی کرد در مورد فعالیت های پیرامون امنیت سایبری آنها دریافتند که "کمتر از نیمی (47٪) از اعضا در هیئت‌هایی خدمت می‌کنند که به طور منظم با CISO آنها تعامل دارند و تقریباً یک سوم از آنها فقط CISO خود را در سخنرانی‌های هیئت مدیره می‌بینند. این به وضوح به یک شکاف ارتباطی اشاره می کند.

خبر خوب این است که اکثر هیئت‌ها در حال حاضر یک کمیته حسابرسی و ریسک دارند که می‌تواند به عنوان زیرمجموعه هیئت مدیره برای این منظور عمل کند. با این اوصاف، غیرمعمول نیست که CISOها و CSOها موضوعات مربوط به امنیت سایبری را ارائه دهند که بقیه اعضای هیئت مدیره کاملاً آن را درک نمی کنند. برای رفع این شکاف، باید هماهنگی بیشتری بین هیئت مدیره و مدیران امنیتی وجود داشته باشد.

عدم اطمینان حاکم است

مانند هر مقررات جدید، سؤالات و عدم قطعیت هایی در مورد PRPC وجود دارد. ما فقط باید منتظر بمانیم و ببینیم که چگونه همه چیز تکامل می یابد و آیا شرکت ها می توانند الزامات پیشنهادی را برآورده کنند.

تمبر زمان:

بیشتر از تاریک خواندن