Proponowane przez SEC przepisy dotyczące cyberbezpieczeństwa będą stanowić niepotrzebne obciążenie dla CISO

W marcu 2022 r. Komisja Papierów Wartościowych i Giełd (SEC) zaproponował regułę w sprawie ujawniania informacji o cyberbezpieczeństwie, zarządzania i zarządzania ryzykiem w spółkach publicznych, znanych jako Proponowana zasada dotycząca spółek publicznych (PRPC). Zasada ta wymagałaby od firm zgłaszania „istotnych” incydentów cyberbezpieczeństwa w ciągu czterech dni. Wymagałoby to również, aby zarządy posiadały wiedzę specjalistyczną w zakresie cyberbezpieczeństwa.

Nic dziwnego, że tak spotyka się z różnego rodzaju odmową. Proponowany przepis w swojej obecnej formie pozostawia duże pole do interpretacji i jest w niektórych obszarach niepraktyczny.

Po pierwsze, wąskie okno ujawniania informacji będzie wywierać ogromną presję na dyrektorów ds. bezpieczeństwa informacji (CISO), aby ujawniali istotne incydenty, zanim uzyskają wszystkie szczegóły. Zrozumienie i pełne naprawienie incydentów może zająć tygodnie, a czasem miesiące. Niemożliwe jest poznanie wpływu nowej luki w zabezpieczeniach, dopóki odpowiednie środki nie zostaną przeznaczone na naprawę. CISO może również być zmuszony do ujawnienia luk w zabezpieczeniach, które po dłuższym czasie przestają stanowić mniejszy problem, a zatem nieistotny. To z kolei może mieć wpływ na krótkoterminową cenę spółki.

Incydenty to żywa istota — a nie jednorazowa transakcja

Wymogi dotyczące ujawniania informacji w ciągu czterech dni mogą na pierwszy rzut oka wydawać się w porządku. Nie są one jednak realistyczne i ostatecznie odwrócą uwagę CISO od gaszenia pożarów.

Jako porównanie posłużę się ogólnym rozporządzeniem o ochronie danych Unii Europejskiej (RODO). Zgodnie z rozporządzeniem firmy mają obowiązek zgłaszać przypadki nieprzestrzegania przepisów w ciągu 72 godzin. Jednakże w przypadku RODO, potrzeba zgłaszania jest dobrze zdefiniowana. Chociaż 72 godziny to często zbyt wcześnie, aby poznać szczegóły ogólnego wpływu incydentu, organizacje przynajmniej będą wiedzieć, czy dane osobowe zostały naruszone.

Porównaj to z wymogami dotyczącymi ujawniania informacji proponowanymi przez PRPC. Organizacje będą miały dodatkowe 24 godziny, ale – w oparciu o dotychczasowe informacje – muszą zakwalifikować się wewnętrznie, jeśli naruszenie zostanie materiał. Zgodnie z RODO firma może to zrobić w oparciu o wrażliwość danych, ich ilość i miejsce, w którym trafiły. Zgodnie z PRPC „istotność” jest definiowana przez SEC jako wszystko, co „rozsądny akcjonariusz uznałby za ważne”. Może to być praktycznie wszystko, co akcjonariusze uznają za istotne dla swojej działalności. Jest dość szerokie i niejasno określone.

Inne słabe definicje

Inną kwestią jest zawarty we wniosku wymóg ujawniania okoliczności, w których incydent związany z bezpieczeństwem nie był sam w sobie istotny, lecz stał się nim „łącznie”. Jak to działa w praktyce? Czy niezałatana luka sprzed sześciu miesięcy może zostać ujawniona (biorąc pod uwagę, że firma jej nie załatała), jeśli zostanie wykorzystana do rozszerzenia zakresu kolejnego incydentu? Już teraz łączymy zagrożenia, słabe punkty i wpływ na działalność biznesową. Niewykorzystana luka w zabezpieczeniach nie jest istotna, ponieważ nie ma wpływu na działalność biznesową. Co należy ujawnić, gdy konieczne będzie zgłoszenie zbiorczego zdarzenia i czy klauzula dotycząca łączenia jeszcze bardziej utrudnia dostrzeżenie tego?

Aby skomplikować sprawę, proponowana zasada będzie wymagać od organizacji ujawniania wszelkich zmian zasad wynikających z poprzednich incydentów. Jak rygorystycznie będzie to mierzone i, szczerze mówiąc, dlaczego to robić? Zasady mają być oświadczeniami intencji — nie powinny być niskopoziomowymi przewodnikami konfiguracyjnymi służącymi do analizy kryminalistycznej. Aktualizacja dokumentu niższego poziomu (standardu) w celu wymuszenia określonego algorytmu szyfrowania wrażliwych danych ma sens, ale istnieje kilka dokumentów wyższego poziomu, które zostałyby zaktualizowane w wyniku incydentu. Przykładami mogą być wymaganie uwierzytelniania wieloskładnikowego lub zmiana umowy dotyczącej poziomu usług (SLA) w zakresie łatania krytycznych luk w zakresie.

Wreszcie we wniosku przewidziano, że forum ujawniania informacji będą kwartalne raporty o wynikach finansowych. Osobiście rozmowy o kwartalnych zarobkach nie wydają się właściwym forum do szczegółowego omawiania aktualizacji zasad i incydentów związanych z bezpieczeństwem. Kto będzie dostarczał aktualizacje? Dyrektor finansowy lub dyrektor generalny, który zazwyczaj sporządza raporty o zarobkach, może nie być wystarczająco poinformowany, aby sporządzać tak krytyczne raporty. Czy CISO przyłącza się teraz do rozmów? A jeśli tak, czy będą odpowiadać także na pytania analityków finansowych? Wszystko wydaje się niepraktyczne, ale musimy poczekać i zobaczyć.

Pytania dotyczące doświadczenia zarządu

Pierwsza wersja PRPC wymagała ujawnień na temat nadzoru zarządu nad politykami zarządzania ryzykiem cyberbezpieczeństwa. Obejmowało to ujawnienia informacji na temat poszczególnych członków zarządu i ich wiedzy specjalistycznej w zakresie cyberbezpieczeństwa. SEC twierdzi, że celowo utrzymała szeroką definicję, biorąc pod uwagę zakres umiejętności i doświadczenia charakterystycznego dla każdej rady.

Na szczęście po szczegółowej analizie postanowiono usunąć ten wymóg. PRPC w dalszym ciągu wzywa spółki do opisania procesu zarządu w zakresie nadzorowania zagrożeń cyberbezpieczeństwa oraz roli kierownictwa w radzeniu sobie z tymi zagrożeniami.

Będzie to wymagało pewnych dostosowań w komunikacji i ogólnej świadomości. Niedawno dr Keri Pearlson, dyrektor wykonawcza ds. cyberbezpieczeństwa w MIT Sloan i Lucia Milică, CISO w Stanley Black & Decker, przebadano 600 członków zarządu o działaniach związanych z cyberbezpieczeństwem. Ustalili, że „mniej niż połowa (47%) członków zasiada w zarządach, które regularnie kontaktują się z CISO, a prawie jedna trzecia z nich widuje się ze swoimi CISO jedynie podczas prezentacji zarządów”. To wyraźnie wskazuje na lukę komunikacyjną.

Dobra wiadomość jest taka, że ​​większość zarządów posiada już komisję ds. audytu i ryzyka, która może służyć jako podzbiór rady w tym celu. To powiedziawszy, nierzadko zdarza się, że CISO i CSO przedstawiają kwestie związane z cyberbezpieczeństwem, których reszta zarządu nie w pełni rozumie. Aby wypełnić tę lukę, należy zapewnić większą współpracę między zarządem a kadrą kierowniczą ds. bezpieczeństwa.

Niepewność zwycięża

Podobnie jak w przypadku każdego nowego rozporządzenia, PRPC wiąże się z pytaniami i niepewnością. Będziemy musieli poczekać i zobaczyć, jak wszystko się rozwinie i czy firmy będą w stanie sprostać proponowanym wymaganiom.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos