Предлагаемое правило SEC по кибербезопасности создаст ненужную нагрузку на директоров по информационной безопасности

В марте 2022 года Комиссия по ценным бумагам и биржам (SEC) предложил правило о раскрытии информации о кибербезопасности, управлении и управлении рисками для публичных компаний, известных как Предлагаемое правило для публичных компаний (PRPC). Это правило потребует от компаний сообщать о «существенных» инцидентах кибербезопасности в течение четырех дней. Это также потребует, чтобы советы директоров обладали опытом в области кибербезопасности.

Неудивительно, что это встречают всевозможные отпоры. В своей нынешней форме предлагаемое правило оставляет много места для интерпретации и в некоторых областях оно непрактично.

Во-первых, строгие ограничения по раскрытию информации окажут огромное давление на директоров по информационной безопасности (CISO), заставляя их раскрывать существенные инциденты до того, как они получат все подробности. На понимание и полное устранение инцидентов могут уйти недели, а иногда и месяцы. Невозможно узнать влияние новой уязвимости, пока на ее устранение не будут выделены достаточные ресурсы. Директорам по информационной безопасности также может потребоваться раскрыть уязвимости, которые со временем станут менее серьезной проблемой и, следовательно, несущественными. Это, в свою очередь, может повлиять на краткосрочную цену компании.

Инциденты — это живое существо, а не одноразовая сделка

Требование о раскрытии информации в течение четырех дней может показаться нормальным на первый взгляд. Но они нереалистичны и в конечном итоге отвлекут директоров по информационной безопасности от тушения пожаров.

Для сравнения я буду использовать Общий регламент ЕС по защите данных (GDPR). Согласно этому постановлению, компании должны сообщать о случаях несоблюдения требований в течение 72 часов. Однако в случае GDPR необходимость отчета четко определена. Хотя 72 часа часто слишком малы, чтобы узнать подробности общего воздействия инцидента, организации, по крайней мере, будут знать, была ли скомпрометирована личная информация.

Сравните это с предлагаемыми требованиями PRPC к раскрытию информации. У организаций будут дополнительные 24 часа, но, исходя из того, что было опубликовано на данный момент, они должны будут пройти внутреннюю квалификацию, если нарушение будет выявлено. материала. Согласно GDPR, компания может сделать это в зависимости от конфиденциальности данных, их объема и того, куда они были направлены. Согласно PRPC, «существенность» определяется SEC как все, что «разумный акционер сочтет важным». Это может быть практически все, что акционеры считают существенным для своего бизнеса. Оно довольно широкое и нечетко определенное.

Другие слабые определения

Еще одним вопросом является требование предложения раскрывать обстоятельства, при которых инцидент безопасности не был существенным сам по себе, а стал таковым «в совокупности». Как это работает на практике? Является ли неисправленная уязвимость, возникшая шесть месяцев назад, теперь подлежит раскрытию (учитывая, что компания не исправила ее), если она используется для расширения масштабов последующего инцидента? Мы уже смешиваем угрозы, уязвимости и влияние на бизнес. Уязвимость, которая не используется, не является существенной, поскольку она не оказывает влияния на бизнес. Что вам нужно будет раскрывать, когда необходимо сообщать об совокупных инцидентах, и не усложняет ли положение о агрегировании это распознавание?

Чтобы еще больше усложнить ситуацию, предлагаемое правило потребует от организаций раскрывать любые изменения в политике, возникшие в результате предыдущих инцидентов. Насколько строго это будет измеряться и, честно говоря, зачем это делать? Политики должны быть заявлениями о намерениях, а не низкоуровневыми руководствами по настройке. Обновление документа более низкого уровня (стандарта) для включения определенного алгоритма шифрования конфиденциальных данных имеет смысл, но есть несколько документов более высокого уровня, которые будут обновлены из-за инцидента. Примерами могут быть требование многофакторной аутентификации или изменение соглашения об уровне обслуживания (SLA) для исправления критических уязвимостей.

Наконец, в предложении говорится, что квартальные отчеты о доходах станут форумом для раскрытия информации. Лично мне кажется, что ежеквартальные телеконференции о прибылях и убытках не являются подходящим форумом для подробного обсуждения обновлений политики и инцидентов безопасности. Кто будет давать обновления? Финансовый директор или генеральный директор, которые обычно предоставляют отчеты о прибылях и убытках, могут быть недостаточно информированы, чтобы предоставлять такие критические отчеты. Итак, присоединится ли к звонкам директор по информационной безопасности? И если да, то будут ли они отвечать на вопросы финансовых аналитиков? Все это кажется непрактичным, но нам придется подождать и посмотреть.

Вопросы об опыте работы в совете директоров

Первая версия PRPC требовала раскрытия информации о надзоре совета директоров за политикой управления рисками кибербезопасности. Это включало раскрытие информации об отдельных членах совета директоров и их соответствующих знаниях в области кибербезопасности. Комиссия по ценным бумагам и биржам (SEC) заявляет, что намеренно сохранила широкое определение, учитывая диапазон навыков и опыта, присущих каждому совету директоров.

К счастью, после тщательного изучения они решили снять это требование. PRPC по-прежнему требует от компаний описать процедуру совета директоров по надзору за рисками кибербезопасности и роль руководства в управлении этими рисками.

Это потребует некоторых корректировок в общении и общей осведомленности. Недавно доктор Кери Перлсон, исполнительный директор по кибербезопасности MIT Sloan, и Люсия Миликэ, директор по информационной безопасности в Stanley Black & Decker, опросил 600 членов совета директоров о деятельности, связанной с кибербезопасностью. Они обнаружили, что «менее половины (47%) членов работают в советах директоров, которые регулярно взаимодействуют со своими директорами по информационной безопасности, и почти треть из них видят своих директоров по информационной безопасности только на презентациях совета директоров». Это явно указывает на пробел в коммуникациях.

Хорошей новостью является то, что в большинстве советов директоров уже есть комитет по аудиту и рискам, который может служить для этой цели частью совета директоров. Тем не менее, директора по информационной безопасности и ОГО нередко представляют вопросы, связанные с кибербезопасностью, которые остальная часть совета директоров не до конца понимает. Чтобы устранить этот разрыв, необходимо добиться большей согласованности между советом директоров и руководителями служб безопасности.

Неопределенность преобладает

Как и в случае с любым новым постановлением, в отношении PRPC есть вопросы и неопределенности. Нам просто придется подождать и посмотреть, как все будет развиваться и смогут ли компании соответствовать предложенным требованиям.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos