Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Biden yönetimi – lansmanının üzerinden bir yıldan az süre geçti ulusal siber güvenlik strateji — kritik altyapıyı koruma, üreticileri ürün güvenliğinden sorumlu tutma ve özel sektör şirketlerini özel durumları açıklamaya zorlama çabalarıyla ilerlemektedir.
Siber riskle ilgili endişeler günümüzde şirketlerin karşılaştığı en acil sorunlardan biri haline geldi. Yıllık Allianz Risk Barometresi Veri ihlalleri, fidye yazılımları ve BT kesintileri gibi siber olayların ABD’deki işletmeler için iş kesintilerinin yerini alan en büyük endişe kaynağı olduğunu gösterdi.
Baker McKenzie’nin 2024 ihtilaf tahmini Araştırmalar açısından siber güvenlik ve veri gizliliğinin önde gelen iki endişe olduğunu tespit etti.
Suçlu fidye yazılımlarından ve haydut ulus devletlerden gelen kötü niyetli siber tehditlerdeki artışla desteklenen siber güvenlik düzenlemelerine yönelik baskının 2024’te yeni boyutlara ulaşması bekleniyor.
Yeni ve geliştirilmiş düzenleyici ortam, şirketleri daha proaktif bir risk yönetimi yaklaşımı benimsemeye zorluyor, böylece potansiyel tehditler siber olaylara dönüşmeden önce tespit edilebiliyor. Cyrus Vance, eski Manhattan bölge savcısı ve Baker McKenzie’nin Kuzey Amerika Yaptırım Uygulaması eş başkanı.
Vance e-posta yoluyla, “Bu, daha sağlam risk değerlendirme süreçlerinin oluşturulmasını, sürekli izlemeyi ve daha gelişmiş güvenlik önlemlerinin uygulanmasını içerecektir” dedi.
Örnek olarak Vance, New York Eyaleti Finansal Hizmetler Departmanı, Bu da şirketlerin siber dayanıklılık ve hazırlığı sertifikalandırmasını gerektirecek.
Halka açık şirketler gelişmeleri yakından izliyor Menkul Kıymetler ve Borsa Komisyonu Kuruluşların ve kilit yöneticilerin maddi olayları nasıl açıklamaları ve siber risk konusunda nasıl şeffaf olmaları gerektiği konusunda rehberlik sağlamak için SolarWinds aleyhine açılan dava.
SEC, siber topluluğun çoğunda şok dalgalarına neden oldu. SolarWinds ve CISO Tim Brown’a karşı dava açmak devlete bağlı tehdit aktörlerinin 2020 Sunburst saldırısı öncesinde yatırımcıları bilinen risk faktörleri konusunda yanılttığı iddiasıyla.
Daha önce federal savcı olarak görev yapan Crowell ve Moring’in ortağı Jennie Wang VonCannon, “Dolayısıyla SEC siber güvenlik kuralı için oyunun adı önemliliktir” dedi.
Şirketler geçmişte yatırımcılara siber riskler hakkında söylediklerini daha yakından inceliyor ve gelecekte bu bilgileri güncellemek isteyip istemeyeceklerini düşünüyor. Kuruluşlar ayrıca hazırlıklı olduklarından emin olmak için çalışıyor, olay müdahale planları geliştiriyor ve masaüstü tatbikatlar gerçekleştiriyor.
Amaç, ciddi bir olay olması durumunda hızlı bir şekilde müdahale edebilmelerini sağlamaktır.
Bu özellikle önemlidir, çünkü Aralık ayında şirketlerin uyması gereken SEC kuralları uyarınca, halka açık şirketler önemliliğin belirlenmesinden itibaren dört iş günü Bir olayı SEC’e bildirmek.
Kritik altyapı sağlayıcıları ayrıca Kritik Altyapı için Siber Olay Raporlama Yasası kapsamında ek raporlama gerekliliklerine tabi olacak. CISA’nın Mart ayına kadar Önerilen Kural Oluşturma Bildirisini yayınlaması ve kamuoyunun yorumlarına açılması bekleniyor.
Yaptırım geri itmesi
SolarWinds karşı çıkıyor SEC iddialarıCuma günü yapılan bir mahkeme dosyasına göre, yatırımcıları saldırı riski konusunda defalarca uyardığını ısrarla vurgulayan ve şirketin yetkililerle üç yıl boyunca işbirliği yapmasının ardından ajansın “kale direklerini hareket ettirmeye” çalıştığını iddia ediyor.
Şirket yaptığı açıklamada, “SolarWinds, benzeri görülmemiş Sunburst siber saldırısından önce ve sonra doğru ve doğru açıklamalar yaptı, bu nedenle bu davanın reddedilmesi gerekiyor” dedi.
Şirketler için asıl zorluk, acil mali etkinin belirlenmesi değil, niteliksel önemliliğin belirlenmesidir. Joe Nocera, PwC’nin siber risk ve düzenleyici pazarlama iş ortağı lideri.
Nocera, e-posta yoluyla şunları söyledi: “İtibarın zarar görmesi, fikri mülkiyet kaybından kaynaklanan gelecekteki gelir akışlarının kaybı, müşteri memnuniyeti, potansiyel düzenleyici eylemler – bunlar neredeyse matematiksel bir hesaplama değil.” “Dolayısıyla, şirketlerin öncelik belirleme kararı vermek için niteliksel ve iyi belgelenmiş bir çerçeve geliştirmesi önemlidir.”
Federal yetkililerin bir diğer önemli hamlesi, özellikle kurumsal uygulamalarda ve donanım cihazlarında kullanılan ürün güvenliğine ilişkin minimum standartları yükseltmektir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, yazılım geliştiricileri ve teknoloji üreticilerini tasarım gereği güvenli ve varsayılan olarak güvenli ilkelerini benimsemeye çağırdı. Bu, şirketleri güvenlik hususlarını ürün geliştirme yaşam döngülerine dahil etmeye itecek ve kullanıcıların bir uygulamayı veya yeni cihazı yükledikten sonra kapsamlı yapılandırma değişiklikleri yapma zorunluluğundan uzaklaşacaktır.
Aralık ayı sonlarında, CISA endüstri girdisi için bir talep yayınladı ürün güvenlik açıklarını azaltmanın ve ürün güvenliğini yüksek öğrenime dahil etmenin yollarına odaklanarak tasarım yoluyla güvenliğin nasıl uygulanacağı üzerine.
Lexmark’ın CISO’su Bryan Willett, ürün güvenliğini geliştirmenin bir yolu olarak ek siber güvenlik düzenlemelerinin geliştirilmesini memnuniyetle karşılıyor.
Willett e-posta yoluyla, “Tekliflerinin güvenliğine öncelik veren çok sayıda şirket var” dedi. “Ancak, bir ürün geliştiren, onu satan ve sonra onu ihmal eden çok daha fazla şirket var.”
Willett, şirketler ve tüketicilerin bulut tabanlı hizmetlere ve bağlantılı cihazlara daha fazla bağımlı hale geldikçe, bu ürünlerden herhangi birine duyabilecekleri güven düzeyi konusunda güvenceye ihtiyaç duyduklarını söyledi.
Yurtdışında değişiklik
Düzenleyici ortam yalnızca ABD’nin sorunu değil Kasım ayı sonlarında Avrupa Birliği’nin düzenlemeleri konusunda bir anlaşmaya varıldı. Siber Dayanıklılık YasasıAB’de satılan tüm dijital ürünlerin minimum siber güvenlik standartlarını karşılamasını gerektirecek.
Standart, akıllı saatler ve televizyonlar gibi tüketici ürünlerine ve kurumsal ortamlarda kullanılan donanım ve yazılımlara uygulanacaktır.
Avrupa Komisyonu sözcüsü, şirketlerin “tasarım ve geliştirmeden ürünün piyasaya sürülmesi sonrasına kadar ürünün tüm yaşam döngüsü boyunca” güvenli geliştirme önlemlerini uygulaması gerekeceğini söyledi.
Genel Veri Koruma Yönetmeliği de dahil olmak üzere diğer bölgesel çabalar gibi, pratik sonuç da şirketin merkezi ne olursa olsun çok uluslu üreticiler için standartların yükseltilmesi olacaktır.
Biden yönetimi geçen yaz kendi güvenlik etiketleme programını önerdi. ABD Siber Güven Markasıbelirli güvenlik standartlarını karşılayan akıllı cihazlar için bir sertifika oluşturacak.
Bağlı güvenlik kameralarından tıbbi cihazlara ve ağ ekipmanlarına kadar çeşitli akıllı cihazlar, bilgisayar korsanları tarafından yılda milyarlarca kez hedef alınmaktadır.
FCC Komiseri Nathan Simington, “Temel sorun, teşviklerin önemli olmasıdır ve şu anki durumda, cihaz üreticileri ve yazılım satıcıları siber güvenlik başarısızlıklarından yasal olarak nadiren sorumlu tutuluyor, hatta hiç tutulmuyor” dedi. Uygulama Hukuku Enstitüsü Konferansı öncesinde Aralık ayında yapılan konuşma.
Programın orijinal destekçilerinden biri olan Simington, Siber Güven İşareti verilen ürünlerin yüksek bir güvenlik standardını karşılaması gerektiğini ve federal satın alımların da bu standardı karşılaması gerektiğini söyledi. Simington ayrıca üreticilere sorumluluk kalkanı verilmemesi gerektiğini de söyledi.