Làm thế nào để đối phó với sự mơ hồ trong các quy định mới về mạng

Các cơ quan quản lý ở mọi cấp chính quyền đã đưa ra các yêu cầu khắt khe hơn về quyền riêng tư và tiết lộ trong năm nay — cùng với các hình phạt tương ứng — được xây dựng bằng ngôn ngữ mơ hồ và các hướng dẫn yếu kém khiến các nhóm an ninh mạng phải gánh chịu trách nhiệm pháp lý sâu sắc và không có con đường rõ ràng để tuân thủ.

Được phát hành gần đây Hướng dẫn của Ủy ban An ninh và Giao dịch (SEC) về việc tiết lộ sự cố mạng là một ví dụ về loại nhầm lẫn mà ngôn ngữ quy định mơ hồ có thể gây ra. Chuyên gia an ninh mạng Adam Shostack chỉ ra với Dark Reading rằng ông đã quan sát thấy các quy tắc bị hiểu sai rộng rãi.

Shostack lưu ý: “Tôi nghĩ yêu cầu về tính minh bạch nói chung là tốt và điều quan trọng cần lưu ý là trong vòng bốn ngày kể từ khi xác định đó là vi phạm nghiêm trọng, chứ không phải trong vòng bốn ngày kể từ khi phát hiện vi phạm”. “Rất nhiều người đang bỏ lỡ sự khác biệt quan trọng đó.”

Shostack, cùng với một nhóm chuyên gia bao gồm Mike Hintze, Daniel P. Cooper và Leslie R. Katz sẽ đưa ra lời khuyên về cách điều hướng một loạt các quy định mạng mới tại Black Hat USA trong buổi thuyết trình của họ, “Các chủ đề nóng về quy định về quyền riêng tư và mạng".

Ngôn ngữ mơ hồ, thực thi nhiều hơn

Một số ngôn ngữ mơ hồ của quy định mạng là cần thiết, Shostack chỉ ra.

"Ngoài ra, hãy thẳng thắn. Lý do khiến các tiêu chuẩn này mơ hồ thường là [vì] ngành đòi hỏi sự linh hoạt,” ông nói thêm. “Nếu chúng tôi gặp khó khăn vì các tiêu chuẩn quá mở, chúng tôi nên báo cáo vấn đề đó với các nhóm trong ngành và các nhà vận động hành lang của mình.”

Katz, một luật sư và cựu giám đốc công nghệ, đồng ý rằng cộng đồng an ninh mạng có trách nhiệm giúp giáo dục và định hình các cuộc thảo luận xây dựng quy tắc. Cô cho biết thêm, nếu không có hướng dẫn kỹ thuật, các cơ quan quản lý như SEC sẽ không có nhiều ảnh hưởng ngoài việc bị trừng phạt.

Katz nói rằng việc thiếu chuyên môn về an ninh mạng đang thúc đẩy SEC xem xét hành động pháp lý chống lại các giám đốc điều hành của SolarWinds về vi phạm năm 2020 của công ty.

"Đây dường như là một nỗ lực khác của SEC nhằm điều chỉnh bằng cách thực thi. Thay vì đưa ra những hướng dẫn rõ ràng hơn, họ đang gửi một thông điệp thông qua hành động như vậy,” Katz nói với Dark Reading. “Một phát súng cảnh báo cho tất cả mọi người rằng cần phải có sự cảnh giác cao hơn và phản ứng nhanh chóng hơn nữa.”

Hội thảo sẽ cung cấp hướng dẫn về các chủ đề liên quan đến luật riêng tư của Hoa Kỳ, Liên minh Châu Âu quy định xung quanh AI, Các Khung bảo vệ dữ liệu EU-Hoa Kỳvà cách các chuyên gia bảo mật có thể tham gia tốt nhất vào quá trình tuân thủ và xây dựng quy tắc.

Shostack cho biết, sự không chắc chắn về quy định tiếp tục đòi hỏi sự hợp tác ngày càng chặt chẽ với các chuyên gia pháp lý và tuân thủ cả trong quá trình chuẩn bị cũng như trong quá trình ứng phó sự cố mạng thực tế. Anh ấy cho biết thêm nơi tốt nhất để các nhóm mạng bắt đầu là với tiêu chuẩn kỹ thuật của Viện Tiêu chuẩn và Công nghệ Quốc gia, Khung An ninh mạng hoặc Khung phát triển phần mềm an toàn.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/black-hat/how-to-deal-with-the-vagueness-in-new-cyber-regulations