Запропоновані SEC правила кібербезпеки створять непотрібне навантаження на CISO

У березні 2022 року Комісія з цінних паперів і бірж (SEC) запропонував правило з розкриття інформації про кібербезпеку, управління та управління ризиками для публічних компаній, відомий як Пропонована норма для публічних компаній (PRPC). Це правило вимагатиме від компаній повідомляти про «значні» інциденти кібербезпеки протягом чотирьох днів. Це також вимагатиме, щоб ради директорів мали досвід роботи з кібербезпеки.

Як не дивно, це так зустрічаючи всілякі відштовхування. У своєму нинішньому вигляді запропоноване правило залишає багато можливостей для тлумачення, і воно є непрактичним у деяких сферах.

По-перше, жорстке вікно розкриття створить величезний тиск на керівників інформаційної безпеки (CISO), щоб вони розкривали істотні інциденти, перш ніж вони отримають усі подробиці. Для розуміння та повного усунення інцидентів можуть знадобитися тижні, а іноді й місяці. Неможливо дізнатися про вплив нової вразливості, доки на її усунення не буде виділено достатньо ресурсів. CISO також може зрештою бути змушеним розкривати вразливості, які з більшим часом стануть менш проблемою і, отже, несуттєвими. Це, у свою чергу, може вплинути на короткострокову ціну компанії.

Інциденти — це жива істота, а не одноразова угода

Чотириденні вимоги щодо розкриття інформації можуть здатися непоганими. Але вони нереалістичні і зрештою відволікатимуть CISO від гасіння пожеж.

Для порівняння я буду використовувати Загальний регламент захисту даних Європейського Союзу (GDPR). Згідно з положенням, компанії повинні повідомляти про випадки невідповідності протягом 72 годин. Однак у випадку GDPR, потреба звітувати чітко визначена. Незважаючи на те, що 72 години часто занадто рано, щоб дізнатися про загальний вплив інциденту, організації принаймні знатимуть, чи особисту інформацію було скомпрометовано.

Порівняйте це із запропонованими PRPC вимогами щодо розкриття інформації. Організації матимуть додаткові 24 години, але, виходячи з того, що було оприлюднено до цього часу, вони повинні кваліфікувати всередині себе, якщо порушення матеріал. Відповідно до GDPR, компанія може зробити це на основі конфіденційності даних, їх обсягу та місця, де вони перейшли. Відповідно до PRPC, «суттєвість» визначається SEC як усе, що «розумний акціонер вважатиме важливим». Це може бути практично все, що акціонери вважають важливим для свого бізнесу. Це досить широке й нечітко визначене.

Інші слабкі визначення

Іншою проблемою є вимога пропозиції щодо розкриття обставин, за яких інцидент безпеки не був суттєвим сам по собі, а став таким «у сукупності». Як це працює на практиці? Чи можна розкрити невиправлену вразливість шестимісячної давнини (враховуючи, що компанія не виправляла її), якщо вона використовується для розширення масштабів наступного інциденту? Ми вже об’єднуємо загрози, уразливості та вплив на бізнес. Уразливість, яка не використовується, не є суттєвою, оскільки вона не впливає на бізнес. Що вам потрібно буде розкрити, коли потрібно буде повідомити про сукупні інциденти, і чи ускладнює це розпізнавання пункт про сукупність?

Щоб зробити це складнішим, запропоноване правило вимагатиме від організацій розкривати будь-які зміни в політиці, які стали результатом попередніх інцидентів. Наскільки суворо це буде вимірюватися і, чесно кажучи, навіщо це робити? Політики мають бути заявами про наміри — вони не повинні бути низькорівневими посібниками з криміналістичної конфігурації. Оновлення документа нижчого рівня (стандарту), щоб надати певний алгоритм шифрування для конфіденційних даних, має сенс, але є кілька документів вищого рівня, які оновлюються через інцидент. Прикладом може бути вимога багатофакторної автентифікації або зміна угоди про рівень обслуговування (SLA) для виправлення критичних уразливостей.

Нарешті, у пропозиції йдеться, що квартальні звіти про прибутки будуть форумом для розкриття інформації. Особисто мені здається, що квартальні розмови про прибутки не є правильним форумом для детального вивчення оновлень політики та інцидентів безпеки. Хто буде давати оновлення? Фінансовий директор або генеральний директор, які зазвичай надають звіти про прибутки, можуть бути недостатньо поінформованими, щоб надати такі важливі звіти. Отже, CISO тепер приєднується до дзвінків? І якщо так, чи відповідатимуть вони також на запитання фінансових аналітиків? Все це здається непрактичним, але нам доведеться почекати і побачити.

Питання про досвід роботи в раді

Перша ітерація PRPC вимагала розкриття інформації про нагляд правління за політикою управління ризиками кібербезпеки. Це включало розкриття інформації про окремих членів правління та їхні відповідні кіберекспертизи. SEC каже, що цілеспрямовано зберігає широке визначення, враховуючи діапазон навичок і досвіду, характерних для кожної ради.

На щастя, після тривалого вивчення цю вимогу вирішили скасувати. PRPC все ще вимагає від компаній опису процесу правління щодо нагляду за ризиками кібербезпеки та ролі керівництва в боротьбі з цими ризиками.

Це вимагатиме певних коректив у спілкуванні та загальної обізнаності. Нещодавно д-р Кері Перлсон, виконавчий директор із кібербезпеки Массачусетського технологічного інституту Слоун, і Лучія Міліке, спеціаліст із інформаційних технологій Stanley Black & Decker, опитано 600 членів правління про діяльність, пов’язану з кібербезпекою. Вони виявили, що «менше половини (47%) членів працюють у радах, які регулярно взаємодіють зі своїми CISO, і майже третина з них бачить своїх CISO лише на презентаціях ради». Це чітко вказує на комунікаційну прогалину.

Хороша новина полягає в тому, що більшість рад уже мають комітети з аудиту та ризиків, які можуть служити для цієї мети як підгрупа ради. Тим не менш, нерідко CISO та ОГС представляють питання, пов’язані з кібербезпекою, які решта правління не зовсім розуміє. Щоб усунути цю прогалину, потрібна більша злагодженість між правлінням і керівниками служби безпеки.

Переважає невизначеність

Як і з будь-яким новим нормативним актом, щодо PRPC є питання та невизначеності. Нам просто доведеться почекати та подивитися, як це все розвиватиметься і чи зможуть компанії відповідати запропонованим вимогам.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos