Hogyan kezeljük az új kiberszabályozás homályosságát

A szabályozó testületek a kormányzat minden szintjén az idén szigorúbb adatvédelmi és közzétételi követelményeket – és az ezekhez igazodó büntetéseket – határoztak meg, amelyeket félreérthető nyelvezet és szigorú irányelvek alapján alakítottak ki, így a kiberbiztonsági csapatok súlyos felelősséget vállalnak, és nincs egyértelmű út a megfeleléshez.

Nemrég megjelent A Security and Exchange Commission (SEC) irányelvei a kiberincidensek nyilvánosságra hozataláról szóló példák arra a fajta zavarra, amelyet a homályos szabályozási nyelvezet okozhat. Adam Shostack kiberbiztonsági szakértő rámutat a Dark Readingnek, hogy megfigyelte, hogy a szabályokat széles körben félremagyarázzák.

„Azt gondolom, hogy az átláthatóság követelménye általában jó, és fontos megjegyezni, hogy a lényeges jogsértés megállapításától számított négy napon belül, nem pedig a jogsértés felfedezésétől számított négy napon belül” – jegyzi meg Shostack. "Sok embernek hiányzik ez a fontos megkülönböztetés."

Shostack, valamint egy szakértői testület, köztük Mike Hintze, Daniel P. Cooper és Leslie R. Katz tanácsokat ad arra vonatkozóan, hogyan lehet eligazodni a Black Hat USA új kiberszabályozásában az előadás során.Aktuális témák a kiber- és adatvédelmi szabályozásban. "

Homályos nyelv, több végrehajtás

Néhány a kiberszabályozás homályos nyelvezetét szükséges – mutat rá Shostack.

"Ezenkívül legyünk őszinték. Az ok, amiért ezek a szabványok homályosak, gyakran [mert] az iparág rugalmasságot követel” – teszi hozzá. "Ha gondjaink vannak, mert a szabványok túl nyílt végűek, ezt közölnünk kell iparági csoportjainkkal és lobbistáinkkal."

Katz ügyvéd és korábbi technológiai vezető egyetért azzal, hogy a kiberbiztonsági közösség feladata, hogy segítsen a szabályalkotási megbeszélések oktatásában és alakításában. Technikai útmutatás nélkül az olyan szabályozó testületeknek, mint a SEC, a büntetésen túl csekély befolyásuk marad – teszi hozzá.

Katz azt mondja, hogy a kiberbiztonsági szakértelem hiánya táplálja a problémát SEC’s consideration of legal action against SolarWinds executives a cég 2020-as szerződésszegése miatt.

"Úgy tűnik, hogy ez a SEC újabb erőfeszítése a végrehajtással történő szabályozásra. Ahelyett, hogy egyértelműbb útmutatást adnának, üzenetet küldenek egy ilyen akcióval” – mondja Katz a Dark Readingnek. "Figyelmeztető lövés mindenkinek, hogy még nagyobb éberségre és gyors reagálásra lesz szükség.”

A testület útmutatást ad az Egyesült Államok adatvédelmi törvényére és az Európai Unióra kiterjedő témákban az AI körüli szabályozás, a EU-USA adatvédelmi keretrendszer, és hogyan tudnak a biztonsági szakemberek a legjobban bekapcsolódni a megfelelőségi és szabályalkotási folyamatba.

A folyamatos szabályozási bizonytalanság egyre szorosabb együttműködést tesz szükségessé a jogi és megfelelőségi szakértőkkel mind az előkészítés során, mind a tényleges kiberincidensre adott válaszadás során – mondja Shostack. Hozzáteszi, hogy a kibercsapatok számára a legjobb kiindulási hely műszaki szabványok a National Institute of Standards and Technology, a Cybersecurity Framework vagy a Biztonságos szoftverfejlesztési keretrendszer.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations