新しいサイバー規制の曖昧さにどう対処するか

政府のあらゆるレベルの規制当局は今年、曖昧な文言と曖昧なガイドラインで作成されたより厳格なプライバシーと開示要件、およびそれに準じた罰則を発令したため、サイバーセキュリティチームは責任を深く負い、コンプライアンスへの明確な道筋が見えなくなっている。

最近リリースされた 証券取引委員会 (SEC) のガイドライン サイバーインシデントの開示に関する問題は、曖昧な規制文言が引き起こす混乱の一例です。 サイバーセキュリティの専門家アダム・ショスタック氏は、ルールが広く誤解されているのを観察しているとダーク・リーディングに指摘した。

「透明性の要件は一般的に適切だと思います。また、透明性の要件は、違反を発見してから XNUMX 日以内ではなく、重大な違反であると判断されてから XNUMX 日以内であることに注意することが重要です」とショスタック氏は指摘します。 「多くの人がその重要な違いを見逃しています。」

Shostack は、Mike Hintze、Daniel P. Cooper、Leslie R. Katz を含む専門家パネルとともに、プレゼンテーション中に Black Hat USA の多数の新しいサイバー規制をどう乗り越えるかについてアドバイスを提供します。サイバーとプライバシー規制の注目のトピックに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

あいまいな言葉、強化された強制力

いくつかの サイバー規制に関する曖昧な表現 必要だ、とショスタック氏は指摘する。

「また、率直に言ってみましょう。 これらの基準があいまいな理由は、多くの場合、業界が柔軟性を要求しているためです」と彼は付け加えました。 「基準が無制限すぎるために問題が発生している場合は、それを業界団体やロビイストに持ち込むべきです。」

弁護士で元テクノロジー企業幹部のカッツ氏は、ルール策定の議論を教育し形成するのを支援するのはサイバーセキュリティコミュニティ次第であることに同意する。 技術的な指導がなければ、SECのような規制機関は処罰以外の影響力をほとんど持たない、と彼女は付け加えた。

カッツ氏は、サイバーセキュリティの専門知識の欠如が、 SECがSolarWinds幹部に対する法的措置を検討 同社の2020年の違反について。

「これもSECによる執行による規制の取り組みのようだ。 彼らはより明確なガイドラインを提供するのではなく、そのような行動を通じてメッセージを送っているのです」とカッツ氏は Dark Reading に語った。 「さらなる警戒と迅速な対応が必要になることへの警告射撃だ。」

このパネルは、米国のプライバシー法、欧州連合にまたがるトピックに関するガイダンスを提供します。 AIに関する規制 EU-米国間のデータ保護フレームワーク、セキュリティの専門家がコンプライアンスとルール作成のプロセスに最も効果的に取り組む方法について説明します。

規制上の不確実性が続くため、準備中だけでなく実際のサイバーインシデント対応中にも、法律およびコンプライアンスの専門家との緊密な連携がますます必要になるとショスタック氏は述べています。 彼は、サイバーチームが始めるのに最適な場所は次のとおりであると付け加えました。 米国国立標準技術研究所、サイバーセキュリティ フレームワーク、または 安全なソフトウェア開発フレームワーク.

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations