ในเดือนมีนาคม 2022 สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) เสนอกฎ เรื่องการเปิดเผยข้อมูลความปลอดภัยทางไซเบอร์ การกำกับดูแล และการบริหารความเสี่ยงสำหรับบริษัทมหาชนหรือที่เรียกว่า หลักเกณฑ์ที่เสนอสำหรับบริษัทมหาชน (PRPC). กฎนี้จะกำหนดให้บริษัทต่างๆ รายงานเหตุการณ์ความปลอดภัยทางไซเบอร์ "สำคัญ" ภายในสี่วัน นอกจากนี้ยังกำหนดให้คณะกรรมการต้องมีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์
ไม่น่าแปลกใจเลย ต้องเผชิญกับการตอบโต้ทุกประเภท. ในรูปแบบปัจจุบัน กฎที่เสนอทำให้มีพื้นที่สำหรับการตีความมาก และไม่สามารถทำได้ในบางพื้นที่
ประการแรก หน้าต่างการเปิดเผยข้อมูลที่เข้มงวดจะสร้างแรงกดดันมหาศาลให้กับหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล (CISO) ในการเปิดเผยเหตุการณ์ที่เป็นสาระสำคัญก่อนที่จะมีรายละเอียดทั้งหมด เหตุการณ์อาจใช้เวลาหลายสัปดาห์และบางครั้งเป็นเดือนเพื่อทำความเข้าใจและแก้ไขอย่างเต็มที่ เป็นไปไม่ได้ที่จะทราบถึงผลกระทบของช่องโหว่ใหม่จนกว่าจะมีทรัพยากรเพียงพอสำหรับการแก้ไข CISO อาจลงเอยด้วยการเปิดเผยช่องโหว่ซึ่งเมื่อมีเวลามากขึ้น จะกลายเป็นปัญหาน้อยลง ดังนั้นจึงไม่มีสาระสำคัญ ซึ่งอาจส่งผลต่อราคาระยะสั้นของบริษัทได้
เหตุการณ์ต่างๆ เป็นเพียงสิ่งมีชีวิต — ไม่ใช่ข้อตกลงที่ทำเพียงครั้งเดียว
ข้อกำหนดการเปิดเผยข้อมูลสี่วันอาจฟังดูดีตามมูลค่าที่ตราไว้ แต่สิ่งเหล่านี้ไม่สมจริง และในที่สุดจะหันเหความสนใจของ CISO จากการดับไฟ
ฉันจะใช้กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรปในการเปรียบเทียบ ภายใต้กฎระเบียบดังกล่าว บริษัทจะต้องรายงานเหตุการณ์การไม่ปฏิบัติตามข้อกำหนดภายใน 72 ชั่วโมง อย่างไรก็ตาม ในกรณีของ GDPR ความจำเป็นในการรายงานมีการกำหนดไว้ชัดเจน. แม้ว่า 72 ชั่วโมงมักจะเร็วเกินไปที่จะทราบถึงผลกระทบโดยรวมของเหตุการณ์โดยเฉพาะ แต่อย่างน้อยที่สุดองค์กรก็จะรู้ว่าข้อมูลส่วนบุคคลถูกบุกรุกหรือไม่
เปรียบเทียบสิ่งนี้กับข้อกำหนดการเปิดเผยข้อมูลที่เสนอของ PRPC องค์กรต่างๆ จะมีเวลาเพิ่มอีก 24 ชั่วโมง แต่ตามที่ได้รับการเผยแพร่จนถึงขณะนี้ พวกเขาจะต้องมีคุณสมบัติภายในหากการละเมิดเกิดขึ้น วัสดุ. ภายใต้ GDPR บริษัทสามารถดำเนินการดังกล่าวได้โดยพิจารณาจากความอ่อนไหวของข้อมูล ปริมาณข้อมูล และตำแหน่งที่ข้อมูลดังกล่าวไป ภายใต้ PRPC ก.ล.ต. กำหนด "สาระสำคัญ" เป็นสิ่งที่ "ผู้ถือหุ้นที่สมเหตุสมผลจะพิจารณาว่าสำคัญ" นี่อาจเป็นอะไรก็ได้ที่ผู้ถือหุ้นพิจารณาว่าเป็นสาระสำคัญต่อธุรกิจของพวกเขา ค่อนข้างกว้างและไม่มีการกำหนดไว้ชัดเจน
คำจำกัดความที่อ่อนแออื่น ๆ
อีกประเด็นหนึ่งคือข้อกำหนดของข้อเสนอในการเปิดเผยสถานการณ์ที่เหตุการณ์ด้านความปลอดภัยไม่ได้เกิดขึ้นเอง แต่กลายเป็น "ภาพรวม" สิ่งนี้ทำงานอย่างไรในทางปฏิบัติ? ช่องโหว่ที่ยังไม่ได้แพตช์เมื่อหกเดือนที่แล้วตอนนี้อยู่ในขอบเขตสำหรับการเปิดเผย (เนื่องจากบริษัทไม่ได้แพตช์) หากใช้เพื่อขยายขอบเขตของเหตุการณ์ที่ตามมาหรือไม่ เราได้รวมภัยคุกคาม ความเปราะบาง และผลกระทบทางธุรกิจเข้าด้วยกันแล้ว ช่องโหว่ที่ไม่ได้ถูกนำไปใช้ประโยชน์นั้นไม่มีสาระสำคัญ เนื่องจากไม่ได้สร้างผลกระทบทางธุรกิจ คุณจะต้องเปิดเผยอะไรบ้างเมื่อจำเป็นต้องรายงานเหตุการณ์โดยรวม และข้อกำหนดการรวมกลุ่มทำให้แยกแยะได้ยากยิ่งขึ้นหรือไม่
เพื่อให้สิ่งนี้ซับซ้อนมากขึ้น กฎที่เสนอจะกำหนดให้องค์กรต้องเปิดเผยการเปลี่ยนแปลงนโยบายใด ๆ ที่เกิดจากเหตุการณ์ก่อนหน้านี้ สิ่งนี้จะถูกวัดอย่างเข้มงวดเพียงใดและทำไมจึงเป็นเช่นนั้น? นโยบายควรเป็นคำแถลงเจตนา - ไม่ควรเป็นแนวทางการกำหนดค่าทางนิติวิทยาศาสตร์ระดับต่ำ การอัปเดตเอกสารระดับล่าง (มาตรฐาน) เพื่อกำหนดอัลกอริธึมการเข้ารหัสเฉพาะสำหรับข้อมูลที่ละเอียดอ่อนนั้นสมเหตุสมผล แต่มีเอกสารระดับสูงกว่าสองสามรายการที่จะได้รับการอัปเดตเนื่องจากเหตุการณ์ ตัวอย่างอาจต้องใช้การรับรองความถูกต้องแบบหลายปัจจัยหรือการเปลี่ยนแปลงข้อตกลงระดับบริการ (SLA) การแพตช์สำหรับช่องโหว่ที่สำคัญในขอบเขต
สุดท้ายนี้ ข้อเสนอกล่าวว่ารายงานรายได้รายไตรมาสจะเป็นเวทีสำหรับการเปิดเผยข้อมูล โดยส่วนตัวแล้ว การเรียกรายได้รายไตรมาสดูเหมือนจะไม่ใช่ฟอรัมที่เหมาะสมสำหรับการอัปเดตนโยบายและเหตุการณ์ด้านความปลอดภัย ใครจะเป็นผู้ให้ข้อมูลอัปเดต? CFO หรือ CEO ซึ่งโดยทั่วไปจะจัดทำรายงานรายได้ อาจไม่ได้รับข้อมูลเพียงพอที่จะจัดทำรายงานที่สำคัญเหล่านั้น ตอนนี้ CISO เข้าร่วมการโทรแล้วหรือยัง? และถ้าเป็นเช่นนั้นพวกเขาจะตอบคำถามจากนักวิเคราะห์ทางการเงินด้วยหรือไม่? ทุกอย่างดูเหมือนทำไม่ได้ แต่เราต้องรอดูกันต่อไป
คำถามเกี่ยวกับประสบการณ์ของคณะกรรมการ
การทำซ้ำครั้งแรกของ PRPC จำเป็นต้องมีการเปิดเผยเกี่ยวกับการกำกับดูแลของคณะกรรมการนโยบายการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ซึ่งรวมถึงการเปิดเผยเกี่ยวกับสมาชิกคณะกรรมการแต่ละคนและความเชี่ยวชาญทางไซเบอร์ที่เกี่ยวข้อง ก.ล.ต. กล่าวว่ามีเจตนาที่จะรักษาคำจำกัดความให้กว้าง โดยพิจารณาจากทักษะและประสบการณ์เฉพาะของคณะกรรมการแต่ละคณะ
โชคดีที่หลังจากพิจารณาอย่างถี่ถ้วนแล้ว พวกเขาจึงตัดสินใจยกเลิกข้อกำหนดนี้ PRPC ยังคงเรียกร้องให้บริษัทต่างๆ อธิบายกระบวนการของคณะกรรมการในการดูแลความเสี่ยงด้านความปลอดภัยทางไซเบอร์ และบทบาทของฝ่ายบริหารในการจัดการความเสี่ยงเหล่านั้น
ซึ่งจะต้องมีการปรับเปลี่ยนบางประการในการสื่อสารและการตระหนักรู้ทั่วไป เมื่อเร็วๆ นี้ ดร. Keri Pearlson กรรมการบริหารฝ่ายความปลอดภัยทางไซเบอร์ที่ MIT Sloan และ Lucia Milică CISO ที่ Stanley Black & Decker สำรวจสมาชิกคณะกรรมการจำนวน 600 คน เกี่ยวกับกิจกรรมที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ พวกเขาพบว่า “สมาชิกน้อยกว่าครึ่ง (47%) ทำงานในบอร์ดที่มีปฏิสัมพันธ์กับ CISO ของตนเป็นประจำ และเกือบหนึ่งในสามของพวกเขาเห็นเฉพาะ CISO ของตนในการนำเสนอของคณะกรรมการเท่านั้น” สิ่งนี้ชี้ให้เห็นอย่างชัดเจนถึงช่องว่างในการสื่อสาร
ข่าวดีก็คือ คณะกรรมการส่วนใหญ่มีคณะกรรมการตรวจสอบและบริหารความเสี่ยงอยู่แล้ว ซึ่งสามารถทำหน้าที่เป็นชุดย่อยของคณะกรรมการเพื่อจุดประสงค์นี้ได้ อย่างไรก็ตาม ไม่ใช่เรื่องแปลกสำหรับ CISO และ CSO ที่จะนำเสนอประเด็นที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ซึ่งคณะกรรมการส่วนที่เหลือยังไม่เข้าใจอย่างถ่องแท้ เพื่อปิดช่องว่างนี้ จำเป็นต้องมีการจัดตำแหน่งที่มากขึ้นระหว่างคณะกรรมการและผู้บริหารด้านความปลอดภัย
ความไม่แน่นอนมีชัย
เช่นเดียวกับกฎระเบียบใหม่ PRPC มีคำถามและความไม่แน่นอน เราแค่ต้องรอดูว่าทุกอย่างจะพัฒนาไปอย่างไร และบริษัทต่างๆ จะสามารถตอบสนองความต้องการที่เสนอได้หรือไม่
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
- BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- $ ขึ้น
- 2022
- 24
- 7
- 72
- a
- เกี่ยวกับเรา
- กิจกรรม
- การปรับเปลี่ยน
- มีผลต่อ
- หลังจาก
- สรุป
- การรวมตัว
- มาแล้ว
- ข้อตกลง
- ขั้นตอนวิธี
- การวางแนว
- ทั้งหมด
- เกือบจะ
- แล้ว
- ด้วย
- จำนวน
- an
- นักวิเคราะห์
- และ
- ใด
- สิ่งใด
- เป็น
- พื้นที่
- AS
- At
- การตรวจสอบบัญชี
- การยืนยันตัวตน
- ความตระหนัก
- ตาม
- BE
- เพราะ
- กลายเป็น
- รับ
- ก่อน
- กำลัง
- ระหว่าง
- Black
- คณะกรรมการ
- ช่องโหว่
- กว้าง
- ธุรกิจ
- แต่
- by
- โทรศัพท์
- โทร
- CAN
- กรณี
- ผู้บริหารสูงสุด
- ซีเอฟโอ
- การเปลี่ยนแปลง
- เปลี่ยนแปลง
- หัวหน้า
- สถานการณ์
- CISO
- อย่างเห็นได้ชัด
- ปิดหน้านี้
- คณะกรรมาธิการ
- กรรมการ
- การสื่อสาร
- คมนาคม
- บริษัท
- บริษัท
- การเปรียบเทียบ
- ซับซ้อน
- ที่ถูกบุกรุก
- องค์ประกอบ
- พิจารณา
- ได้
- สร้าง
- วิกฤติ
- ปัจจุบัน
- ไซเบอร์
- cybersecurity
- ข้อมูล
- การป้องกันข้อมูล
- วัน
- ตัดสินใจ
- ทุ่มเท
- ลึก
- กำหนด
- คำนิยาม
- บรรยาย
- รายละเอียด
- didn
- ผู้อำนวยการ
- กรรมการ
- เปิดเผย
- การเปิดเผย
- do
- เอกสาร
- ทำ
- doesn
- Dont
- dr
- สอง
- แต่ละ
- รายได้
- รายได้เรียก
- การเข้ารหัสลับ
- ปลาย
- ในทวีปยุโรป
- สหภาพยุโรป
- แม้
- วิวัฒนาการ
- ตัวอย่าง
- ตลาดแลกเปลี่ยน
- ผู้บริหารงาน
- ผู้อำนวยการบริหาร
- ผู้บริหารระดับสูง
- ประสบการณ์
- ความชำนาญ
- ใช้ประโยชน์
- ขยายออก
- พิเศษ
- ใบหน้า
- ไกล
- สองสาม
- น้อยลง
- ทางการเงิน
- ปลาย
- ไฟไหม้
- ชื่อจริง
- สำหรับ
- ทางกฎหมาย
- ฟอร์ม
- ฟอรั่ม
- พบ
- สี่
- ราคาเริ่มต้นที่
- อย่างเต็มที่
- ช่องว่าง
- GDPR
- General
- ข้อมูลร่วม
- ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป
- ให้
- กำหนด
- Go
- ดี
- การกำกับดูแล
- มากขึ้น
- คู่มือ
- ครึ่ง
- การจัดการ
- ยาก
- มี
- มี
- อย่างสุจริต
- ชั่วโมง
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- HTTPS
- if
- ส่งผลกระทบ
- สำคัญ
- เป็นไปไม่ได้
- in
- อุบัติการณ์
- รวม
- เป็นรายบุคคล
- ข้อมูล
- ความปลอดภัยของข้อมูล
- แจ้ง
- ความตั้งใจ
- โต้ตอบ
- ภายใน
- การตีความ
- ที่เกี่ยวข้องกับ
- ISN
- ปัญหา
- IT
- การย้ำ
- ITS
- ร่วม
- jpg
- เพียงแค่
- เก็บไว้
- ทราบ
- ที่รู้จักกัน
- น้อยที่สุด
- น้อยลง
- กดไลก์
- ที่อาศัยอยู่
- ll
- Lot
- ทำ
- ทำให้
- การจัดการ
- อาณัติ
- มีนาคม
- มาก
- วัสดุ
- เรื่อง
- อาจ..
- พบ
- สมาชิก
- ครึ่ง
- อาจ
- เอ็มไอที
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- มาก
- การพิสูจน์ตัวตนแบบหลายปัจจัย
- ต้อง
- จำเป็นต้อง
- ความต้องการ
- ใหม่
- ข่าว
- ตอนนี้
- of
- เจ้าหน้าที่
- มักจะ
- on
- ONE
- เพียง
- or
- องค์กร
- ออก
- ทั้งหมด
- การกำกับดูแล
- การควบคุม
- ของตนเอง
- ในสิ่งที่สนใจ
- ปะ
- ปะ
- ส่วนบุคคล
- ส่วนตัว
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- นโยบาย
- นโยบาย
- การปฏิบัติ
- นำเสนอ
- การนำเสนอผลงาน
- ความดัน
- ก่อน
- ราคา
- กระบวนการ
- ข้อเสนอ
- เสนอ
- การป้องกัน
- ให้
- สาธารณะ
- บริษัท มหาชน
- วัตถุประสงค์
- ใส่
- วาง
- แก้ไข
- คำถาม
- พิสัย
- ค่อนข้าง
- RE
- เหมือนจริง
- เหมาะสม
- เมื่อเร็ว ๆ นี้
- สม่ำเสมอ
- การควบคุม
- เอาออก
- รายงาน
- รายงาน
- รายงาน
- ต้องการ
- จำเป็นต้องใช้
- ความต้องการ
- ความต้องการ
- แหล่งข้อมูล
- ว่า
- ตอบสนอง
- REST
- ขวา
- ความเสี่ยง
- การบริหาจัดการความเสี่ยง
- ความเสี่ยง
- บทบาท
- ห้อง
- กฎ
- s
- กล่าวว่า
- พูดว่า
- ขอบเขต
- การพิจารณา
- สำนักงานคณะกรรมการ ก.ล.ต.
- หลักทรัพย์
- สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์
- ความปลอดภัย
- เห็น
- ดูเหมือน
- ดูเหมือนว่า
- ความรู้สึก
- มีความละเอียดอ่อน
- ความไว
- ให้บริการ
- ผู้ถือหุ้น
- ผู้ถือหุ้น
- ระยะสั้น
- หก
- หกเดือน
- ความสามารถ
- สโลน
- So
- บาง
- ในไม่ช้า
- เสียง
- โดยเฉพาะ
- เฉพาะ
- มาตรฐาน
- สแตนเลย์
- งบ
- ยังคง
- ภายหลัง
- ควร
- ที่ล้อมรอบ
- เอา
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ที่นั่น
- ดังนั้น
- พวกเขา
- สิ่ง
- ที่สาม
- นี้
- เหล่านั้น
- ภัยคุกคาม
- ดังนั้น
- เวลา
- ไปยัง
- เกินไป
- กลับ
- เป็นปกติ
- ในที่สุด
- ความไม่แน่นอน
- ผิดปกติ
- ภายใต้
- เข้าใจ
- สหภาพ
- ไม่จำเป็น
- จนกระทั่ง
- ให้กับคุณ
- การปรับปรุง
- การปรับปรุง
- ใช้
- มือสอง
- ความคุ้มค่า
- มาก
- จวน
- ปริมาณ
- ช่องโหว่
- ความอ่อนแอ
- รอ
- คือ
- we
- สัปดาห์ที่ผ่านมา
- ไป
- อะไร
- เมื่อ
- ว่า
- ที่
- ในขณะที่
- WHO
- ทำไม
- จะ
- หน้าต่าง
- กับ
- ภายใน
- งาน
- จะ
- คุณ
- ลมทะเล