Как справиться с расплывчатостью в новых правилах кибербезопасности

В этом году регулирующие органы на всех уровнях правительства ввели более жесткие требования к конфиденциальности и раскрытию информации — и соответствующие штрафы — с двусмысленными формулировками и нечеткими инструкциями, в результате чего команды по кибербезопасности по уши в ответственности и не имеют четкого пути к соблюдению.

Недавно выпущенный Рекомендации Комиссии по ценным бумагам и биржам (SEC) о раскрытии кибер-инцидентов являются примером того, какую путаницу может вызвать расплывчатая нормативная формулировка. Эксперт по кибербезопасности Адам Шостак указывает Dark Reading, что он заметил, что правила широко интерпретируются неверно.

«Я думаю, что требование прозрачности в целом является хорошим, и важно отметить, что оно действует в течение четырех дней после определения существенного нарушения, а не в течение четырех дней после обнаружения нарушения», — отмечает Шостак. «Многие люди упускают это важное различие».

Шостак вместе с группой экспертов, включая Майка Хинтце, Дэниела П. Купера и Лесли Р. Кац, во время своей презентации дадут советы о том, как ориентироваться в множестве новых правил кибербезопасности в Black Hat USA».Горячие темы в области регулирования киберпространства и конфиденциальности".

Неясный язык, больше правоприменения

Некоторые из расплывчатый язык киберрегулирования необходимо, отмечает Шостак.

Кроме того, давайте будем откровенны. Причина, по которой эти стандарты расплывчаты, часто заключается в том, что индустрия требует гибкости», — добавляет он. «Если у нас возникают проблемы из-за того, что стандарты слишком открыты, мы должны сообщить об этом нашим отраслевым группам и лоббистам».

Кац, адвокат и бывший руководитель технического отдела, согласен с тем, что сообщество кибербезопасности должно помочь в обучении и формировании нормотворческих дискуссий. Она добавляет, что без технического руководства у регулирующих органов, таких как SEC, остается мало влияния, кроме наказания.

Кац говорит, что отсутствие опыта в области кибербезопасности подпитывает Рассмотрение SEC судебного иска против руководителей SolarWinds за нарушение компании в 2020 году.

Кажется, это еще одна попытка SEC регулировать принудительно. Вместо того, чтобы давать более четкие рекомендации, они посылают сообщение посредством такого действия», — говорит Кац Dark Reading. “Предупреждающий выстрел для всех, что потребуется еще большая бдительность и быстрое реагирование».

Группа предоставит рекомендации по темам, которые охватывают законодательство США о конфиденциальности, Европейский союз правила, касающиеся ИИ, Система защиты данных ЕС-США, и как специалисты по безопасности могут лучше всего участвовать в процессе соблюдения и нормотворчества.

По словам Шостака, сохраняющаяся неопределенность в отношении регулирования требует все более тесного сотрудничества с экспертами по правовым вопросам и комплаенсу как во время подготовки, так и во время фактического реагирования на кибер-инциденты. Он добавляет, что киберкомандам лучше всего начать с технические стандарты Национального института стандартов и технологий, Cybersecurity Framework или Платформа безопасной разработки программного обеспечения.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations