Regula propusă de securitate cibernetică SEC va pune o presiune inutilă asupra CISO

În martie 2022, Securities and Exchange Commission (SEC) a propus o regulă privind dezvăluirea securității cibernetice, guvernanța și gestionarea riscurilor pentru companiile publice, cunoscute sub numele de Propunere de regulă pentru companiile publice (PRPC). Această regulă ar cere companiilor să raporteze incidentele „materiale” de securitate cibernetică în termen de patru zile. De asemenea, ar necesita ca consiliile de administrație să aibă experiență în domeniul securității cibernetice.

Deloc surprinzător, este fiind întâmpinat cu tot felul de respingeri. În forma sa actuală, regula propusă lasă mult loc de interpretare și este nepractică în unele domenii.

În primul rând, fereastra strânsă de dezvăluire va pune o presiune masivă asupra ofițerilor șefi de securitate a informațiilor (CISO) pentru a dezvălui incidente materiale înainte de a avea toate detaliile. Incidentele pot dura săptămâni și uneori luni pentru a înțelege și remedia pe deplin. Este imposibil să cunoaștem impactul unei noi vulnerabilități până când resursele ample sunt dedicate remedierii. CISO pot ajunge, de asemenea, să fie nevoiți să dezvăluie vulnerabilități care, cu mai mult timp, ajung să fie mai puțin o problemă și, prin urmare, să nu fie materiale. Aceasta, la rândul său, ar putea afecta prețul pe termen scurt al unei companii.

Incidentele sunt un lucru viu – nu o afacere una și gata

Cerințele de divulgare de patru zile ar putea suna bine la valoarea nominală. Dar nu sunt realiste și, în cele din urmă, vor distrage atenția CISO de la stingerea incendiilor.

Voi folosi Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene ca o comparație. Conform regulamentului, companiile trebuie să raporteze incidentele de neconformitate în termen de 72 de ore. Cu toate acestea, în cazul GDPR, necesitatea raportării este bine definită. În timp ce 72 de ore este adesea prea devreme pentru a cunoaște specificul impactului general al unui incident, cel puțin organizațiile vor ști dacă informațiile personale au fost compromise.

Comparați acest lucru cu cerințele de divulgare propuse de PRPC. Organizațiile vor avea 24 de ore suplimentare, dar – pe baza a ceea ce a fost publicat până acum – trebuie să se califice intern dacă încălcarea este material. În conformitate cu GDPR, o companie poate face acest lucru în funcție de sensibilitatea datelor, volumul acestora și unde a mers. Conform PRPC, „materialitatea” este definită de SEC ca orice lucru pe care un „acționar rezonabil ar considera important”. Acesta ar putea fi practic orice acționarii consideră că este important pentru afacerea lor. Este destul de larg și nu este clar definit.

Alte definiții slabe

O altă problemă este cerința propunerii de a dezvălui circumstanțele în care un incident de securitate nu a fost semnificativ în sine, dar a devenit astfel „în total”. Cum funcționează acest lucru în practică? Este o vulnerabilitate nepattchizată de acum șase luni acum în domeniul de aplicare a dezvăluirii (având în vedere că compania nu a corectat-o) dacă este folosită pentru a extinde domeniul de aplicare al unui incident ulterior? Combinăm deja amenințările, vulnerabilitățile și impactul asupra afacerii. O vulnerabilitate care nu este exploatată nu este materială deoarece nu creează un impact asupra afacerii. Ce va trebui să dezvăluiți atunci când incidentele cumulate trebuie raportate și clauza de agregare face acest lucru și mai greu de identificat?

Pentru a face acest lucru mai complicat, regula propusă va cere organizațiilor să dezvăluie orice modificări de politică care au rezultat din incidente anterioare. Cât de riguros va fi măsurat acest lucru și, sincer, de ce să o faci? Politicile ar trebui să fie declarații de intenție - nu ar trebui să fie ghiduri de configurare criminalistice de nivel scăzut. Actualizarea unui document de nivel inferior (un standard) pentru a impune un anumit algoritm de criptare pentru datele sensibile are sens, dar există puține documente de nivel superior care ar fi actualizate din cauza unui incident. Exemplele ar putea fi necesitatea de autentificare multifactorială sau modificarea acordului de nivel de serviciu (SLA) de corecție pentru vulnerabilități critice din domeniul de aplicare.

În cele din urmă, propunerea spune că rapoartele trimestriale privind câștigurile vor fi forumul pentru dezvăluiri. Personal, apelurile trimestriale privind veniturile nu par a fi forumul potrivit pentru a aprofunda actualizările politicilor și incidentele de securitate. Cine va oferi actualizările? Directorul financiar sau CEO, care furnizează de obicei rapoarte de câștig, ar putea să nu fie suficient de informat pentru a oferi acele rapoarte critice. Deci, CISO se alătură acum apelurilor? Și, dacă da, vor răspunde și la întrebările analiștilor financiari? Totul pare nepractic, dar va trebui să așteptăm și să vedem.

Întrebări despre experiența consiliului

Prima iterație a PRPC a necesitat dezvăluiri despre supravegherea consiliului de administrație a politicilor de gestionare a riscurilor de securitate cibernetică. Aceasta a inclus dezvăluiri despre membrii consiliului de administrație și expertiza lor cibernetică respectivă. SEC spune că a păstrat în mod intenționat definiția largă, având în vedere gama de abilități și experiență specifice fiecărui consiliu.

Din fericire, după multă analiză, au decis să elimine această cerință. PRPC solicită în continuare companiilor să descrie procesul consiliului de administrație pentru supravegherea riscurilor de securitate cibernetică și rolul conducerii în gestionarea acestor riscuri.

Acest lucru va necesita unele ajustări în comunicare și conștientizare generală. Recent, Dr. Keri Pearlson, director executiv de securitate cibernetică la MIT Sloan, și Lucia Milică, CISO la Stanley Black & Decker, a chestionat 600 de membri ai consiliului despre activitățile legate de securitatea cibernetică. Ei au descoperit că „mai puțin de jumătate (47%) dintre membri servesc în consilii de administrație care interacționează cu CISO în mod regulat și aproape o treime dintre ei își văd CISO doar la prezentările consiliilor”. Acest lucru indică în mod clar un decalaj de comunicare.

Vestea bună este că majoritatea consiliilor au deja un comitet de audit și risc, care poate servi ca un subset al consiliului în acest scop. Acestea fiind spuse, nu este neobișnuit ca CISO și OSC să prezinte chestiuni care implică securitatea cibernetică pe care restul consiliului nu le înțelege pe deplin. Pentru a reduce acest decalaj, trebuie să existe o mai mare aliniere între consiliu și directorii de securitate.

Incertitudinea prevalează

Ca și în cazul oricărei noi reglementări, există întrebări și incertitudini cu PRPC. Va trebui doar să așteptăm și să vedem cum evoluează totul și dacă companiile pot îndeplini cerințele propuse.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. Automobile/VE-uri, carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• ChartPrime. Crește-ți jocul de tranzacționare cu ChartPrime. Accesați Aici.
• BlockOffsets. Modernizarea proprietății de compensare a mediului. Accesați Aici.
• Sursa: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos