제안된 SEC 사이버 보안 규칙은 CISO에게 불필요한 부담을 줄 것입니다

2022년 XNUMX월 증권거래위원회(SEC)는 규칙 제안 공공 기업의 사이버 보안 공개, 거버넌스 및 위험 관리에 대해 공공 기업을 위한 제안된 규칙(PRPC). 이 규칙에 따라 기업은 "중요한" 사이버 보안 사고를 XNUMX일 이내에 보고해야 합니다. 또한 이사회에는 사이버 보안 전문 지식이 필요합니다.

당연하게도 그렇지 온갖 반대에 직면하다. 현재 형태에서 제안된 규칙은 해석의 여지가 많으며 일부 영역에서는 비실용적입니다.

우선, 엄격한 공개 기간은 CISO(최고정보보안책임자)가 모든 세부 사항을 파악하기 전에 중대한 사고를 공개하라는 엄청난 압력을 가할 것입니다. 사고를 이해하고 완전히 해결하는 데 몇 주, 때로는 몇 달이 걸릴 수 있습니다. 해결을 위해 충분한 리소스가 투입될 때까지 새로운 취약점의 영향을 아는 것은 불가능합니다. 또한 CISO는 시간이 지나면서 결국 문제가 되지 않아 중요하지 않게 되는 취약점을 공개해야 할 수도 있습니다. 이는 결국 회사의 단기 가격에 영향을 미칠 수 있습니다.

사고는 일회성 거래가 아니라 살아있는 것입니다.

XNUMX일 공개 요구 사항은 액면 그대로 괜찮아 보일 수 있습니다. 그러나 이는 현실적이지 않으며 궁극적으로 CISO가 화재를 진압하는 데 방해가 될 것입니다.

비교를 위해 유럽 연합의 일반 데이터 보호 규정(GDPR)을 사용하겠습니다. 규정에 따라 기업은 규정을 준수하지 않은 경우 72시간 이내에 보고해야 합니다. 그러나 GDPR의 경우, 보고의 필요성이 잘 정의되어 있습니다.. 72시간은 사건의 전반적인 영향을 구체적으로 파악하기에는 너무 빠른 경우가 많지만, 최소한 조직에서는 개인 정보가 손상되었는지 여부를 알 수 있습니다.

이를 PRPC가 제안한 공개 요구 사항과 비교해 보세요. 조직은 추가로 24시간을 갖게 되지만, 지금까지 공개된 내용에 따르면 위반이 다음과 같은 경우 내부적으로 자격을 갖추어야 합니다. 자료. GDPR에 따라 기업은 데이터의 민감도, 볼륨, 이동 위치를 기반으로 이를 수행할 수 있습니다. PRPC에 따라 SEC는 "중요성"을 "합리적인 주주가 중요하다고 생각할 모든 것"으로 정의합니다. 이는 사실상 주주들이 비즈니스에 중요하다고 생각하는 모든 것일 수 있습니다. 좀 광범위하고 명확하게 정의되지 않았습니다.

기타 약한 정의

또 다른 문제는 보안 사고가 그 자체로는 중요하지 않지만 "총체적으로" 그렇게 된 상황을 공개해야 한다는 제안의 요구 사항입니다. 이것이 실제로 어떻게 작동합니까? XNUMX개월 전에 패치되지 않은 취약점이 후속 사고의 범위를 확장하는 데 사용된다면 이제 공개 범위에 포함됩니까(회사에서 패치를 적용하지 않은 경우)? 우리는 이미 위협, ​​취약점, 비즈니스 영향을 통합하고 있습니다. 악용되지 않는 취약점은 비즈니스에 영향을 주지 않으므로 중요하지 않습니다. 집계된 사건을 보고해야 할 때 무엇을 공개해야 하며, 집계 조항으로 인해 이를 식별하기가 더욱 어려워 집니까?

이를 더욱 복잡하게 만들기 위해 제안된 규칙은 조직이 이전 사건으로 인해 발생한 모든 정책 변경 사항을 공개하도록 요구합니다. 이는 얼마나 엄격하게 측정될 것이며, 솔직히 왜 그렇게 합니까? 정책은 의도의 진술이어야 하며 낮은 수준의 포렌식 구성 가이드가 되어서는 안 됩니다. 민감한 데이터에 대해 특정 암호화 알고리즘을 의무화하기 위해 하위 수준 문서(표준)를 업데이트하는 것은 의미가 있지만 사고로 인해 업데이트되는 상위 수준 문서는 거의 없습니다. 다단계 인증을 요구하거나 범위 내 심각한 취약점에 대한 패치 서비스 수준 계약(SLA)을 변경하는 등의 예를 들 수 있습니다.

마지막으로 제안서에는 분기별 수익 보고서가 공개 포럼이 될 것이라고 명시되어 있습니다. 개인적으로 분기별 실적 발표는 정책 업데이트 및 보안 사고에 대해 심도있게 다루기에 적합한 포럼처럼 보이지 않습니다. 누가 업데이트를 제공합니까? 일반적으로 수익 보고서를 제공하는 CFO나 CEO는 중요한 보고서를 제공할 만큼 충분한 정보를 얻지 못할 수도 있습니다. 그렇다면 이제 CISO가 통화에 참여합니까? 그렇다면 재무 분석가의 질문에도 응답합니까? 모든 것이 비현실적인 것처럼 보이지만 기다려 봐야 합니다.

이사회 경험에 관한 질문

PRPC의 첫 번째 반복에서는 사이버 보안 위험 관리 정책에 대한 이사회 감독에 대한 공개가 필요했습니다. 여기에는 개별 이사회 구성원과 각자의 사이버 전문 지식에 대한 공개가 포함되었습니다. SEC는 각 이사회의 기술과 경험의 범위를 고려하여 의도적으로 정의를 넓게 유지했다고 밝혔습니다.

운 좋게도 많은 조사 끝에 이 요구 사항을 제거하기로 결정했습니다. PRPC는 여전히 기업이 사이버 보안 위험을 감독하는 이사회의 프로세스와 이러한 위험을 처리하는 경영진의 역할을 설명할 것을 요구합니다.

이를 위해서는 의사소통과 일반적인 인식에 있어 약간의 조정이 필요할 것입니다. 최근에는 MIT Sloan의 사이버 보안 전무이사인 Dr. Keri Pearlson과 Stanley Black & Decker의 CISO인 Lucia Milică가 600명의 이사회 구성원을 대상으로 설문조사를 실시했습니다. 사이버 보안과 관련된 활동에 대해 그들은 "구성원 중 절반 미만(47%)이 정기적으로 CISO와 상호 작용하는 이사회에서 활동하고 있으며 거의 ​​XNUMX/XNUMX은 이사회 프레젠테이션에서만 CISO를 본다"는 사실을 발견했습니다. 이는 분명히 의사소통의 격차를 나타냅니다.

좋은 소식은 대부분의 이사회에 이미 이러한 목적을 위해 이사회의 하위 집합 역할을 할 수 있는 감사 및 위험 위원회가 있다는 것입니다. 즉, CISO와 CSO가 나머지 이사회가 완전히 이해하지 못하는 사이버 보안 관련 문제를 제시하는 것은 드문 일이 아닙니다. 이러한 격차를 줄이려면 이사회와 보안 경영진 사이에 더 큰 협력이 필요합니다.

불확실성이 만연하다

새로운 규정과 마찬가지로 PRPC에도 의문점과 불확실성이 있습니다. 우리는 모든 것이 어떻게 발전하고 기업이 제안된 요구 사항을 충족할 수 있는지 기다려 봐야 할 것입니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos