วิธีจัดการกับความคลุมเครือในกฎระเบียบใหม่ทางไซเบอร์

หน่วยงานกำกับดูแลในทุกระดับของรัฐบาลได้มอบข้อกำหนดด้านความเป็นส่วนตัวและการเปิดเผยข้อมูลที่เข้มงวดมากขึ้นในปีนี้ รวมถึงบทลงโทษที่เข้ากัน ซึ่งจัดทำขึ้นด้วยภาษาที่คลุมเครือและแนวปฏิบัติที่ไม่ชัดเจน ทำให้ทีมรักษาความปลอดภัยทางไซเบอร์มีความรับผิดสูง และไม่มีเส้นทางที่ชัดเจนในการปฏิบัติตาม

เพิ่งเปิดตัว แนวปฏิบัติของคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) การเปิดเผยข้อมูลเหตุการณ์ทางไซเบอร์เป็นตัวอย่างของความสับสนที่ภาษากฎระเบียบคลุมเครืออาจก่อให้เกิดได้ Adam Shostack ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชี้ให้เห็นถึง Dark Reading ว่าเขาสังเกตเห็นกฎเกณฑ์ต่างๆ ที่มีการตีความผิดในวงกว้าง

“ผมคิดว่าข้อกำหนดด้านความโปร่งใสโดยทั่วไปนั้นดี และสิ่งสำคัญคือต้องทราบว่าภายในสี่วันนับจากวันที่พิจารณาว่าเป็นการละเมิดที่มีสาระสำคัญ ไม่ใช่ภายในสี่วันหลังจากค้นพบการละเมิด” Shostack กล่าว “ผู้คนจำนวนมากขาดความแตกต่างที่สำคัญนั้น”

Shostack พร้อมด้วยคณะผู้เชี่ยวชาญ ได้แก่ Mike Hintze, Daniel P. Cooper และ Leslie R. Katz จะให้คำแนะนำเกี่ยวกับวิธีการปฏิบัติตามกฎระเบียบทางไซเบอร์ใหม่ที่ Black Hat USA ในระหว่างการนำเสนอ "ประเด็นร้อนในกฎระเบียบทางไซเบอร์และความเป็นส่วนตัว".

ภาษาคลุมเครือ การบังคับใช้เพิ่มเติม

บางส่วนของ ภาษาที่คลุมเครือของกฎระเบียบทางไซเบอร์ เป็นสิ่งจำเป็น Shostack ชี้ให้เห็น

"นอกจากนี้ขอตรงไปตรงมา เหตุผลที่มาตรฐานเหล่านี้คลุมเครือมัก [เพราะ] ความต้องการของอุตสาหกรรมสำหรับความยืดหยุ่น” เขากล่าวเสริม “ถ้าเราประสบปัญหาเพราะมาตรฐานเปิดกว้างเกินไป เราควรนำเรื่องนั้นมาสู่กลุ่มอุตสาหกรรมและผู้ทำการแนะนำชักชวนสมาชิกรัฐสภาของเรา”

Katz ทนายความและอดีตผู้บริหารด้านเทคโนโลยี ตกลงว่าขึ้นอยู่กับชุมชนความปลอดภัยทางไซเบอร์ที่จะช่วยให้ความรู้และกำหนดแนวทางการอภิปรายเรื่องการวางกฎเกณฑ์ หากไม่มีคำแนะนำด้านเทคนิค หน่วยงานกำกับดูแลเช่น ก.ล.ต. ก็แทบจะไม่มีอิทธิพลเหนือการลงโทษเลย เธอกล่าวเสริม

Katz กล่าวว่าการขาดความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กำลังกระตุ้นให้เกิด ก.ล.ต. พิจารณาดำเนินการทางกฎหมายกับผู้บริหาร SolarWinds สำหรับการละเมิดของบริษัทในปี 2020

"นี่ดูเหมือนจะเป็นความพยายามของ ก.ล.ต. ในการควบคุมโดยการบังคับใช้อีกครั้ง แทนที่จะให้แนวทางที่ชัดเจน พวกเขากำลังส่งข้อความผ่านการกระทำดังกล่าว” แคทซ์บอกกับ Dark Reading “การยิงเตือนสำหรับทุกสิ่งที่จำเป็นต้องมีการเฝ้าระวังและการตอบสนองที่รวดเร็วยิ่งขึ้น”

คณะผู้พิจารณาจะให้คำแนะนำในหัวข้อที่ครอบคลุมกฎหมายความเป็นส่วนตัวของสหรัฐอเมริกา สหภาพยุโรป กฎระเบียบเกี่ยวกับ AIที่ กรอบการคุ้มครองข้อมูลของสหภาพยุโรปและสหรัฐอเมริกาและวิธีที่ผู้เชี่ยวชาญด้านความปลอดภัยสามารถมีส่วนร่วมกับกระบวนการปฏิบัติตามข้อกำหนดและการสร้างกฎได้ดีที่สุด

ความไม่แน่นอนด้านกฎระเบียบอย่างต่อเนื่องจำเป็นต้องอาศัยความร่วมมืออย่างใกล้ชิดมากขึ้นกับผู้เชี่ยวชาญด้านกฎหมายและการปฏิบัติตามกฎระเบียบทั้งในระหว่างการจัดเตรียมและในระหว่างการตอบสนองต่อเหตุการณ์ทางไซเบอร์ที่เกิดขึ้นจริง Shostack กล่าว เขาเพิ่มสถานที่ที่ดีที่สุดสำหรับทีมไซเบอร์ในการเริ่มต้นคือ มาตรฐานทางเทคนิคจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ, Cybersecurity Framework หรือ กพท กรอบการพัฒนาซอฟต์แวร์ที่ปลอดภัย.

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations