De voorgestelde SEC-cyberbeveiligingsregel zal CISO's onnodig belasten

In maart 2022 heeft de Securities and Exchange Commission (SEC) stelde een regel voor over openbaarmaking van cyberbeveiliging, governance en risicobeheer voor beursgenoteerde bedrijven, bekend als de Voorgestelde regel voor overheidsbedrijven (PRPC). Deze regel zou bedrijven verplichten om “materiële” cyberveiligheidsincidenten binnen vier dagen te melden. Het zou ook vereisen dat raden van bestuur expertise op het gebied van cyberbeveiliging hebben.

Het is niet verwonderlijk dat dat zo is geconfronteerd worden met allerlei tegenslagen. In zijn huidige vorm laat de voorgestelde regel veel ruimte voor interpretatie, en is op sommige gebieden onpraktisch.

Ten eerste zal de krappe openbaarmakingstermijn enorme druk uitoefenen op de Chief Information Security Officers (CISO's) om materiële incidenten openbaar te maken voordat ze over alle details beschikken. Het kan weken en soms maanden duren voordat incidenten worden begrepen en volledig worden verholpen. Het is onmogelijk om de impact van een nieuwe kwetsbaarheid te kennen totdat er voldoende middelen zijn gereserveerd voor herstel. Het kan ook zijn dat CISO's kwetsbaarheden moeten onthullen die, met meer tijd, uiteindelijk minder problematisch en dus niet materieel zijn. Dat kan op zijn beurt de kortetermijnprijs van een bedrijf beïnvloeden.

Incidenten zijn een levend iets – geen eenmalige deal

Vierdaagse openbaarmakingsvereisten kunnen op het eerste gezicht prima klinken. Maar ze zijn niet realistisch en zullen CISO's uiteindelijk afleiden van het blussen van branden.

Ik zal de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie ter vergelijking gebruiken. Volgens de verordening moeten bedrijven gevallen van niet-naleving binnen 72 uur melden. In het geval van de AVG geldt echter de noodzaak om te rapporteren is duidelijk omschreven. Hoewel 72 uur vaak te vroeg is om de details van de algehele impact van een incident te kennen, zullen organisaties op zijn minst weten of persoonlijke informatie in gevaar is gebracht.

Vergelijk dit met de voorgestelde openbaarmakingsvereisten van de PRPC. Organisaties krijgen 24 uur extra, maar – op basis van wat tot nu toe is gepubliceerd – moeten ze zich intern kwalificeren als de inbreuk wordt gepleegd. materiaal. Onder de AVG kan een bedrijf dat doen op basis van de gevoeligheid van de gegevens, het volume ervan en waar deze naartoe zijn gegaan. Onder PRPC wordt ‘materialiteit’ door de SEC gedefinieerd als alles wat een ‘redelijke aandeelhouder belangrijk zou vinden’. Dit kan vrijwel alles zijn wat aandeelhouders als belangrijk voor hun bedrijf beschouwen. Het is nogal breed en niet duidelijk gedefinieerd.

Andere zwakke definities

Een ander probleem is de eis van het voorstel om omstandigheden openbaar te maken waarin een beveiligingsincident op zichzelf niet materieel was, maar dit “in totaal” wel is geworden. Hoe werkt dit in de praktijk? Is een niet-gepatchte kwetsbaarheid van zes maanden geleden nu vatbaar voor openbaarmaking (aangezien het bedrijf deze niet heeft gepatcht) als deze wordt gebruikt om de reikwijdte van een volgend incident uit te breiden? We combineren al bedreigingen, kwetsbaarheden en zakelijke impact. Een kwetsbaarheid die niet wordt uitgebuit, is niet materieel omdat deze geen zakelijke impact heeft. Wat moet u openbaar maken als er gezamenlijke incidenten moeten worden gerapporteerd, en maakt de samenvoegingsclausule dit nog moeilijker te onderscheiden?

Om dit ingewikkelder te maken, vereist de voorgestelde regel dat organisaties alle beleidswijzigingen die het gevolg zijn van eerdere incidenten openbaar maken. Hoe rigoureus zal dit worden gemeten en, eerlijk gezegd, waarom zou je dat doen? Beleid wordt verondersteld intentieverklaringen te zijn; het zijn geen forensische configuratiehandleidingen op laag niveau. Het bijwerken van een document op een lager niveau (een standaard) om een ​​specifiek versleutelingsalgoritme voor gevoelige gegevens verplicht te stellen is zinvol, maar er zijn maar weinig documenten op een hoger niveau die zouden worden bijgewerkt als gevolg van een incident. Voorbeelden hiervan zijn het vereisen van multifactor-authenticatie of het wijzigen van de patching Service Level Agreement (SLA) voor kritieke kwetsbaarheden binnen het bereik.

Ten slotte zegt het voorstel dat de kwartaalwinstrapporten het forum zullen zijn voor openbaarmakingen. Persoonlijk lijken kwartaalcijfers niet het juiste forum om dieper in te gaan op beleidsupdates en beveiligingsincidenten. Wie gaat de updates geven? De CFO of CEO, die doorgaans winstrapporten verstrekt, is mogelijk niet voldoende geïnformeerd om deze kritische rapporten te geven. Neemt de CISO nu deel aan de gesprekken? En zo ja, zullen zij ook reageren op vragen van financiële analisten? Het lijkt allemaal onpraktisch, maar we zullen moeten afwachten.

Vragen over bestuurservaring

De eerste versie van PRPC vereiste openbaarmakingen over het toezicht van de raad van bestuur op het beleid inzake cyberbeveiligingsrisicobeheer. Dit omvatte onder meer onthullingen over de individuele bestuursleden en hun respectievelijke cyberexpertise. De SEC zegt dat het de definitie doelbewust breed heeft gehouden, gezien de verscheidenheid aan vaardigheden en ervaring die specifiek is voor elk bestuur.

Gelukkig hebben ze na veel onderzoek besloten deze vereiste te schrappen. PRPC roept bedrijven nog steeds op om het proces van het bestuur voor het toezicht op cyberveiligheidsrisico's te beschrijven, en de rol van het management bij het omgaan met die risico's.

Dit zal enige aanpassingen in de communicatie en het algemene bewustzijn vereisen. Onlangs hebben Dr. Keri Pearlson, uitvoerend directeur cybersecurity bij MIT Sloan, en Lucia Milică, CISO bij Stanley Black & Decker, ondervroeg 600 bestuursleden over activiteiten rondom cybersecurity. Ze ontdekten dat “minder dan de helft (47%) van de leden zitting heeft in raden van bestuur die regelmatig contact hebben met hun CISO’s, en bijna een derde van hen ziet hun CISO’s alleen bij bestuurspresentaties.” Dit wijst duidelijk op een communicatiekloof.

Het goede nieuws is dat de meeste raden van bestuur al over een audit- en risicocommissie beschikken, die voor dit doel als onderdeel van het bestuur kan dienen. Dat gezegd hebbende, is het niet ongebruikelijk dat CISO's en maatschappelijke organisaties kwesties op het gebied van cyberbeveiliging presenteren die de rest van het bestuur niet volledig begrijpt. Om deze kloof te dichten, moet er meer afstemming komen tussen het bestuur en de veiligheidsfunctionarissen.

Onzekerheid overheerst

Zoals bij elke nieuwe regelgeving zijn er ook bij PRPC vragen en onzekerheden. Het is afwachten hoe het allemaal evolueert en of bedrijven aan de gestelde eisen kunnen voldoen.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• ChartPrime. Verhoog uw handelsspel met ChartPrime. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos