Hvordan håndtere vaghetene i nye cyberforskrifter

Reguleringsorganer på alle myndighetsnivåer har gitt strengere personvern- og avsløringskrav i år – og straffer å matche – laget med tvetydig språk og squishy retningslinjer som etterlater cybersikkerhetsteam dypt i ansvar og ingen klar vei til overholdelse.

Nylig utgitt Retningslinjer for Security and Exchange Commission (SEC). om avsløring av cyberhendelser er et eksempel på hva slags forvirring vagt regelverk kan forårsake. Nettsikkerhetsekspert Adam Shostack påpeker overfor Dark Reading at han har observert at reglene har blitt mye feiltolket.

"Jeg tror kravet til åpenhet generelt sett er bra, og det er viktig å merke seg at det er innen fire dager etter å ha fastslått at det er et vesentlig brudd, ikke innen fire dager etter oppdagelse av et brudd," bemerker Shostack. "Mange mangler den viktige forskjellen."

Shostack, sammen med et panel av eksperter, inkludert Mike Hintze, Daniel P. Cooper og Leslie R. Katz, vil gi råd om hvordan du kan navigere i en rekke nye cyberforskrifter på Black Hat USA under presentasjonen deres, "Hot Topics in Cyber ​​and Privacy Regulation».

Uklart språk, mer håndhevelse

Noen av vagt språk for cyberregulering er nødvendig, påpeker Shostack.

"La oss også være ærlige. Grunnen til at disse standardene er vage er ofte [fordi] industriens krav om fleksibilitet, legger han til. "Hvis vi har problemer fordi standardene er for åpne, bør vi bringe det til våre bransjegrupper og lobbyister."

Katz, en advokat og tidligere teknisk leder, er enig i at det er opp til nettsikkerhetssamfunnet å hjelpe til med å utdanne og forme regelverksdiskusjoner. Uten teknisk veiledning sitter reguleringsorganer som SEC igjen med liten innflytelse utover straff, legger hun til.

Katz sier at mangel på cybersikkerhetsekspertise gir næring til SECs vurdering av rettslige skritt mot SolarWinds-ledere for selskapets brudd i 2020.

"Dette ser ut til å være en annen innsats fra SEC for å regulere ved håndhevelse. I stedet for å gi klarere retningslinjer, sender de en melding via en slik handling, sier Katz til Dark Reading. "Et varselskudd for alle om at enda større årvåkenhet og raske reaksjoner vil være nødvendig.»

Panelet vil gi veiledning om emner som spenner over amerikansk personvernlovgivning, EU forskrifter rundt AIden EU-US databeskyttelsesrammeverk, og hvordan sikkerhetseksperter best kan engasjere seg i overholdelses- og regelverksprosessen.

Fortsatt regulatorisk usikkerhet krever stadig tettere samarbeid med juridiske og compliance-eksperter både under forberedelse, så vel som under en faktisk respons på cyberhendelser, sier Shostack. Han legger til at det beste stedet for cyberteam å starte er tekniske standarder fra National Institute of Standards and Technology, Cybersecurity Framework eller Sikkert programvareutviklingsrammeverk.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations