כיצד להתמודד עם הערפול בתקנות הסייבר החדשות

גופים רגולטוריים בכל רמה של ממשלה העניקו השנה דרישות נוקשות לפרטיות וחשיפה - ועונשים שיתאימו להם - בשפה מעורפלת והנחיות מרומזות ומותירות את צוותי אבטחת הסייבר באחריות עמוקה וללא דרך ברורה לציות.

פורסם לאחרונה הנחיות נציבות האבטחה והחילוף (SEC). על גילוי אירועי סייבר הם דוגמה לסוג הבלבול ששפה רגולטורית מעורפלת יכולה לגרום. מומחה אבטחת סייבר, אדם שוסטאק, מציין בפני Dark Reading שהוא ראה את הכללים מפורשים באופן שגוי.

"אני חושב שהדרישה לשקיפות היא בדרך כלל טובה, וחשוב לציין שזה תוך ארבעה ימים מרגע הקביעה שמדובר בהפרה מהותית, לא תוך ארבעה ימים מגילוי הפרה", מציין שוסטאק. "הרבה אנשים מפספסים את ההבחנה החשובה הזו."

Shostack, יחד עם פאנל של מומחים כולל מייק הינץ, דניאל פ. קופר ולסלי ר. כץ יציעו עצות כיצד לנווט בשורה של תקנות סייבר חדשות ב-Black Hat USA במהלך המצגת שלהם, "נושאים חמים ברגולציית סייבר ופרטיות".

שפה מעורפלת, יותר אכיפה

חלק שפה מעורפלת של רגולציית סייבר הוא הכרחי, מציין שוסטאק.

"כמו כן, בואו נהיה גלויים. הסיבה שהסטנדרטים הללו מעורפלים היא לעתים קרובות [מכיוון] שדרישות התעשייה לגמישות", הוא מוסיף. "אם יש לנו בעיות בגלל שהסטנדרטים פתוחים מדי, עלינו להביא זאת לקבוצות התעשייה והלוביסטים שלנו".

כץ, עורך דין ובכיר לשעבר בתחום הטכנולוגיה, מסכים שזה תלוי בקהילת אבטחת הסייבר לעזור לחנך ולעצב דיונים על חוקים. ללא הנחיות טכניות, גופים רגולטוריים כמו ה-SEC נותרים עם השפעה מועטה מעבר לענישה, היא מוסיפה.

כץ אומר כי היעדר מומחיות באבטחת סייבר מניע את השיקול של SEC לגבי תביעה משפטית נגד בכירי SolarWinds על הפרת החברה ב-2020.

"נראה שזהו עוד מאמץ של ה-SEC להסדיר באמצעות אכיפה. במקום לספק הנחיות ברורות יותר, הם שולחים מסר באמצעות פעולה כזו", אומר כץ ל-Dark Reading. "יריית אזהרה לכל כי תידרש עוד יותר ערנות ותגובות מהירות".

הפאנל יספק הנחיות בנושאים המשתרעים על חוק הפרטיות האמריקאי, האיחוד האירופי תקנות סביב AI, ה מסגרת הגנת נתונים של האיחוד האירופי-ארה"ב, וכיצד מקצועני האבטחה יכולים לעסוק בצורה הטובה ביותר בתהליך הציות וקביעת החוקים.

אי ודאות רגולטורית מתמשכת מחייבת שיתוף פעולה הדוק יותר ויותר עם מומחי משפטים וציות, הן במהלך ההכנה, והן במהלך תגובת תקרית סייבר בפועל, אומר שוסטאק. הוא מוסיף שהמקום הטוב ביותר עבור צוותי סייבר להתחיל בו הוא תקנים טכניים מהמכון הלאומי לתקנים וטכנולוגיה, מסגרת אבטחת הסייבר או ה- מסגרת פיתוח תוכנה מאובטחת.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
• מקור: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations