У березні 2022 року Комісія з цінних паперів і бірж (SEC) запропонував правило з розкриття інформації про кібербезпеку, управління та управління ризиками для публічних компаній, відомий як Пропонована норма для публічних компаній (PRPC). Це правило вимагатиме від компаній повідомляти про «значні» інциденти кібербезпеки протягом чотирьох днів. Це також вимагатиме, щоб ради директорів мали досвід роботи з кібербезпеки.
Як не дивно, це так зустрічаючи всілякі відштовхування. У своєму нинішньому вигляді запропоноване правило залишає багато можливостей для тлумачення, і воно є непрактичним у деяких сферах.
По-перше, жорстке вікно розкриття створить величезний тиск на керівників інформаційної безпеки (CISO), щоб вони розкривали істотні інциденти, перш ніж вони отримають усі подробиці. Для розуміння та повного усунення інцидентів можуть знадобитися тижні, а іноді й місяці. Неможливо дізнатися про вплив нової вразливості, доки на її усунення не буде виділено достатньо ресурсів. CISO також може зрештою бути змушеним розкривати вразливості, які з більшим часом стануть менш проблемою і, отже, несуттєвими. Це, у свою чергу, може вплинути на короткострокову ціну компанії.
Інциденти — це жива істота, а не одноразова угода
Чотириденні вимоги щодо розкриття інформації можуть здатися непоганими. Але вони нереалістичні і зрештою відволікатимуть CISO від гасіння пожеж.
Для порівняння я буду використовувати Загальний регламент захисту даних Європейського Союзу (GDPR). Згідно з положенням, компанії повинні повідомляти про випадки невідповідності протягом 72 годин. Однак у випадку GDPR, потреба звітувати чітко визначена. Незважаючи на те, що 72 години часто занадто рано, щоб дізнатися про загальний вплив інциденту, організації принаймні знатимуть, чи особисту інформацію було скомпрометовано.
Порівняйте це із запропонованими PRPC вимогами щодо розкриття інформації. Організації матимуть додаткові 24 години, але, виходячи з того, що було оприлюднено до цього часу, вони повинні кваліфікувати всередині себе, якщо порушення матеріал. Відповідно до GDPR, компанія може зробити це на основі конфіденційності даних, їх обсягу та місця, де вони перейшли. Відповідно до PRPC, «суттєвість» визначається SEC як усе, що «розумний акціонер вважатиме важливим». Це може бути практично все, що акціонери вважають важливим для свого бізнесу. Це досить широке й нечітко визначене.
Інші слабкі визначення
Іншою проблемою є вимога пропозиції щодо розкриття обставин, за яких інцидент безпеки не був суттєвим сам по собі, а став таким «у сукупності». Як це працює на практиці? Чи можна розкрити невиправлену вразливість шестимісячної давнини (враховуючи, що компанія не виправляла її), якщо вона використовується для розширення масштабів наступного інциденту? Ми вже об’єднуємо загрози, уразливості та вплив на бізнес. Уразливість, яка не використовується, не є суттєвою, оскільки вона не впливає на бізнес. Що вам потрібно буде розкрити, коли потрібно буде повідомити про сукупні інциденти, і чи ускладнює це розпізнавання пункт про сукупність?
Щоб зробити це складнішим, запропоноване правило вимагатиме від організацій розкривати будь-які зміни в політиці, які стали результатом попередніх інцидентів. Наскільки суворо це буде вимірюватися і, чесно кажучи, навіщо це робити? Політики мають бути заявами про наміри — вони не повинні бути низькорівневими посібниками з криміналістичної конфігурації. Оновлення документа нижчого рівня (стандарту), щоб надати певний алгоритм шифрування для конфіденційних даних, має сенс, але є кілька документів вищого рівня, які оновлюються через інцидент. Прикладом може бути вимога багатофакторної автентифікації або зміна угоди про рівень обслуговування (SLA) для виправлення критичних уразливостей.
Нарешті, у пропозиції йдеться, що квартальні звіти про прибутки будуть форумом для розкриття інформації. Особисто мені здається, що квартальні розмови про прибутки не є правильним форумом для детального вивчення оновлень політики та інцидентів безпеки. Хто буде давати оновлення? Фінансовий директор або генеральний директор, які зазвичай надають звіти про прибутки, можуть бути недостатньо поінформованими, щоб надати такі важливі звіти. Отже, CISO тепер приєднується до дзвінків? І якщо так, чи відповідатимуть вони також на запитання фінансових аналітиків? Все це здається непрактичним, але нам доведеться почекати і побачити.
Питання про досвід роботи в раді
Перша ітерація PRPC вимагала розкриття інформації про нагляд правління за політикою управління ризиками кібербезпеки. Це включало розкриття інформації про окремих членів правління та їхні відповідні кіберекспертизи. SEC каже, що цілеспрямовано зберігає широке визначення, враховуючи діапазон навичок і досвіду, характерних для кожної ради.
На щастя, після тривалого вивчення цю вимогу вирішили скасувати. PRPC все ще вимагає від компаній опису процесу правління щодо нагляду за ризиками кібербезпеки та ролі керівництва в боротьбі з цими ризиками.
Це вимагатиме певних коректив у спілкуванні та загальної обізнаності. Нещодавно д-р Кері Перлсон, виконавчий директор із кібербезпеки Массачусетського технологічного інституту Слоун, і Лучія Міліке, спеціаліст із інформаційних технологій Stanley Black & Decker, опитано 600 членів правління про діяльність, пов’язану з кібербезпекою. Вони виявили, що «менше половини (47%) членів працюють у радах, які регулярно взаємодіють зі своїми CISO, і майже третина з них бачить своїх CISO лише на презентаціях ради». Це чітко вказує на комунікаційну прогалину.
Хороша новина полягає в тому, що більшість рад уже мають комітети з аудиту та ризиків, які можуть служити для цієї мети як підгрупа ради. Тим не менш, нерідко CISO та ОГС представляють питання, пов’язані з кібербезпекою, які решта правління не зовсім розуміє. Щоб усунути цю прогалину, потрібна більша злагодженість між правлінням і керівниками служби безпеки.
Переважає невизначеність
Як і з будь-яким новим нормативним актом, щодо PRPC є питання та невизначеності. Нам просто доведеться почекати та подивитися, як це все розвиватиметься і чи зможуть компанії відповідати запропонованим вимогам.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- ChartPrime. Розвивайте свою торгову гру за допомогою ChartPrime. Доступ тут.
- BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
- джерело: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos
- : має
- :є
- : ні
- :де
- $UP
- 2022
- 24
- 7
- 72
- a
- МЕНЮ
- діяльності
- коректування
- впливати
- після
- сукупність
- агрегація
- назад
- Угода
- алгоритм
- вирівнювання
- ВСІ
- майже
- вже
- Також
- суми
- an
- аналітики
- та
- будь-який
- все
- ЕСТЬ
- області
- AS
- At
- аудит
- Authentication
- обізнаність
- заснований
- BE
- оскільки
- ставати
- було
- перед тим
- буття
- між
- Black
- рада
- порушення
- широкий
- бізнес
- але
- by
- call
- Виклики
- CAN
- випадок
- Генеральний директор
- CFO
- Зміни
- заміна
- головний
- обставин
- CISO
- очевидно
- близько
- комісія
- комітет
- Комунікація
- зв'язку
- Компанії
- компанія
- порівняння
- складний
- Компрометація
- конфігурація
- Вважати
- може
- створювати
- критичний
- Поточний
- кібер-
- Кібербезпека
- дані
- захист даних
- Днів
- вирішене
- присвячених
- глибокий
- певний
- визначення
- описувати
- деталі
- А не було
- Директор
- Директори
- Розкрити
- розкриття
- do
- документ
- робить
- байдуже
- Не знаю
- dr
- два
- кожен
- Доходи
- заробіток на дзвінках
- шифрування
- кінець
- Європейська
- european union
- Навіть
- еволюціонує
- Приклади
- обмін
- виконавчий
- Виконавчий директор
- керівництво
- досвід
- експертиза
- експлуатований
- продовжити
- додатково
- Face
- далеко
- кілька
- менше
- фінансовий
- кінець
- пожежі
- Перший
- для
- Криміналістика
- форма
- форум
- знайдений
- чотири
- від
- повністю
- розрив
- GDPR
- Загальне
- загальні дані
- Положення про захист персональних даних Загальні
- Давати
- даний
- Go
- добре
- управління
- великий
- Гід
- Половина
- Обробка
- важче
- Мати
- має
- Чесно
- ГОДИННИК
- Як
- Однак
- HTTPS
- if
- Impact
- важливо
- неможливе
- in
- інцидент
- включені
- індивідуальний
- інформація
- інформаційна безпека
- повідомив
- намір
- взаємодіяти
- внутрішньо
- інтерпретація
- за участю
- isn
- питання
- IT
- ітерація
- ЙОГО
- приєднатися
- JPG
- просто
- збережений
- Знати
- відомий
- найменш
- менше
- як
- життя
- ll
- серія
- зробити
- РОБОТИ
- управління
- Мандат
- березня
- масивний
- матеріал
- Питання
- Може..
- Зустрічатися
- члени
- зустрів
- може бути
- MIT
- місяців
- більше
- найбільш
- багато
- багатофакторна аутентифікація
- повинен
- Необхідність
- потреби
- Нові
- новини
- зараз
- of
- офіцерів
- часто
- on
- ONE
- тільки
- or
- організації
- з
- загальний
- спостереження
- Нагляд
- власний
- приватність
- пластир
- Виправлення
- персонал
- Особисто
- plato
- Інформація про дані Платона
- PlatoData
- точок
- Політика
- політика
- практика
- представити
- Presentations
- тиск
- попередній
- price
- процес
- пропозиція
- запропонований
- захист
- забезпечує
- громадськість
- публічні компанії
- мета
- put
- Поклавши
- кваліфікувати
- питань
- діапазон
- швидше
- RE
- реалістичний
- розумний
- нещодавно
- регулярно
- Регулювання
- видаляти
- звітом
- Повідомляється
- Звіти
- вимагати
- вимагається
- вимога
- Вимога
- ресурси
- ті
- Реагувати
- REST
- право
- Risk
- управління ризиками
- ризики
- Роль
- Кімната
- Правило
- s
- Зазначений
- говорить
- сфера
- огляд
- SEC
- Securities
- Комісія з цінних паперів і бірж
- безпеку
- побачити
- здається
- Здається,
- сенс
- чутливий
- Чутливість
- служити
- акціонера
- Акціонери
- короткий термін
- SIX
- Шість місяців
- майстерність
- Слоан
- So
- деякі
- скоро
- Звучати
- конкретний
- специфіка
- standard
- Стенлі
- заяви
- Як і раніше
- наступні
- передбачуваний
- Навколо
- Приймати
- ніж
- Що
- Команда
- їх
- Їх
- Там.
- отже
- вони
- річ
- третій
- це
- ті
- загрози
- Таким чином
- час
- до
- занадто
- ПЕРЕГЛЯД
- типово
- Зрештою
- невизначеності
- Uncommon
- при
- розуміти
- союз
- непотрібний
- до
- оновлений
- Updates
- оновлення
- використання
- використовуваний
- значення
- дуже
- фактично
- обсяг
- Уразливості
- вразливість
- чекати
- було
- we
- тижня
- пішов
- Що
- коли
- Чи
- який
- в той час як
- ВООЗ
- чому
- волі
- вікно
- з
- в
- Work
- б
- Ти
- зефірнет