Ehdotettu SEC:n kyberturvallisuussääntö asettaa tarpeettoman rasituksen CISO:lle

Maaliskuussa 2022 Securities and Exchange Commission (SEC) ehdotti sääntöä julkisten yhtiöiden kyberturvallisuudesta, hallinnosta ja riskienhallinnasta Ehdotettu sääntö julkisille yhtiöille (PRPC). Tämä sääntö edellyttäisi yrityksiä ilmoittamaan "olennaisista" kyberturvallisuushäiriöistä neljän päivän kuluessa. Se edellyttäisi myös, että hallituksilla on kyberturvallisuuden asiantuntemusta.

Ei ole yllättävää, se on kohtaamaan kaikenlaisia ​​takaiskuja. Nykyisessä muodossaan ehdotettu sääntö jättää paljon tulkinnanvaraa, ja se on joillain alueilla epäkäytännöllinen.

Ensinnäkin tiukka tiedonantoikkuna asettaa valtavia paineita tietoturvapäälliköille (CISO) paljastamaan olennaiset tapahtumat ennen kuin heillä on kaikki yksityiskohdat. Tapausten ymmärtäminen ja täydellinen korjaaminen voi kestää viikkoja ja joskus kuukausia. On mahdotonta tietää uuden haavoittuvuuden vaikutuksia, ennen kuin korjaamiseen on varattu runsaasti resursseja. CISO:t voivat myös joutua paljastamaan haavoittuvuuksia, jotka ajan myötä vähentävät ongelmaa eivätkä siksi ole olennaisia. Se voi puolestaan ​​vaikuttaa yrityksen lyhyen aikavälin hintaan.

Tapahtumat ovat elävä asia – ei yksittäinen sopimus

Neljän päivän tiedonantovaatimukset saattavat kuulostaa hyvältä nimellisarvossa. Mutta ne eivät ole realistisia ja viime kädessä häiritsevät CISO:n huomioita tulipalojen sammuttamisesta.

Käytän vertailuna Euroopan unionin yleistä tietosuoja-asetusta (GDPR). Asetuksen mukaan yritysten tulee ilmoittaa laiminlyönneistä 72 tunnin kuluessa. Kuitenkin GDPR:n tapauksessa raportointitarve on hyvin määritelty. Vaikka 72 tuntia on usein liian aikaista tietää tapahtuman kokonaisvaikutuksista, organisaatiot tietävät ainakin, jos henkilökohtaisia ​​tietoja on vaarantunut.

Vertaa tätä PRPC:n ehdottamiin tiedonantovaatimuksiin. Organisaatioilla on ylimääräinen 24 tuntia, mutta - tähän mennessä julkistetun perusteella - niiden on hyväksyttävä sisäisesti, jos rikkomus on materiaali. GDPR:n mukaan yritys voi tehdä sen datan herkkyyden, määrän ja sen mukaan, mihin se on mennyt. PRPC:n mukaan SEC määrittelee "olennaisuuden" kaikeksi, mitä "kohtuullinen osakkeenomistaja pitää tärkeänä". Tämä voi olla käytännössä mitä tahansa, jota osakkeenomistajat pitävät tärkeänä liiketoimintansa kannalta. Se on melko laaja eikä selkeästi määritelty.

Muut heikot määritelmät

Toinen ongelma on ehdotuksen vaatimus paljastaa olosuhteet, joissa turvavälikohtaus ei ollut sinänsä olennainen, mutta siitä on tullut sellainen "kokonaisuudessaan". Miten tämä toimii käytännössä? Onko kuuden kuukauden takainen korjaamaton haavoittuvuus nyt julkistettavissa (koska yritys ei korjannut sitä), jos sitä käytetään laajentamaan myöhemmän tapahtuman laajuutta? Yhdistämme jo uhat, haavoittuvuudet ja vaikutukset liiketoimintaan. Haavoittuvuus, jota ei hyödynnetä, ei ole olennainen, koska se ei vaikuta liiketoimintaan. Mitä sinun tulee paljastaa, kun yhteenlasketut tapahtumat on raportoitava, ja tekeekö yhdistämislauseke tämän vielä vaikeammaksi havaita?

Tämän monimutkaisemiseksi ehdotettu sääntö edellyttää, että organisaatiot paljastavat aiemmista tapahtumista johtuneet käytäntömuutokset. Kuinka tiukasti tätä mitataan, ja rehellisesti, miksi se tehdään? Käytäntöjen on tarkoitus olla aikomuksia – niiden ei pitäisi olla matalan tason oikeuslääketieteellisiä määritysoppaita. Alemman tason asiakirjan (standardin) päivittäminen tietyn salausalgoritmin määrittämiseksi arkaluontoisille tiedoille on järkevää, mutta on vain vähän korkeamman tason asiakirjoja, jotka päivitettäisiin tapahtuman vuoksi. Esimerkkejä voivat olla monitekijätodennuksen vaatiminen tai korjauspalvelutason sopimuksen (SLA) muuttaminen laajuudeltaan kriittisten haavoittuvuuksien varalta.

Lopuksi ehdotuksessa sanotaan, että neljännesvuosittaiset tulosraportit ovat tietojen paljastamisen foorumi. Henkilökohtaisesti neljännesvuosittaiset tulospuhelut eivät vaikuta oikealta foorumilta perehtyä käytäntöpäivityksiin ja tietoturvahäiriöihin. Kuka antaa päivitykset? Talousjohtaja tai toimitusjohtaja, joka yleensä antaa tulosraportteja, ei ehkä ole tarpeeksi perehtynyt antamaan näitä tärkeitä raportteja. Liittyykö CISO nyt puheluihin? Ja jos on, vastaavatko he myös rahoitusanalyytikkojen kysymyksiin? Kaikki näyttää epäkäytännölliseltä, mutta meidän on odotettava ja katsottava.

Kysymyksiä hallituskokemuksesta

PRPC:n ensimmäinen iteraatio edellytti tietojen julkistamista kyberturvallisuusriskien hallintakäytäntöjen hallituksen valvonnasta. Tämä sisälsi tiedot yksittäisistä hallituksen jäsenistä ja heidän kyberosaamisestaan. SEC sanoo pitäneensä määritelmän tarkoituksella laajana, kun otetaan huomioon kunkin laudan taidot ja kokemus.

Onneksi he päättivät pitkän tarkastelun jälkeen poistaa tämän vaatimuksen. PRPC vaatii edelleen yrityksiä kuvaamaan hallituksen kyberturvallisuusriskien valvontaprosessia ja johdon roolia näiden riskien hallinnassa.

Tämä vaatii joitain muutoksia viestintään ja yleiseen tietoisuuteen. Äskettäin tohtori Keri Pearlson, MIT Sloanin kyberturvallisuuden johtaja, ja Lucia Milică, Stanley Black & Deckerin CISO, kyselyyn osallistui 600 hallituksen jäsentä kyberturvallisuuteen liittyvistä toiminnoista. He havaitsivat, että "alle puolet (47 %) jäsenistä toimii hallituksissa, jotka ovat säännöllisesti vuorovaikutuksessa CISO:nsa kanssa, ja melkein kolmasosa heistä näkee CISO:nsa vain hallituksen esittelyissä." Tämä osoittaa selvästi viestintävajetta.

Hyvä uutinen on, että useimmissa hallituksissa on jo tarkastus- ja riskikomitea, joka voi toimia hallituksen osana tätä tarkoitusta varten. Ei kuitenkaan ole harvinaista, että CISO:t ja kansalaisjärjestöt esittävät kyberturvallisuuteen liittyviä asioita, joita muut hallituksen jäsenet eivät täysin ymmärrä. Tämän kuilun kuromiseksi johtokunnan ja turvallisuusjohtajien on saatava enemmän linjaa.

Epävarmuus vallitsee

Kuten kaikissa uusissa asetuksissa, PRPC:ssä on kysymyksiä ja epävarmuustekijöitä. Meidän on vain odotettava ja katsottava, kuinka tämä kaikki kehittyy ja pystyvätkö yritykset täyttämään ehdotetut vaatimukset.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos