Föreslagen SEC Cybersecurity-regel kommer att sätta onödig belastning på CISO:er

I mars 2022, Securities and Exchange Commission (SEC) föreslog en regel om cybersäkerhetsavslöjande, styrning och riskhantering för offentliga företag, känd som Föreslagen regel för offentliga företag (PRPC). Denna regel skulle kräva att företag rapporterar "väsentliga" cybersäkerhetsincidenter inom fyra dagar. Det skulle också kräva att styrelserna har expertis inom cybersäkerhet.

Föga överraskande är det så möts av alla möjliga stötar. I sin nuvarande form lämnar den föreslagna regeln mycket utrymme för tolkning, och den är opraktisk på vissa områden.

För det första kommer det snäva avslöjningsfönstret att sätta enorma mängder press på chefer för informationssäkerhet (CISO) att avslöja väsentliga incidenter innan de har alla detaljer. Incidenter kan ta veckor och ibland månader att förstå och helt åtgärda. Det är omöjligt att veta effekten av en ny sårbarhet förrän gott om resurser ägnas åt åtgärdande. CISO:er kan också sluta med att behöva avslöja sårbarheter som, med mer tid, blir mindre problematiska och därför inte väsentliga. Det kan i sin tur påverka det kortsiktiga priset på ett företag.

Incidenter är en levande sak – inte en engångsaffär

Fyra dagars upplysningskrav kan låta bra till nominellt värde. Men de är inte realistiska och kommer i slutändan att distrahera CISO:er från att släcka bränder.

Jag kommer att använda Europeiska unionens allmänna dataskyddsförordning (GDPR) som en jämförelse. Enligt förordningen ska företag rapportera incidenter av bristande efterlevnad inom 72 timmar. Men när det gäller GDPR, behovet av att rapportera är väl definierat. Medan 72 timmar ofta är för tidigt för att veta detaljerna om en incidents totala påverkan, kommer åtminstone organisationer att veta om personlig information har äventyrats.

Jämför detta med PRPC:s föreslagna upplysningskrav. Organisationer kommer att ha ytterligare 24 timmar, men – baserat på vad som har publicerats hittills – måste de kvalificera sig internt om överträdelsen är Materialet. Enligt GDPR kan ett företag göra det baserat på informationens känslighet, dess volym och vart den tog vägen. Enligt PRPC definieras "väsentlighet" av SEC som allt som en "rimlig aktieägare skulle anse vara viktigt." Detta kan vara praktiskt taget vad som helst aktieägare anser vara väsentligt för sin verksamhet. Det är ganska brett och inte klart definierat.

Andra svaga definitioner

En annan fråga är förslagets krav på att avslöja omständigheter där en säkerhetsincident inte var väsentlig i sig utan har blivit så "sammantaget". Hur fungerar detta i praktiken? Är en oparpad sårbarhet från sex månader sedan nu tillgänglig för avslöjande (med tanke på att företaget inte korrigerade den) om den används för att utöka omfattningen av en efterföljande incident? Vi blandar redan samman hot, sårbarheter och affärseffekter. En sårbarhet som inte utnyttjas är inte väsentlig eftersom den inte skapar någon affärseffekt. Vad kommer du att behöva avslöja när aggregerade incidenter behöver rapporteras, och gör aggregeringsklausulen detta ännu svårare att urskilja?

För att göra detta mer komplicerat kommer den föreslagna regeln att kräva att organisationer avslöjar eventuella policyändringar som är ett resultat av tidigare incidenter. Hur noggrant kommer detta att mätas och, ärligt talat, varför göra det? Policyer är tänkta att vara avsiktsförklaringar - de är inte tänkta att vara kriminaltekniska konfigurationsguider på låg nivå. Att uppdatera ett dokument på lägre nivå (en standard) för att ge mandat till en specifik krypteringsalgoritm för känslig data är vettigt, men det finns få dokument på högre nivå som skulle uppdateras på grund av en incident. Exempel kan vara att kräva multifaktorautentisering eller att ändra servicenivåavtalet för patchning (SLA) för kritiska sårbarheter inom området.

Slutligen säger förslaget att kvartalsvisa resultatrapporter kommer att vara forumet för avslöjande. Personligen verkar kvartalsvisa vinstsamtal inte vara rätt forum för att gå djupt in på policyuppdateringar och säkerhetsincidenter. Vem kommer att ge uppdateringarna? CFO eller VD, som vanligtvis tillhandahåller resultatrapporter, kanske inte är tillräckligt informerad för att ge dessa kritiska rapporter. Så, går CISO nu med i samtalen? Och i så fall, kommer de också att svara på frågor från finansanalytiker? Allt verkar opraktiskt, men vi får vänta och se.

Frågor om styrelseerfarenhet

Den första iterationen av PRPC krävde avslöjanden om styrelsens tillsyn över policyer för hantering av cybersäkerhetsrisk. Detta inkluderade avslöjanden om de enskilda styrelseledamöterna och deras respektive cyberkompetens. SEC säger att det målmedvetet höll definitionen bred, med tanke på spännvidden i skicklighet och erfarenhet som är speciell för varje styrelse.

Lyckligtvis, efter mycket granskning, beslutade de att ta bort detta krav. PRPC uppmanar fortfarande företag att beskriva styrelsens process för att övervaka cybersäkerhetsrisker och ledningens roll i hanteringen av dessa risker.

Detta kommer att kräva vissa justeringar i kommunikation och allmän medvetenhet. Nyligen, Dr Keri Pearlson, verkställande direktör för cybersäkerhet vid MIT Sloan, och Lucia Milică, CISO på Stanley Black & Decker, tillfrågade 600 styrelseledamöter om aktiviteter kring cybersäkerhet. De fann att "färre än hälften (47%) av medlemmarna sitter i styrelser som interagerar med sina CISOs regelbundet, och nästan en tredjedel av dem ser bara sina CISOs vid styrelsepresentationer." Detta pekar tydligt på en kommunikationsklyfta.

Den goda nyheten är att de flesta styrelser redan har en revisions- och riskkommitté, som kan fungera som en undergrupp av styrelsen för detta ändamål. Som sagt, det är inte ovanligt att CISO:er och CSO:er presenterar frågor som rör cybersäkerhet som resten av styrelsen inte helt förstår. För att täppa till detta gap måste det finnas större anpassning mellan styrelsen och säkerhetscheferna.

Osäkerhet råder

Som med alla nya regler finns det frågor och osäkerheter med PRPC. Vi får bara vänta och se hur det hela utvecklar sig och om företag kan uppfylla de föreslagna kraven.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• ChartPrime. Höj ditt handelsspel med ChartPrime. Tillgång här.
• BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
• Källa: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos