प्रस्तावित एसईसी साइबर सुरक्षा नियम सीआईएसओ पर अनावश्यक दबाव डालेगा

मार्च 2022 में, प्रतिभूति और विनिमय आयोग (SEC) एक नियम प्रस्तावित किया सार्वजनिक कंपनियों के लिए साइबर सुरक्षा प्रकटीकरण, प्रशासन और जोखिम प्रबंधन पर, जिसे के रूप में जाना जाता है सार्वजनिक कंपनियों के लिए प्रस्तावित नियम (पीआरपीसी). इस नियम के तहत कंपनियों को चार दिनों के भीतर "भौतिक" साइबर सुरक्षा घटनाओं की रिपोर्ट करने की आवश्यकता होगी। इसके लिए यह भी आवश्यक होगा कि निदेशक मंडल के पास साइबर सुरक्षा विशेषज्ञता हो।

आश्चर्य की बात नहीं, यह है हर तरह के धक्के का सामना करना पड़ रहा है. अपने वर्तमान स्वरूप में, प्रस्तावित नियम व्याख्या के लिए बहुत जगह छोड़ता है, और यह कुछ क्षेत्रों में अव्यावहारिक है।

एक के लिए, सख्त प्रकटीकरण विंडो मुख्य सूचना सुरक्षा अधिकारियों (सीआईएसओ) पर सभी विवरण होने से पहले महत्वपूर्ण घटनाओं का खुलासा करने के लिए भारी मात्रा में दबाव डालेगी। घटनाओं को समझने और उनका पूरी तरह निवारण करने में कई सप्ताह और कभी-कभी महीनों का समय लग सकता है। किसी नई भेद्यता के प्रभाव को जानना तब तक असंभव है जब तक कि पर्याप्त संसाधन निवारण के लिए समर्पित न हों। सीआईएसओ को उन कमजोरियों का भी खुलासा करना पड़ सकता है, जो अधिक समय के साथ, कम समस्या बन जाती हैं और इसलिए महत्वपूर्ण नहीं रह जाती हैं। इसके परिणामस्वरूप, किसी कंपनी की अल्पकालिक कीमत प्रभावित हो सकती है।

घटनाएँ एक जीवित चीज़ हैं - एक बार किया जाने वाला सौदा नहीं

अंकित मूल्य पर चार-दिवसीय प्रकटीकरण आवश्यकताएँ ठीक लग सकती हैं। लेकिन वे यथार्थवादी नहीं हैं और अंततः सीआईएसओ को आग बुझाने से विचलित कर देंगे।

मैं तुलना के रूप में यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (जीडीपीआर) का उपयोग करूंगा। विनियमन के तहत, कंपनियों को 72 घंटों के भीतर गैर-अनुपालन की घटनाओं की रिपोर्ट करनी होगी। हालाँकि, जीडीपीआर के मामले में, रिपोर्ट करने की आवश्यकता अच्छी तरह से परिभाषित है. जबकि किसी घटना के समग्र प्रभाव की बारीकियों को जानने के लिए 72 घंटे अक्सर बहुत जल्दी होते हैं, कम से कम संगठनों को पता चल जाएगा कि क्या व्यक्तिगत जानकारी से समझौता किया गया है।

इसकी तुलना पीआरपीसी की प्रस्तावित प्रकटीकरण आवश्यकताओं से करें। संगठनों के पास अतिरिक्त 24 घंटे होंगे, लेकिन - अब तक जो प्रचारित किया गया है उसके आधार पर - यदि उल्लंघन होता है तो उन्हें आंतरिक रूप से अर्हता प्राप्त करनी होगी सामग्री. जीडीपीआर के तहत, कोई कंपनी डेटा की संवेदनशीलता, उसकी मात्रा और वह कहां गया, इसके आधार पर ऐसा कर सकती है। पीआरपीसी के तहत, एसईसी द्वारा "भौतिकता" को ऐसी किसी भी चीज़ के रूप में परिभाषित किया गया है जिसे "उचित शेयरधारक महत्वपूर्ण समझेगा।" यह वस्तुतः कुछ भी हो सकता है जिसे शेयरधारक अपने व्यवसाय के लिए महत्वपूर्ण मानते हैं। यह काफी व्यापक है और स्पष्ट रूप से परिभाषित नहीं है।

अन्य कमजोर परिभाषाएँ

एक अन्य मुद्दा उन परिस्थितियों का खुलासा करने के लिए प्रस्ताव की आवश्यकता है जिसमें एक सुरक्षा घटना अपने आप में महत्वपूर्ण नहीं थी लेकिन "कुल मिलाकर" हो गई है। यह व्यवहार में कैसे काम करता है? क्या छह महीने पहले की कोई पैच न की गई भेद्यता अब प्रकटीकरण के दायरे में है (यह देखते हुए कि कंपनी ने इसे पैच नहीं किया है) यदि इसका उपयोग बाद की घटना के दायरे को बढ़ाने के लिए किया जाता है? हम पहले से ही खतरों, कमजोरियों और व्यावसायिक प्रभाव को मिलाते हैं। जिस भेद्यता का शोषण नहीं किया जाता वह महत्वपूर्ण नहीं है क्योंकि यह व्यावसायिक प्रभाव पैदा नहीं करती है। जब समग्र घटनाओं की रिपोर्ट करने की आवश्यकता होगी तो आपको क्या खुलासा करने की आवश्यकता होगी, और क्या एकत्रीकरण खंड इसे समझना और भी कठिन बना देता है?

इसे और अधिक जटिल बनाने के लिए, प्रस्तावित नियम में संगठनों को पिछली घटनाओं के परिणामस्वरूप हुए किसी भी नीतिगत परिवर्तन का खुलासा करने की आवश्यकता होगी। इसे कितनी कठोरता से मापा जाएगा और ईमानदारी से कहें तो ऐसा क्यों करें? नीतियों को इरादे का बयान माना जाता है - उन्हें निम्न-स्तरीय, फोरेंसिक कॉन्फ़िगरेशन गाइड नहीं माना जाता है। संवेदनशील डेटा के लिए एक विशिष्ट एन्क्रिप्शन एल्गोरिथ्म को अनिवार्य करने के लिए निचले स्तर के दस्तावेज़ (एक मानक) को अपडेट करना समझ में आता है, लेकिन कुछ उच्च-स्तरीय दस्तावेज़ हैं जिन्हें किसी घटना के कारण अपडेट किया जाएगा। उदाहरणों में मल्टीफैक्टर प्रमाणीकरण की आवश्यकता हो सकती है या इन-स्कोप महत्वपूर्ण कमजोरियों के लिए पैचिंग सर्विस-लेवल एग्रीमेंट (एसएलए) को बदलना पड़ सकता है।

अंत में, प्रस्ताव में कहा गया है कि तिमाही आय रिपोर्ट खुलासे के लिए मंच होगी। व्यक्तिगत रूप से, त्रैमासिक आय कॉल नीति अद्यतन और सुरक्षा घटनाओं पर गहराई से चर्चा करने के लिए सही मंच नहीं लगती है। कौन देगा अपडेट? सीएफओ या सीईओ, जो आम तौर पर आय रिपोर्ट प्रदान करते हैं, को उन महत्वपूर्ण रिपोर्टों को देने के लिए पर्याप्त रूप से सूचित नहीं किया जा सकता है। तो, क्या सीआईएसओ अब कॉल में शामिल हो गया है? और, यदि हां, तो क्या वे वित्तीय विश्लेषकों के सवालों का भी जवाब देंगे? यह सब अव्यवहारिक लगता है, लेकिन हमें इंतजार करना होगा और देखना होगा।

बोर्ड अनुभव के बारे में प्रश्न

पीआरपीसी के पहले पुनरावृत्ति में साइबर सुरक्षा जोखिम प्रबंधन नीतियों के बोर्ड निरीक्षण के बारे में खुलासे की आवश्यकता थी। इसमें व्यक्तिगत बोर्ड के सदस्यों और उनकी संबंधित साइबर विशेषज्ञता के बारे में खुलासे शामिल थे। एसईसी का कहना है कि प्रत्येक बोर्ड के विशेष कौशल और अनुभव की सीमा को देखते हुए, उसने जानबूझकर परिभाषा को व्यापक रखा है।

सौभाग्य से, काफ़ी जाँच-पड़ताल के बाद, उन्होंने इस आवश्यकता को हटाने का निर्णय लिया। पीआरपीसी अभी भी कंपनियों से साइबर सुरक्षा जोखिमों की निगरानी के लिए बोर्ड की प्रक्रिया और उन जोखिमों से निपटने में प्रबंधन की भूमिका का वर्णन करने के लिए कहता है।

इसके लिए संचार और सामान्य जागरूकता में कुछ समायोजन की आवश्यकता होगी। हाल ही में, एमआईटी स्लोअन में साइबर सुरक्षा के कार्यकारी निदेशक डॉ. केरी पर्लसन और स्टेनली ब्लैक एंड डेकर में सीआईएसओ लूसिया मिलिके ने कहा, 600 बोर्ड सदस्यों का सर्वेक्षण किया साइबर सुरक्षा से जुड़ी गतिविधियों के बारे में। उन्होंने पाया कि "आधे से भी कम (47%) सदस्य उन बोर्डों पर काम करते हैं जो नियमित रूप से अपने सीआईएसओ के साथ बातचीत करते हैं, और उनमें से लगभग एक तिहाई अपने सीआईएसओ को केवल बोर्ड प्रस्तुतियों में देखते हैं।" यह स्पष्ट रूप से संचार अंतराल की ओर इशारा करता है।

अच्छी खबर यह है कि अधिकांश बोर्डों के पास पहले से ही एक ऑडिट और जोखिम समिति है, जो इस उद्देश्य के लिए बोर्ड के सबसेट के रूप में काम कर सकती है। जैसा कि कहा गया है, सीआईएसओ और सीएसओ के लिए साइबर सुरक्षा से जुड़े मामलों को प्रस्तुत करना असामान्य नहीं है जिन्हें बोर्ड के बाकी सदस्य पूरी तरह से नहीं समझते हैं। इस अंतर को पाटने के लिए, बोर्ड और सुरक्षा अधिकारियों के बीच अधिक तालमेल की आवश्यकता है।

अनिश्चितता बनी रहती है

किसी भी नए विनियमन की तरह, पीआरपीसी के साथ भी प्रश्न और अनिश्चितताएं हैं। हमें बस इंतजार करना होगा और देखना होगा कि यह सब कैसे विकसित होता है और क्या कंपनियां प्रस्तावित आवश्यकताओं को पूरा कर सकती हैं।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. ऑटोमोटिव/ईवीएस, कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• चार्टप्राइम. चार्टप्राइम के साथ अपने ट्रेडिंग गेम को उन्नत करें। यहां पहुंचें।
• BlockOffsets. पर्यावरणीय ऑफसेट स्वामित्व का आधुनिकीकरण। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos