Hoe om te gaan met de vaagheid in nieuwe cyberregelgeving

Regelgevende instanties op elk overheidsniveau hebben dit jaar strengere privacy- en openbaarmakingsvereisten opgelegd – en bijpassende straffen – opgesteld in dubbelzinnig taalgebruik en flauwe richtlijnen, waardoor cyberbeveiligingsteams diep in de aansprakelijkheid zitten en geen duidelijk pad naar naleving hebben.

Onlangs vrijgegeven Richtlijnen voor de Security and Exchange Commission (SEC). over de openbaarmaking van cyberincidenten zijn een voorbeeld van het soort verwarring dat vage regelgevingstaal kan veroorzaken. Cybersecurity-expert Adam Shostack wijst er tegen Dark Reading op dat hij heeft waargenomen dat de regels op grote schaal verkeerd worden geïnterpreteerd.

"Ik denk dat de vereiste voor transparantie over het algemeen goed is, en het is belangrijk op te merken dat dit binnen vier dagen na vaststelling van een materiële inbreuk is, en niet binnen vier dagen na ontdekking van een inbreuk", merkt Shostack op. “Veel mensen missen dat belangrijke onderscheid.”

Shostack zal, samen met een panel van experts, waaronder Mike Hintze, Daniel P. Cooper en Leslie R. Katz, tijdens hun presentatie advies geven over hoe je door een hele reeks nieuwe cyberregelgeving kunt navigeren bij Black Hat USA: “Populaire onderwerpen op het gebied van cyber- en privacyregelgeving. '

Vage taal, meer handhaving

Enkele vage taal van cyberregulering is noodzakelijk, benadrukt Shostack.

"Laten we ook eerlijk zijn. De reden dat deze normen vaag zijn, is vaak omdat de industrie om flexibiliteit vraagt”, voegt hij eraan toe. “Als we problemen hebben omdat de normen te open zijn, moeten we dat aan onze branchegroepen en lobbyisten voorleggen.”

Katz, een advocaat en voormalig technisch directeur, is het ermee eens dat het aan de cyberbeveiligingsgemeenschap is om discussies over regelgeving te helpen opleiden en vormgeven. Zonder technische begeleiding hebben regelgevende instanties zoals de SEC weinig invloed behalve straffen, voegt ze eraan toe.

Katz zegt dat een gebrek aan expertise op het gebied van cyberbeveiliging de problemen aanwakkert SEC overweegt juridische stappen tegen leidinggevenden van SolarWinds voor de inbreuk van het bedrijf in 2020.

"Dit lijkt een nieuwe poging van de SEC te zijn om te reguleren door middel van handhaving. In plaats van duidelijkere richtlijnen te geven, zenden ze via een dergelijke actie een boodschap uit”, vertelt Katz aan Dark Reading. “Een waarschuwingsschot voor het feit dat nog grotere waakzaamheid en snelle reacties nodig zullen zijn.”

Het panel zal advies geven over onderwerpen die betrekking hebben op de Amerikaanse privacywetgeving en de Europese Unie regelgeving rond AI EU-VS-kader voor gegevensbeschermingen hoe beveiligingsprofessionals het beste betrokken kunnen zijn bij het nalevings- en regelgevingsproces.

De aanhoudende onzekerheid over de regelgeving vereist een steeds nauwere samenwerking met juridische en compliance-experts, zowel tijdens de voorbereiding als tijdens de daadwerkelijke reactie op cyberincidenten, zegt Shostack. Hij voegt eraan toe dat cyberteams het beste kunnen beginnen technische standaarden van het National Institute of Standards and Technology, het Cybersecurity Framework of de Veilig Software Development Framework.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. Automotive / EV's, carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• BlockOffsets. Eigendom voor milieucompensatie moderniseren. Toegang hier.
• Bron: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations