A javasolt SEC kiberbiztonsági szabály szükségtelenül megterheli a CISO-kat

2022 márciusában az Értékpapír- és Tőzsdefelügyelet (SEC) szabályt javasolt az állami vállalatok kiberbiztonsági közzétételéről, irányításáról és kockázatkezeléséről, az úgynevezett Közvállalatok számára javasolt szabály (PRPC). Ez a szabály megkövetelné, hogy a vállalatok négy napon belül jelentsék a „lényeges” kiberbiztonsági incidenseket. Az is megkövetelné, hogy az igazgatótanácsok rendelkezzenek kiberbiztonsági szakértelemmel.

Nem meglepő módon az mindenféle visszaszorítással találkoznak. Jelenlegi formájában a javasolt szabály sok értelmezési teret hagy, és bizonyos területeken nem is praktikus.

Egyrészt a szűkös nyilvánosságra hozatali ablak hatalmas nyomást fog gyakorolni az információbiztonsági vezetőkre (CISO-kra), hogy közöljék a lényeges incidenseket, mielőtt az összes részlet birtokában lenne. Az incidensek megértése és teljes orvoslása hetekbe, néha hónapokba telhet. Lehetetlen megismerni egy új sebezhetőség hatását, amíg elegendő erőforrást nem fordítanak a helyreállításra. Előfordulhat, hogy a CISO-knak fel kell fedniük azokat a sebezhetőségeket, amelyek több idő elteltével kevésbé jelentenek problémát, és ezért nem is lényegesek. Ez viszont hatással lehet egy vállalat rövid távú árára.

Az incidensek élőlények – nem egyszeri ügylet

A négynapos közzétételi követelmények névértéken jól hangzanak. De ezek nem reálisak, és végső soron elvonják a CISO figyelmét a tüzek oltásától.

Összehasonlításként az Európai Unió általános adatvédelmi rendeletét (GDPR) használom. A rendelet értelmében a cégeknek 72 órán belül jelenteniük kell a nem megfelelő eseményeket. A GDPR esetében azonban a jelentés szükségessége jól meghatározott. Míg a 72 óra gyakran túl korai ahhoz, hogy megismerjük az incidens általános hatásának sajátosságait, a szervezetek legalább tudni fogják, ha személyes adatok veszélybe kerültek.

Hasonlítsa össze ezt a PRPC javasolt közzétételi követelményeivel. A szervezeteknek plusz 24 órájuk lesz, de – az eddigiek alapján – belső minősítést kell kapniuk, ha a jogsértés anyag. A GDPR értelmében egy vállalat ezt az adatok érzékenysége, mennyisége és az adatok hovatartozása alapján teheti meg. A PRPC szerint a „lényegesség” a SEC szerint minden olyan dolog, amit „az ésszerű részvényes fontosnak tartana”. Ez gyakorlatilag bármi lehet, amit a részvényesek üzleti tevékenységük szempontjából lényegesnek tartanak. Meglehetősen tág és nem egyértelműen meghatározott.

Egyéb gyenge definíciók

Egy másik kérdés a javaslat azon körülményeinek közzétételére vonatkozó követelmény, amelyekben a biztonsági incidens önmagában nem volt lényeges, de „összességében” azzá vált. Hogyan működik ez a gyakorlatban? Felfedhető-e egy hat hónappal ezelőtti kijavítatlan biztonsági rés (tekintettel arra, hogy a vállalat nem javította ki), ha azt egy későbbi incidens hatókörének kiterjesztésére használják? Már most is összekeverjük a fenyegetéseket, a sebezhetőségeket és az üzleti hatásokat. A nem kihasznált sebezhetőség nem lényeges, mert nem jár üzleti hatással. Mit kell közölnie, ha összesített incidenseket kell jelenteni, és az összesítési záradék még nehezebbé teszi ennek felismerését?

Ennek bonyolultabbá tétele érdekében a javasolt szabály megköveteli a szervezetektől, hogy tegyenek közzé minden, a korábbi incidensekből eredő szabályzatmódosítást. Milyen szigorúan fogják ezt mérni, és őszintén, miért teszik ezt? A szabályzatoknak szándéknyilatkozatoknak kell lenniük – nem szabad alacsony szintű, törvényszéki konfigurációs útmutatóknak lenniük. Értelmes egy alacsonyabb szintű dokumentum (szabvány) frissítése egy speciális titkosítási algoritmus előírása érdekében az érzékeny adatokhoz, de kevés olyan magasabb szintű dokumentum van, amely egy incidens miatt frissülne. Ilyen lehet például a többtényezős hitelesítés megkövetelése vagy a javítási szolgáltatásszint-szerződés (SLA) módosítása a hatókörön belüli kritikus biztonsági rések miatt.

Végül a javaslat szerint a negyedéves eredményjelentések lesznek a közzétételek fórumai. Személy szerint a negyedéves bevételekkel kapcsolatos felhívások nem tűnnek megfelelő fórumnak a szabályzatfrissítések és biztonsági incidensek elmélyítésére. Ki adja meg a frissítéseket? Előfordulhat, hogy a pénzügyi igazgató vagy a vezérigazgató, aki általában bevételi jelentéseket készít, nem kellően tájékozott ahhoz, hogy elkészítse ezeket a kritikus jelentéseket. Tehát a CISO most csatlakozik a felhívásokhoz? És ha igen, válaszolnak-e a pénzügyi elemzők kérdéseire is? Ez az egész nem praktikusnak tűnik, de várnunk kell, és meglátjuk.

Kérdések a testületi tapasztalattal kapcsolatban

A PRPC első iterációja közzétételt követelt meg a kiberbiztonsági kockázatkezelési irányelvek igazgatótanácsi felügyeletéről. Ez magában foglalta az egyes igazgatósági tagok és kiberismereteik közzétételét. A SEC azt állítja, hogy szándékosan tartotta tág meghatározását, tekintettel az egyes táblákra jellemző készségekre és tapasztalatokra.

Szerencsére hosszas vizsgálat után úgy döntöttek, hogy megszüntetik ezt a követelményt. A PRPC továbbra is felkéri a vállalatokat, hogy írják le az igazgatótanács kiberbiztonsági kockázatok felügyeleti folyamatát, és a menedzsment szerepét e kockázatok kezelésében.

Ehhez némi kiigazításra lesz szükség a kommunikációban és az általános tudatosságban. Nemrég Dr. Keri Pearlson, az MIT Sloan kiberbiztonsági ügyvezető igazgatója és Lucia Milică, a Stanley Black & Decker CISO-ja, 600 igazgatósági tagot kérdeztek meg a kiberbiztonsággal kapcsolatos tevékenységekről. Azt találták, hogy „a tagok kevesebb mint fele (47%) olyan testületekben dolgozik, amelyek rendszeresen kapcsolatba lépnek CISO-jukkal, és csaknem egyharmaduk csak a testületi előadásokon látja CISO-ját.” Ez egyértelműen kommunikációs szakadékra utal.

A jó hír az, hogy a legtöbb igazgatóságnak már van ellenőrzési és kockázati bizottsága, amely az igazgatóság egy részeként szolgálhat erre a célra. Ennek ellenére nem ritka, hogy a CISO-k és a civil szervezetek olyan kiberbiztonsági kérdéseket terjesztenek elő, amelyeket a testület többi tagja nem teljesen ért. Ennek a szakadéknak a megszüntetéséhez nagyobb összhangra van szükség az igazgatóság és a biztonsági vezetők között.

A bizonytalanság uralkodik

Mint minden új szabályozásnál, a PRPC-vel kapcsolatban is vannak kérdések és bizonytalanságok. Csak várnunk kell, és meglátjuk, hogyan alakul mindez, és hogy a vállalatok képesek-e teljesíteni a javasolt követelményeket.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• ChartPrime. Emelje fel kereskedési játékát a ChartPrime segítségével. Hozzáférés itt.
• BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
• Forrás: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos