Cum să faceți față vagului din noile reglementări cibernetice

Organismele de reglementare de la fiecare nivel de guvernare au pronunțat cerințe mai stricte de confidențialitate și dezvăluire în acest an – și sancțiuni pe măsură – elaborate cu un limbaj ambiguu și linii directoare slăbite, lăsând echipele de securitate cibernetică adânci în responsabilitate și fără o cale clară către conformitate.

Recent lansat Ghidurile Comisiei de Securitate și Schimb (SEC). cu privire la dezvăluirea incidentelor cibernetice sunt un exemplu de tip de confuzie pe care o poate provoca limbajul de reglementare vag. Expertul în securitate cibernetică Adam Shostack îi subliniază lui Dark Reading că a observat că regulile sunt interpretate greșit pe scară largă.

„Cred că cerința de transparență este în general bună și este important să rețineți că este în termen de patru zile de la determinarea că este o încălcare materială, nu în termen de patru zile de la descoperirea unei încălcări”, notează Shostack. „Mulți oameni le lipsește această distincție importantă.”

Shostack, împreună cu un grup de experți, inclusiv Mike Hintze, Daniel P. Cooper și Leslie R. Katz, vor oferi sfaturi despre cum să navigați într-o serie de noi reglementări cibernetice la Black Hat USA în timpul prezentării lor, „Subiecte fierbinți în reglementarea cibernetică și a confidențialității. "

Limbajul vag, mai multă aplicare

Unele dintre limbaj vag al reglementării cibernetice este necesar, subliniază Shostack.

De asemenea, să fim sinceri. Motivul pentru care aceste standarde sunt vagi este adesea [pentru că] industria solicită flexibilitate”, adaugă el. „Dacă avem probleme, deoarece standardele sunt prea deschise, ar trebui să aducem asta grupurilor noastre din industrie și lobby-ilor.”

Katz, avocat și fost director în domeniul tehnologiei, este de acord că depinde de comunitatea de securitate cibernetică să ajute la educarea și modelarea discuțiilor privind reglementarea. Fără îndrumări tehnice, organismele de reglementare precum SEC rămân cu o influență redusă dincolo de pedeapsă, adaugă ea.

Katz spune că lipsa de expertiză în securitate cibernetică alimentează Considerarea de către SEC a acțiunilor în justiție împotriva directorilor SolarWinds pentru încălcarea companiei din 2020.

Acesta pare a fi un alt efort al SEC de a reglementa prin aplicare. În loc să ofere linii directoare mai clare, ei trimit un mesaj printr-o astfel de acțiune”, a spus Katz pentru Dark Reading. „O lovitură de avertizare pentru toți că va fi nevoie de o vigilență și mai mare și de răspunsuri rapide.”

Panelul va oferi îndrumări cu privire la subiecte care acoperă legislația SUA privind confidențialitatea, Uniunea Europeană reglementări în jurul AI, Cadrul UE-SUA privind protecția datelorși modul în care profesioniștii în securitate se pot implica cel mai bine în procesul de conformitate și de elaborare a regulilor.

Incertitudinea continuă în materie de reglementare necesită o colaborare din ce în ce mai strânsă cu experții juridici și în conformitate, atât în ​​timpul pregătirii, cât și în timpul unui răspuns real la incident cibernetic, spune Shostack. El adaugă cel mai bun loc cu care să înceapă echipele cibernetice standarde tehnice de la Institutul Național de Standarde și Tehnologie, Cadrul de securitate cibernetică sau Cadrul de dezvoltare software securizat.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
• Sursa: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations