I mars 2022, Securities and Exchange Commission (SEC) foreslått en regel om cybersikkerhetsavsløring, styring og risikostyring for offentlige selskaper, kjent som Foreslått regel for offentlige selskaper (PRPC). Denne regelen vil kreve at selskaper rapporterer «materielle» cybersikkerhetshendelser innen fire dager. Det vil også kreve at styrene har ekspertise på nettsikkerhet.
Ikke overraskende er det det blir møtt med alle slags tilbakeslag. I sin nåværende form gir den foreslåtte regelen mye rom for tolkning, og den er upraktisk på noen områder.
For det første vil det stramme avsløringsvinduet legge massivt press på sjefer for informasjonssikkerhet (CISOer) for å avsløre viktige hendelser før de har alle detaljene. Hendelser kan ta uker og noen ganger måneder å forstå og utbedre. Det er umulig å vite virkningen av en ny sårbarhet før rikelig med ressurser er dedikert til utbedring. CISOer kan også ende opp med å måtte avsløre sårbarheter som, med mer tid, ender opp med å bli mindre problematiske og derfor ikke vesentlige. Det kan igjen påvirke den kortsiktige prisen på et selskap.
Hendelser er en levende ting – ikke en en-og-ferdig avtale
Fire dagers avsløringskrav kan høres greit ut til pålydende. Men de er ikke realistiske og vil til slutt distrahere CISOer fra å slukke branner.
Jeg vil bruke EUs generelle databeskyttelsesforordning (GDPR) som en sammenligning. I henhold til forskriften skal bedrifter melde fra om hendelser innen 72 timer. I tilfelle av GDPR, behovet for å rapportere er veldefinert. Mens 72 timer ofte er for tidlig til å vite detaljene om en hendelses samlede innvirkning, vil i det minste organisasjoner vite om personlig informasjon har blitt kompromittert.
Sammenlign dette med PRPCs foreslåtte opplysningskrav. Organisasjoner vil ha 24 timer ekstra, men – basert på hva som er offentliggjort så langt – må de kvalifisere seg internt hvis bruddet er materiale. I henhold til GDPR kan et selskap gjøre det basert på sensitiviteten til dataene, volumet og hvor det gikk. Under PRPC er "vesentlighet" definert av SEC som alt som en "rimelig aksjonær vil anse som viktig." Dette kan være praktisk talt alt aksjonærer anser som vesentlig for virksomheten deres. Det er ganske bredt og ikke klart definert.
Andre svake definisjoner
Et annet problem er forslagets krav om å avsløre omstendigheter der en sikkerhetshendelse ikke var vesentlig i seg selv, men har blitt det "samlet". Hvordan fungerer dette i praksis? Er en uopprettet sårbarhet fra seks måneder siden nå tilgjengelig for avsløring (gitt at selskapet ikke lappet den) hvis den brukes til å utvide omfanget av en påfølgende hendelse? Vi blander allerede trusler, sårbarheter og forretningseffekter. En sårbarhet som ikke blir utnyttet er ikke vesentlig fordi den ikke skaper en forretningsmessig innvirkning. Hva må du avsløre når samlede hendelser må rapporteres, og gjør aggregeringsklausulen dette enda vanskeligere å se?
For å gjøre dette mer komplisert, vil den foreslåtte regelen kreve at organisasjoner avslører eventuelle policyendringer som er et resultat av tidligere hendelser. Hvor strengt vil dette bli målt og, ærlig talt, hvorfor gjøre det? Retningslinjer er ment å være intensjonserklæringer - de er ikke ment å være rettsmedisinske konfigurasjonsveiledninger på lavt nivå. Å oppdatere et dokument på lavere nivå (en standard) for å gi mandat til en spesifikk krypteringsalgoritme for sensitive data er fornuftig, men det er få dokumenter på høyere nivå som vil bli oppdatert på grunn av en hendelse. Eksempler kan være å kreve multifaktorautentisering eller endring av servicenivåavtalen for patching (SLA) for kritiske sårbarheter innenfor omfanget.
Til slutt sier forslaget at kvartalsvise resultatrapporter vil være forumet for avsløringer. Personlig virker ikke kvartalsvise inntjening som det rette forumet for å gå dypt inn på policyoppdateringer og sikkerhetshendelser. Hvem vil gi oppdateringene? Finansdirektøren eller administrerende direktøren, som vanligvis gir resultatrapporter, er kanskje ikke tilstrekkelig informert til å gi disse kritiske rapportene. Så, slutter CISO seg nå til samtalene? Og i så fall vil de også svare på spørsmål fra finansanalytikere? Det hele virker upraktisk, men vi får vente og se.
Spørsmål om styreerfaring
Den første iterasjonen av PRPC krevde avsløringer om styrets tilsyn med retningslinjer for styring av nettsikkerhetsrisiko. Dette inkluderte avsløringer om de enkelte styremedlemmene og deres respektive cyberkompetanse. SEC sier at det målrettet holdt definisjonen bred, gitt spekteret i ferdigheter og erfaring som er spesielt for hvert styre.
Heldigvis, etter mye gransking, bestemte de seg for å fjerne dette kravet. PRPC oppfordrer fortsatt selskaper til å beskrive styrets prosess for å overvåke cybersikkerhetsrisikoer, og ledelsens rolle i å håndtere disse risikoene.
Dette vil kreve noen justeringer i kommunikasjon og generell bevissthet. Nylig har Dr. Keri Pearlson, administrerende direktør for cybersikkerhet ved MIT Sloan, og Lucia Milică, CISO ved Stanley Black & Decker, spurte 600 styremedlemmer om aktiviteter rundt cybersikkerhet. De fant at "færre enn halvparten (47%) av medlemmene sitter i styrer som samhandler med CISO-ene sine regelmessig, og nesten en tredjedel av dem ser bare CISO-ene sine på styrepresentasjoner." Dette peker helt klart på et kommunikasjonsgap.
Den gode nyheten er at de fleste styrer allerede har et revisjons- og risikoutvalg, som kan fungere som en undergruppe av styret for dette formålet. Når det er sagt, er det ikke uvanlig at CISOer og CSOer presenterer saker som involverer cybersikkerhet som resten av styret ikke helt forstår. For å lukke dette gapet, må det være større samordning mellom styret og sikkerhetslederne.
Usikkerhet råder
Som med enhver ny forskrift er det spørsmål og usikkerheter med PRPC. Vi får bare vente og se hvordan det hele utvikler seg og om selskaper kan oppfylle de foreslåtte kravene.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- ChartPrime. Hev handelsspillet ditt med ChartPrime. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- : har
- :er
- :ikke
- :hvor
- $OPP
- 2022
- 24
- 7
- 72
- a
- Om oss
- Aktiviteter
- justeringer
- påvirke
- Etter
- aggregat
- aggregering
- siden
- Avtale
- algoritme
- innretting
- Alle
- nesten
- allerede
- også
- beløp
- an
- analytikere
- og
- noen
- hva som helst
- ER
- områder
- AS
- At
- revisjon
- Autentisering
- bevissthet
- basert
- BE
- fordi
- bli
- vært
- før du
- være
- mellom
- Svart
- borde
- brudd
- bred
- virksomhet
- men
- by
- ring
- Samtaler
- CAN
- saken
- konsernsjef
- cfo
- Endringer
- endring
- sjef
- omstendigheter
- CISO
- klart
- Lukke
- kommisjon
- Utvalget
- Kommunikasjon
- kommunikasjon
- Selskaper
- Selskapet
- sammenligning
- komplisert
- kompromittert
- Konfigurasjon
- Vurder
- kunne
- skape
- kritisk
- Gjeldende
- cyber
- Cybersecurity
- dato
- databeskyttelse
- Dager
- besluttet
- dedikert
- dyp
- definert
- definisjon
- beskrive
- detaljer
- gjorde ikke
- Regissør
- Styremedlemmer
- Avsløre
- avsløring
- do
- dokument
- gjør
- doesn
- ikke
- dr
- to
- hver enkelt
- Inntjening
- inntektssamtaler
- kryptering
- slutt
- europeisk
- Den Europeiske Union
- Selv
- utvikler seg
- eksempler
- utveksling
- utøvende
- Direktør
- ledere
- erfaring
- ekspertise
- Exploited
- utvide
- ekstra
- Face
- langt
- Noen få
- færre
- finansiell
- slutt
- branner
- Først
- Til
- Rettsmedisinsk
- skjema
- Forum
- funnet
- fire
- fra
- fullt
- mellomrom
- GDPR
- general
- generell data
- Generell databeskyttelsesforskrift
- Gi
- gitt
- Go
- god
- styresett
- større
- Guider
- Halvparten
- Håndtering
- hardere
- Ha
- å ha
- Ærlig talt
- TIMER
- Hvordan
- Men
- HTTPS
- if
- Påvirkning
- viktig
- umulig
- in
- hendelse
- inkludert
- individuelt
- informasjon
- informasjonssikkerhet
- informert
- hensikt
- samhandle
- internt
- tolkning
- involverer
- er n
- utstedelse
- IT
- køyring
- DET ER
- bli medlem
- jpg
- bare
- holdt
- Vet
- kjent
- minst
- mindre
- i likhet med
- levende
- ll
- Lot
- gjøre
- GJØR AT
- ledelse
- Mandat
- Mars
- massive
- materiale
- Saker
- Kan..
- Møt
- medlemmer
- møtte
- kunne
- MIT
- måneder
- mer
- mest
- mye
- multifaktorautentisering
- må
- Trenger
- behov
- Ny
- nyheter
- nå
- of
- offiserer
- ofte
- on
- ONE
- bare
- or
- organisasjoner
- ut
- samlet
- overser
- oppsyn
- egen
- Spesielt
- patch
- patching
- personlig
- personlig
- plato
- Platon Data Intelligence
- PlatonData
- poeng
- Politikk
- politikk
- praksis
- presentere
- Presentasjoner
- press
- forrige
- pris
- prosess
- forslag
- foreslått
- beskyttelse
- gir
- offentlig
- offentlige selskaper
- formål
- sette
- Sette
- kvalifisere
- spørsmål
- område
- heller
- RE
- realistisk
- rimelig
- nylig
- regelmessig
- Regulering
- fjerne
- rapporterer
- rapportert
- Rapporter
- krever
- påkrevd
- behov
- Krav
- Ressurser
- de
- Svare
- REST
- ikke sant
- Risiko
- risikostyring
- risikoer
- Rolle
- rom
- Regel
- s
- Sa
- sier
- omfang
- granskning
- SEK
- Verdipapirer
- Securities and Exchange Commission
- sikkerhet
- se
- synes
- synes
- forstand
- sensitive
- Følsomhet
- betjene
- aksjonær
- aksjonærer
- kortsiktig
- SIX
- Seks måneder
- ferdighet
- Sloan
- So
- noen
- snart
- Lyd
- spesifikk
- detaljer
- Standard
- stanley
- uttalelser
- Still
- senere
- ment
- rundt
- Ta
- enn
- Det
- De
- deres
- Dem
- Der.
- derfor
- de
- ting
- Tredje
- denne
- De
- trusler
- Dermed
- tid
- til
- også
- SVING
- typisk
- Til syvende og sist
- usikkerheter
- Uvanlig
- etter
- forstå
- union
- unødvendig
- til
- oppdatert
- oppdateringer
- oppdatering
- bruke
- brukt
- verdi
- veldig
- nesten
- volum
- Sikkerhetsproblemer
- sårbarhet
- vente
- var
- we
- uker
- gikk
- Hva
- når
- om
- hvilken
- mens
- HVEM
- hvorfor
- vil
- vindu
- med
- innenfor
- Arbeid
- ville
- Du
- zephyrnet
