במרץ 2022, הרשות לניירות ערך (SEC) הציע כלל על גילוי אבטחת סייבר, ממשל וניהול סיכונים עבור חברות ציבוריות, הידועות בשם כלל מוצע לחברות ציבוריות (PRPC). כלל זה יחייב חברות לדווח על תקריות אבטחת סייבר "מהותיות" בתוך ארבעה ימים. זה גם ידרוש שלדירקטוריונים יהיו מומחיות באבטחת סייבר.
באופן לא מפתיע, זה כן נתקל בכל מיני דחיפות. במתכונתו הנוכחית, הכלל המוצע משאיר הרבה מקום לפרשנות, והוא לא מעשי בתחומים מסוימים.
ראשית, חלון החשיפה ההדוק יפעיל כמויות אדירות של לחץ על קציני אבטחת מידע ראשיים (CISOs) לחשוף אירועים מהותיים לפני שיהיו להם כל הפרטים. תקריות עשויות להימשך שבועות ולעיתים חודשים להבין ולתקן באופן מלא. אי אפשר לדעת את ההשפעה של פגיעות חדשה עד שיוקדשו משאבים רבים לתיקון. CISOs עשויים גם בסופו של דבר יצטרכו לחשוף נקודות תורפה שעם יותר זמן, בסופו של דבר הן פחות מהותיות ולכן אינן מהותיות. זה, בתורו, יכול להשפיע על המחיר לטווח הקצר של חברה.
תקריות הן יצור חי - לא עסקה חד פעמית
דרישות גילוי לארבעה ימים עשויות להישמע בסדר בערך הנקוב. אבל הם לא מציאותיים ובסופו של דבר יסיטו את דעתם של CISOs מכיבוי שריפות.
אני אשתמש בתקנת הגנת המידע הכללית של האיחוד האירופי (GDPR) כהשוואה. על פי התקנה, חברות חייבות לדווח על מקרים של אי ציות תוך 72 שעות. עם זאת, במקרה של GDPR, הצורך בדיווח מוגדר היטב. בעוד ש-72 שעות הן לעתים קרובות מוקדם מכדי לדעת את הפרטים של ההשפעה הכוללת של אירוע, ארגונים לכל הפחות יידעו אם המידע האישי נפגע.
השווה זאת לדרישות הגילוי המוצעות של PRPC. לארגונים יהיו 24 שעות נוספות, אך - בהתבסס על מה שפורסם עד כה - הם חייבים להעפיל באופן פנימי אם ההפרה חוֹמֶר. לפי GDPR, חברה יכולה לעשות זאת על סמך רגישות הנתונים, נפחם ולאן הם הלכו. לפי PRPC, "מהותיות" מוגדרת על ידי ה-SEC ככל מה ש"בעל מניות סביר יראה כחשוב". זה יכול להיות כמעט כל דבר שבעלי מניות רואים כחומרי לעסק שלהם. זה די רחב ולא מוגדר בבירור.
הגדרות חלשות אחרות
סוגיה נוספת היא דרישת ההצעה לחשוף נסיבות שבהן אירוע ביטחוני לא היה מהותי בפני עצמו, אלא הפך כך "במצטבר". איך זה עובד בפועל? האם פגיעות שטרם טופלה מלפני חצי שנה בגדר חשיפה (בהתחשב בכך שהחברה לא תיקנה אותה) אם היא משמשת להרחבת היקף של אירוע שלאחר מכן? אנחנו כבר מערבבים איומים, נקודות תורפה והשפעה עסקית. פגיעות שאינה מנוצלת אינה מהותית כי היא אינה יוצרת השפעה עסקית. מה תצטרך לחשוף כשצריך לדווח על אירועים מצטברים, והאם סעיף הצבירה מקשה עוד יותר על ההבחנה?
כדי להפוך את זה למורכב יותר, הכלל המוצע יחייב ארגונים לחשוף כל שינוי במדיניות שנבע מתקריות קודמות. באיזו קפדנות זה יימדד, ובכנות, למה לעשות את זה? מדיניות אמורה להיות הצהרות כוונות - הן לא אמורות להיות מדריכי תצורה משפטיים ברמה נמוכה. עדכון מסמך ברמה נמוכה יותר (תקן) כדי לחייב אלגוריתם הצפנה ספציפי עבור נתונים רגישים הגיוני, אך ישנם מעט מסמכים ברמה גבוהה יותר שיעודכנו עקב תקרית. דוגמאות עשויות להיות דרישת אימות רב-גורמי או שינוי הסכם שירות תיקון (SLA) עבור פגיעויות קריטיות בהיקף.
לבסוף, ההצעה אומרת שדוחות רווחים רבעוניים יהיו הפורום לגילויים. באופן אישי, שיחות רווח רבעוניות לא נראות כמו הפורום המתאים להעמיק בעדכון מדיניות ואירועי אבטחה. מי ימסור את העדכונים? סמנכ"ל הכספים או המנכ"ל, שבדרך כלל מספקים דוחות רווחים, עשויים שלא להיות מעודכנים מספיק כדי לתת דוחות קריטיים אלה. אז, האם ה-CISO מצטרף כעת לשיחות? ואם כן, האם הם יענו גם לשאלות של אנליסטים פיננסיים? הכל נראה לא מעשי, אבל נצטרך לחכות ולראות.
שאלות על ניסיון במועצת המנהלים
האיטרציה הראשונה של PRPC דרשה גילויים לגבי פיקוח מועצת המנהלים על מדיניות ניהול סיכוני אבטחת סייבר. זה כלל גילויים על חברי הדירקטוריון הבודדים ומומחיות הסייבר שלהם. ה-SEC אומר שהוא שמר בכוונה על ההגדרה רחבה, בהתחשב בטווח המיומנות והניסיון המיוחד לכל לוח.
למרבה המזל, לאחר בדיקה מעמיקה, הם החליטו להסיר את הדרישה הזו. PRPC עדיין קורא לחברות לתאר את תהליך הדירקטוריון לפיקוח על סיכוני אבטחת סייבר, ותפקיד ההנהלה בטיפול בסיכונים אלו.
זה ידרוש כמה התאמות בתקשורת ובמודעות כללית. לאחרונה, ד"ר קרי פרלסון, מנכ"לית אבטחת סייבר ב-MIT Sloan, ולוצ'יה מיליצ'ה, CISO בסטנלי בלאק אנד דקר, סקר 600 חברי דירקטוריון על פעילויות סביב אבטחת סייבר. הם מצאו כי "פחות ממחצית (47%) מהחברים מכהנים במועצות המנהלים המקיימות אינטראקציה עם ה-CISO שלהם באופן קבוע, וכמעט שליש מהם רואים את ה-CISO שלהם רק במצגות של מועצות המנהלים". זה מצביע בבירור על פער תקשורתי.
החדשות הטובות הן ברוב המועצות כבר יש ועדת ביקורת וסיכונים, שיכולה לשמש כתת-קבוצה של הדירקטוריון למטרה זו. עם זאת, זה לא נדיר ש-CISO ו-CSOs מציגים עניינים הקשורים לאבטחת סייבר ששאר חברי הדירקטוריון לא מבינים עד הסוף. כדי לסגור את הפער הזה, צריך להיות התאמה גדולה יותר בין הדירקטוריון למנהלי האבטחה.
אי הוודאות שוררת
כמו בכל רגולציה חדשה, יש שאלות ואי ודאות עם PRPC. רק נצטרך לחכות ולראות איך כל זה מתפתח והאם חברות יכולות לעמוד בדרישות המוצעות.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. רכב / רכבים חשמליים, פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- ChartPrime. הרם את משחק המסחר שלך עם ChartPrime. גישה כאן.
- BlockOffsets. מודרניזציה של בעלות על קיזוז סביבתי. גישה כאן.
- מקור: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 2022
- 24
- 7
- 72
- a
- אודות
- פעילויות
- התאמות
- להשפיע על
- לאחר
- לְקַבֵּץ
- - צבירה
- לִפנֵי
- הסכם
- אַלגוֹרִיתְם
- יישור
- תעשיות
- כמעט
- כְּבָר
- גם
- כמויות
- an
- אנליסטים
- ו
- כל
- דבר
- ARE
- אזורים
- AS
- At
- בדיקה
- אימות
- מודעות
- מבוסס
- BE
- כי
- להיות
- היה
- לפני
- להיות
- בֵּין
- שחור
- לוּחַ
- הפרה
- רחב
- עסקים
- אבל
- by
- שיחה
- שיחות
- CAN
- מקרה
- מנכ"ל
- מנהל כספים ראשי
- שינויים
- משתנה
- רֹאשׁ
- בנסיבות
- CISO
- בבירור
- סְגוֹר
- עמלה
- הוועדה
- תקשורת
- תקשורת
- חברות
- חברה
- השוואה
- מסובך
- התפשר
- תְצוּרָה
- לשקול
- יכול
- לִיצוֹר
- קריטי
- נוֹכְחִי
- סייבר
- אבטחת סייבר
- נתונים
- הגנה על נתונים
- ימים
- החליט
- מוקדש
- עמוק
- מוגדר
- הגדרה
- לתאר
- פרטים
- לא
- מְנַהֵל
- דירקטורים
- לחשוף
- חשיפה
- do
- מסמך
- עושה
- לא איכפת
- לא
- dr
- ראוי
- כל אחד
- שכר
- שיחות רווחים
- הצף
- סוף
- אֵירוֹפִּי
- האיחוד האירופי
- אֲפִילוּ
- מתפתח
- דוגמאות
- חליפין
- מנהלים
- מנכ"ל
- כעובדים בכירים
- ניסיון
- מומחיות
- ומנוצל
- להאריך
- נוסף
- פָּנִים
- רחוק
- מעטים
- פחות
- כספי
- סוף
- שריפות
- ראשון
- בעד
- משפטי
- טופס
- פוֹרוּם
- מצא
- ארבע
- החל מ-
- לגמרי
- פער
- GDPR
- כללי
- מידע כללי
- ומרגולצית הנתונים הכללית
- לתת
- נתן
- Go
- טוב
- ממשל
- יותר
- מדריך
- חצי
- טיפול
- קשה
- יש
- יש
- בִּיוֹשֶׁר
- שעות
- איך
- אולם
- HTTPS
- if
- פְּגִיעָה
- חשוב
- בלתי אפשרי
- in
- תקרית
- כלול
- בנפרד
- מידע
- אבטחת מידע
- הודעה
- כוונה
- אינטראקציה
- כלפי פנים
- פענוח
- מעורב
- J States
- סוגיה
- IT
- איטרציה
- שֶׁלָה
- להצטרף
- jpg
- רק
- שמר
- לדעת
- ידוע
- הכי פחות
- פחות
- כמו
- חי
- ll
- מגרש
- לעשות
- עושה
- ניהול
- מנדט
- צעדה
- מסיבי
- חוֹמֶר
- עניינים
- מאי..
- לִפְגוֹשׁ
- להרשם/להתחבר
- נפגש
- יכול
- MIT
- חודשים
- יותר
- רוב
- הרבה
- אימות רב-פקטורי
- צריך
- צורך
- צרכי
- חדש
- חדשות
- עַכשָׁיו
- of
- קצינים
- לעתים קרובות
- on
- ONE
- רק
- or
- ארגונים
- הַחוּצָה
- מקיף
- הַשׁגָחָה
- מֶחדָל
- שֶׁלוֹ
- מסוים
- תיקון
- תיקון
- אישי
- אישית
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודות
- מדיניות
- מדיניות
- תרגול
- להציג
- מצגות
- לחץ
- קודם
- מחיר
- תהליך
- הצעה
- מוּצָע
- .
- מספק
- ציבורי
- חברות ציבוריות
- מטרה
- גם
- מכניס
- זכאי
- שאלות
- רכס
- במקום
- RE
- מציאותי
- סביר
- לאחרונה
- באופן קבוע
- תקנה
- להסיר
- לדווח
- דווח
- דוחות לדוגמא
- לדרוש
- נדרש
- דרישה
- דרישות
- משאבים
- אלה
- להגיב
- REST
- תקין
- הסיכון
- ניהול סיכונים
- סיכונים
- תפקיד
- חֶדֶר
- כלל
- s
- אמר
- אומר
- היקף
- בדיקה
- ה-SEC
- ניירות ערך
- לניירות הערך
- אבטחה
- לִרְאוֹת
- נראה
- נראה
- תחושה
- רגיש
- רְגִישׁוּת
- לשרת
- בעל מניות
- בעלי המניות
- טווח קצר
- שישה
- שישה חודשים
- מְיוּמָנוּת
- סלואן
- So
- כמה
- בקרוב
- קול
- ספציפי
- פירוט
- תֶקֶן
- סטנלי
- הצהרות
- עוד
- לאחר מכן
- אמור
- הסובב
- לקחת
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- לכן
- הֵם
- דבר
- שְׁלִישִׁי
- זֶה
- אלה
- איומים
- כָּך
- זמן
- ל
- גַם
- תור
- בדרך כלל
- בסופו של דבר
- אי וודאויות
- נדיר
- תחת
- להבין
- התאחדות
- מְיוּתָר
- עד
- מְעוּדכָּן
- עדכונים
- עדכון
- להשתמש
- מְשׁוּמָשׁ
- ערך
- מאוד
- כמעט
- כֶּרֶך
- פגיעויות
- פגיעות
- לחכות
- היה
- we
- שבועות
- הלכתי
- מה
- מתי
- אם
- אשר
- בזמן
- מי
- למה
- יצטרך
- חלון
- עם
- בתוך
- תיק עבודות
- היה
- אתה
- זפירנט