Quy tắc an ninh mạng được đề xuất của SEC sẽ gây căng thẳng không cần thiết cho CISO

Vào tháng 2022 năm XNUMX, Ủy ban Chứng khoán và Giao dịch (SEC) đề xuất một quy tắc về tiết lộ, quản trị và quản lý rủi ro an ninh mạng cho các công ty đại chúng, được gọi là Quy tắc đề xuất cho các công ty đại chúng (PRPC). Quy tắc này sẽ yêu cầu các công ty báo cáo các sự cố an ninh mạng “quan trọng” trong vòng bốn ngày. Nó cũng sẽ yêu cầu ban giám đốc phải có chuyên môn về an ninh mạng.

Không có gì đáng ngạc nhiên, đó là gặp đủ loại phản kháng. Ở dạng hiện tại, quy tắc được đề xuất có rất nhiều chỗ để giải thích và nó không thực tế ở một số khu vực.

Thứ nhất, cơ chế tiết lộ chặt chẽ sẽ gây áp lực lớn lên các giám đốc an ninh thông tin (CISO) trong việc tiết lộ các sự cố quan trọng trước khi họ có tất cả thông tin chi tiết. Sự cố có thể mất hàng tuần, đôi khi hàng tháng để hiểu và khắc phục hoàn toàn. Không thể biết tác động của một lỗ hổng mới cho đến khi có đủ nguồn lực để khắc phục. CISO cuối cùng cũng có thể phải tiết lộ các lỗ hổng mà nếu có nhiều thời gian hơn thì vấn đề sẽ ít xảy ra hơn và do đó không quan trọng. Điều đó có thể ảnh hưởng đến giá ngắn hạn của một công ty.

Sự cố là một vật thể sống - Không phải là một giao dịch một lần là xong

Yêu cầu tiết lộ trong bốn ngày nghe có vẻ ổn nếu xét theo mệnh giá. Nhưng chúng không thực tế và cuối cùng sẽ khiến các CISO mất tập trung trong việc dập lửa.

Tôi sẽ sử dụng Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh Châu Âu để so sánh. Theo quy định, các công ty phải báo cáo các trường hợp không tuân thủ trong vòng 72 giờ. Tuy nhiên, trong trường hợp GDPR, nhu cầu báo cáo được xác định rõ ràng. Mặc dù 72 giờ thường là quá sớm để biết chi tiết cụ thể về tác động chung của sự cố nhưng ít nhất các tổ chức sẽ biết liệu thông tin cá nhân có bị xâm phạm hay không.

So sánh điều này với các yêu cầu công bố thông tin được đề xuất của PRPC. Các tổ chức sẽ có thêm 24 giờ, nhưng — dựa trên những gì đã được công bố cho đến nay — họ phải đủ điều kiện nội bộ nếu vi phạm được thực hiện. vật liệu. Theo GDPR, một công ty có thể làm điều đó dựa trên mức độ nhạy cảm của dữ liệu, khối lượng dữ liệu và nơi dữ liệu đó được chuyển đến. Theo PRPC, “tính trọng yếu” được SEC định nghĩa là bất cứ điều gì mà “một cổ đông hợp lý sẽ coi là quan trọng”. Đây có thể là hầu hết mọi thứ mà các cổ đông coi là quan trọng đối với hoạt động kinh doanh của họ. Nó khá rộng và không được xác định rõ ràng.

Các định nghĩa yếu khác

Một vấn đề khác là yêu cầu của đề xuất phải tiết lộ các trường hợp trong đó sự cố an ninh không phải là vấn đề nghiêm trọng mà đã trở nên “tổng hợp”. Điều này hoạt động như thế nào trong thực tế? Liệu một lỗ hổng chưa được vá từ sáu tháng trước có nằm trong phạm vi được tiết lộ (do công ty không vá nó) nếu nó được sử dụng để mở rộng phạm vi của sự cố tiếp theo? Chúng tôi đã tổng hợp các mối đe dọa, lỗ hổng và tác động kinh doanh. Một lỗ hổng không được khai thác không phải là quan trọng vì nó không tạo ra tác động kinh doanh. Bạn sẽ cần tiết lộ điều gì khi cần báo cáo các sự cố tổng hợp và điều khoản tổng hợp có khiến điều này càng khó phân biệt hơn không?

Để làm cho vấn đề này trở nên phức tạp hơn, quy tắc đề xuất sẽ yêu cầu các tổ chức tiết lộ mọi thay đổi chính sách do các sự cố trước đó gây ra. Điều này sẽ được đo lường nghiêm ngặt đến mức nào và thành thật mà nói, tại sao lại làm như vậy? Các chính sách phải là những tuyên bố về ý định — chúng không phải là những hướng dẫn cấu hình pháp lý, cấp thấp. Việc cập nhật tài liệu cấp thấp hơn (tiêu chuẩn) để bắt buộc một thuật toán mã hóa cụ thể cho dữ liệu nhạy cảm là điều hợp lý, nhưng có một số tài liệu cấp cao hơn sẽ được cập nhật do sự cố. Các ví dụ có thể yêu cầu xác thực đa yếu tố hoặc thay đổi thỏa thuận cấp độ dịch vụ (SLA) vá lỗi cho các lỗ hổng nghiêm trọng trong phạm vi.

Cuối cùng, đề xuất cho biết báo cáo thu nhập hàng quý sẽ là diễn đàn để công bố thông tin. Về mặt cá nhân, các cuộc gọi báo cáo thu nhập hàng quý dường như không phải là diễn đàn phù hợp để tìm hiểu sâu về các cập nhật chính sách và sự cố bảo mật. Ai sẽ cung cấp thông tin cập nhật? Giám đốc tài chính hoặc Giám đốc điều hành, người thường cung cấp báo cáo thu nhập, có thể không có đủ thông tin để đưa ra những báo cáo quan trọng đó. Vậy CISO hiện có tham gia cuộc gọi không? Và nếu vậy, liệu họ cũng có trả lời các câu hỏi từ các nhà phân tích tài chính không? Tất cả có vẻ không thực tế, nhưng chúng ta sẽ phải chờ xem.

Câu hỏi về kinh nghiệm của Hội đồng quản trị

Lần lặp lại đầu tiên của PRPC yêu cầu tiết lộ về sự giám sát của hội đồng quản trị đối với các chính sách quản lý rủi ro an ninh mạng. Điều này bao gồm các tiết lộ về cá nhân thành viên hội đồng quản trị và chuyên môn về mạng tương ứng của họ. SEC cho biết họ cố tình giữ định nghĩa rộng rãi, dựa trên phạm vi kỹ năng và kinh nghiệm cụ thể của từng hội đồng.

May mắn thay, sau nhiều lần xem xét kỹ lưỡng, họ đã quyết định loại bỏ yêu cầu này. PRPC vẫn kêu gọi các công ty mô tả quy trình giám sát rủi ro an ninh mạng của hội đồng quản trị và vai trò của ban quản lý trong việc xử lý những rủi ro đó.

Điều này sẽ đòi hỏi một số điều chỉnh trong giao tiếp và nhận thức chung. Gần đây, Tiến sĩ Keri Pearlson, giám đốc điều hành an ninh mạng tại MIT Sloan và Lucia Milică, CISO tại Stanley Black & Decker, khảo sát 600 thành viên hội đồng quản trị về các hoạt động xung quanh an ninh mạng. Họ nhận thấy rằng “ít hơn một nửa (47%) thành viên phục vụ trong các hội đồng tương tác thường xuyên với CISO của họ và gần một phần ba trong số họ chỉ nhìn thấy CISO của họ tại các buổi thuyết trình của hội đồng quản trị”. Điều này rõ ràng chỉ ra một khoảng cách truyền thông.

Tin tốt là hầu hết hội đồng quản trị đều đã có ủy ban kiểm toán và rủi ro, ủy ban này có thể đóng vai trò là một tập hợp con của hội đồng quản trị cho mục đích này. Điều đó nói lên rằng, không có gì lạ khi các CISO và CSO trình bày các vấn đề liên quan đến an ninh mạng mà những người còn lại trong hội đồng không hiểu đầy đủ. Để thu hẹp khoảng cách này, cần có sự liên kết chặt chẽ hơn giữa hội đồng quản trị và các giám đốc điều hành an ninh.

Sự không chắc chắn chiếm ưu thế

Giống như bất kỳ quy định mới nào, PRPC cũng có những thắc mắc và điều không chắc chắn. Chúng ta sẽ phải chờ xem mọi chuyện sẽ phát triển như thế nào và liệu các công ty có thể đáp ứng các yêu cầu đề xuất hay không.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• ChartPrime. Nâng cao trò chơi giao dịch của bạn với ChartPrime. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos