拟议的 SEC 网络安全规则将给 CISO 带来不必要的压力

2022 年 XNUMX 月，美国证券交易委员会 (SEC) 提出了一条规则 关于上市公司的网络安全披露、治理和风险管理，称为 上市公司拟议规则 (PRPC)。 该规则要求公司在四天内报告“重大”网络安全事件。 它还要求董事会具备网络安全专业知识。

不出所料，它是 遭到各种阻力。 从目前的形式来看，拟议的规则留下了很大的解释空间，并且在某些领域不切实际。

其一，严格的披露窗口将给首席信息安全官 (CISO) 带来巨大压力，要求他们在掌握所有细节之前披露重大事件。 事件可能需要数周甚至数月的时间才能理解并完全修复。 在投入充足的资源进行修复之前，不可能了解新漏洞的影响。 首席信息安全官最终可能还不得不披露漏洞，随着时间的推移，这些漏洞最终会变得不那么严重，因此也不那么重要。 这反过来可能会影响公司的短期价格。

事故是一件活生生的事——不是一劳永逸的事情

四天的披露要求从表面上看可能听起来不错。 但它们并不现实，最终会分散 CISO 的救火注意力。

我将使用欧盟的《通用数据保护条例》(GDPR) 作为比较。 根据规定，公司必须在 72 小时内报告违规事件。 然而，就 GDPR 而言， 报告的需要是明确的。 虽然 72 小时通常不足以了解事件总体影响的具体情况，但组织至少会知道个人信息是否已被泄露。

将此与 PRPC 提议的披露要求进行比较。 组织将有额外的 24 小时时间，但根据迄今为止公布的情况，如果违规行为是严重的，他们必须在内部获得资格 材料。 根据 GDPR，公司可以根据数据的敏感性、数据量和数据去向来做到这一点。 根据 PRPC，SEC 将“重要性”定义为“合理的股东认为重要的任何事物”。 这实际上可能是股东认为对其业务重要的任何事物。 它相当广泛并且没有明确的定义。

其他弱定义

另一个问题是，该提案要求披露安全事件本身并不重大但“总体而言”已变得如此严重的情况。 这在实践中是如何运作的？ 如果六个月前未修补的漏洞用于扩大后续事件的范围，那么该漏洞现在是否属于披露范围（假设该公司没有修补该漏洞）？ 我们已经将威胁、漏洞和业务影响混为一谈。 未被利用的漏洞并不重要，因为它不会产生业务影响。 当需要报告汇总事件时，您需要披露什么？汇总条款是否会使情况变得更加难以辨别？

为了使事情变得更加复杂，拟议的规则将要求组织披露因之前的事件而导致的任何政策变化。 衡量的严格程度如何？老实说，为什么要这样做？ 策略应该是意图声明——它们不应该是低级的取证配置指南。 更新较低级别的文档（标准）以强制敏感数据使用特定的加密算法是有意义的，但很少有较高级别的文档会因事件而更新。 示例可能需要多因素身份验证或更改范围内关键漏洞的修补服务级别协议 (SLA)。

最后，该提案称季度收益报告将成为披露的平台。 就我个人而言，季度财报电话会议似乎不是深入讨论政策更新和安全事件的合适论坛。 谁来提供更新信息？ 通常提供收益报告的首席财务官或首席执行官可能没有足够的信息来提供这些关键报告。 那么，CISO 现在是否也加入了呼吁呢？ 如果是这样，他们也会回答金融分析师的问题吗？ 这一切似乎都不切实际，但我们必须拭目以待。

关于董事会经验的问题

PRPC 的第一次迭代要求披露董事会对网络安全风险管理政策的监督情况。 这包括披露个别董事会成员及其各自的网络专业知识。 美国证券交易委员会表示，考虑到每个董事会特有的技能和经验范围，它有意将定义保持宽泛。

幸运的是，经过仔细审查，他们决定取消这一要求。 PRPC 仍然要求公司描述董事会监督网络安全风险的流程，以及管理层在处理这些风险中的角色。

这需要在沟通和一般意识方面进行一些调整。 最近，麻省理工学院斯隆管理学院网络安全执行董事 Keri Pearlson 博士和斯坦利百得公司 CISO Lucia Milică 调查了 600 名董事会成员 有关网络安全的活动。 他们发现，“只有不到一半 (47%) 的成员在定期与 CISO 互动的董事会中任职，其中近三分之一的成员只在董事会演讲中见到自己的 CISO。” 这清楚地表明了沟通差距。

好消息是，大多数董事会已经设立了审计和风险委员会，该委员会可以作为董事会的一个子集来实​​现这一目的。 也就是说，CISO 和 CSO 提出董事会其他成员不完全理解的涉及网络安全的问题并不罕见。 为了缩小这一差距，董事会和安全主管之间需要加强协调。

不确定性普遍存在

与任何新法规一样，PRPC 也存在问题和不确定性。 我们只能等待，看看这一切会如何发展，以及公司是否能够满足拟议的要求。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/risk/proposed-sec-cybersecurity-rule-will-put-unnecessary-strain-on-cisos