SEC サイバーセキュリティ規則案は CISO に不必要な負担をかける

2022 年 XNUMX 月に証券取引委員会 (SEC) ルールを提案した 公開企業のサイバーセキュリティ開示、ガバナンス、リスク管理に関するもので、 公開会社に関する規則案 (PRPC)。 この規則により、企業は「重大な」サイバーセキュリティインシデントをXNUMX日以内に報告することが義務付けられる。 また、取締役会にはサイバーセキュリティの専門知識が必要となるだろう。

当然のことながら、それは あらゆる種類の反発に遭っている。 現在の形では、提案されているルールには解釈の余地が多く残されており、一部の分野では実用的ではありません。

XNUMX つは、開示窓口が狭いため、最高情報セキュリティ責任者 (CISO) に対して、すべての詳細を把握する前に重大なインシデントを開示するよう多大な圧力をかけることです。 インシデントを理解して完全に修復するには、数週間、場合によっては数か月かかる場合があります。 修復に十分なリソースが投入されるまで、新しい脆弱性の影響を知ることは不可能です。 また、CISO は、時間が経てば問題が少なくなり、重要ではなくなる脆弱性を開示する必要が生じる可能性もあります。 それは、企業の短期的な価格に影響を与える可能性があります。

インシデントは生き物であり、一度きりの取引ではありません

XNUMX 日間の開示要件は額面どおりに聞こえるかもしれません。 しかし、それらは現実的ではなく、最終的には CISO の注意を消火からそらすことになります。

比較として欧州連合の一般データ保護規則 (GDPR) を使用します。 この規制では、企業は違反行為があった場合は 72 時間以内に報告する必要があります。 ただし、GDPRの場合は、 報告の必要性は明確に定義されている。 インシデントの全体的な影響を詳細に知るには 72 時間は早すぎることがよくありますが、組織は少なくとも個人情報が侵害されたかどうかを知ることができます。

これを PRPC の提案された開示要件​​と比較してください。 組織にはさらに 24 時間の猶予が与えられますが、これまでに公表されている内容に基づくと、侵害が発生した場合は内部で認定を受ける必要があります。 材料。 GDPR では、企業はデータの機密性、量、送信場所に基づいてこれを行うことができます。 PRPC では、「重要性」とは、「合理的な株主が重要であると考えるもの」として SEC によって定義されています。 これは、株主が自社のビジネスにとって重要であると考える事実上あらゆるものである可能性があります。 それはかなり広範囲であり、明確に定義されていません。

その他の弱い定義

もうXNUMXつの問題は、セキュリティインシデントがそれ自体では重要ではなかったが、「全体的に」重要になった状況を開示するという提案の要件です。 これは実際にはどのように機能するのでしょうか? XNUMX か月前のパッチが適用されていない脆弱性は、その後のインシデントの範囲を拡大するために使用された場合、(会社がパッチを適用しなかったことを考えると) 開示の対象になりますか? 私たちはすでに、脅威、脆弱性、ビジネスへの影響を混同しています。 悪用されない脆弱性は、ビジネスに影響を与えないため重要ではありません。 インシデントを集約して報告する必要がある場合、何を開示する必要がありますか?また、集約条項により、これを識別することがさらに難しくなりますか?

これをさらに複雑にするために、提案された規則では、組織に対し、以前のインシデントに起因するポリシーの変更を開示することが求められます。 これはどの程度厳密に測定されるのでしょうか?正直なところ、なぜ測定するのでしょうか? ポリシーは意図を表明するものであるべきであり、低レベルのフォレンジック構成ガイドであるべきではありません。 機密データに特定の暗号化アルゴリズムを義務付けるために下位レベルのドキュメント (標準) を更新することは理にかなっていますが、インシデントによって更新される上位レベルのドキュメントはほとんどありません。 例としては、多要素認証を要求したり、範囲内の重大な脆弱性に対するパッチ適用のサービス レベル アグリーメント (SLA) を変更したりすることが考えられます。

最後に、提案書は四半期決算報告書が開示の場になると述べている。 個人的には、四半期決算報告会は、ポリシーの最新情報やセキュリティインシデントについて深く掘り下げるのに適したフォーラムとは思えません。 誰が最新情報を提供しますか? 通常、収益レポートを提供する CFO または CEO は、それらの重要なレポートを提供するのに十分な情報を持っていない可能性があります。 それでは、CISO は現在通話に参加しているのでしょうか? そして、もしそうなら、彼らは金融アナリストからの質問にも答えるのでしょうか？ すべては非現実的だと思われますが、様子見する必要があります。

役員経験に関する質問

PRPC の最初の反復では、サイバーセキュリティ リスク管理ポリシーの取締役会の監督に関する開示が要求されました。 これには、個々の取締役会メンバーとそれぞれのサイバー専門知識に関する開示が含まれます。 SECは、各取締役会に特有のスキルや経験の範囲を考慮して、意図的に定義を広く保ったと述べている。

幸いなことに、精査を重ねた結果、この要件を削除することが決定されました。 PRPCは依然として企業に対し、サイバーセキュリティリスクを監督する取締役会のプロセスと、それらのリスクに対処する経営陣の役割について説明するよう求めている。

これには、コミュニケーションと一般的な認識の調整が必要になります。 最近、MIT Sloan のサイバーセキュリティ担当エグゼクティブ ディレクターである Keri Pearlson 博士と Stanley Black & Decker の CISO である Lucia Milică は次のように述べました。 600人の取締役会メンバーにアンケートを実施 サイバーセキュリティを取り巻く活動について。 その結果、「CISO と定期的に対話する取締役会のメンバーは半数未満 (47%) であり、そのうちのほぼ XNUMX 分の XNUMX は CISO とは取締役会のプレゼンテーションでしか会っていない」ことがわかりました。 これは明らかにコミュニケーションギャップを示しています。

幸いなことに、ほとんどの取締役会にはすでに監査およびリスク委員会が設置されており、この目的のために取締役会のサブセットとして機能することができます。 とはいえ、CISO や CSO が、取締役会の他のメンバーが十分に理解していないサイバーセキュリティに関連する問題を提示することは珍しいことではありません。 このギャップを埋めるには、取締役会とセキュリティ担当者の間で連携を強化する必要があります。

不確実性が蔓延する

他の新しい規制と同様に、PRPC にも疑問や不確実性があります。 すべてがどのように進展するか、そして企業が提案された要件を満たせるかどうかを待つ必要があります。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 自動車/EV、 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• チャートプライム。 ChartPrime でトレーディング ゲームをレベルアップしましょう。 こちらからアクセスしてください。
• ブロックオフセット。 環境オフセット所有権の近代化。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos