SIFA, Amerikalı Bankacılar Derneği (ABA), Banka Politikası Enstitüsü (BPI) ve diğer bazı lobi grupları dahil olmak üzere bankacılık endüstrisi dernekleri koalisyonu, tespit edildikten sonra dört gün içinde maddi siber güvenlik olaylarının kamuya açıklanmasını gerektiren kuralı ortadan kaldırmaya uygun bir itirazda bulunmuştur.
Bu kural, hissedarların uygun şekilde bilgilendirilmesini ve potansiyel kurbanların zamanında bir bildirim almasını sağlamak için belirlenmiştir, böylece kural yürürlüğe girmeden önce tutarlı bir şekilde gerçekleşmeyen koruyucu önlemler alabilmektedir.
Lobiciler, talebinin altı nedeni bir araya getirdiler. Açık olalım: hepsi sahte. Onları yıkalım.
1. Kritik altyapıyı korumak ve potansiyel kurbanları uyarmak için tasarlanmış gizli raporlama gereksinimleriyle çelişmekte ve böylece koordineli ulusal siber güvenlik çabalarından ödün vermektedir.
Kesinlikle hayır. 8-K form yoluyla gönderilen kısa, duyarlı olmayan bir özet kritik altyapıyı tehlikeye atmaz. Dezavantajlı olmadan seçtikleri takdirde yatırımcıların dehşete düşmelerini sağlar. Mağdurları bildirmek güvenliği “tehlikeye atmaz”, BT geliştirir kendilerini koruma yetenekleri.
2. Olay yanıtı ve kolluk soruşturmalarına müdahale etmektedir.
Tekrar yanlış. Raporlama soruşturmalardan ayrıdır. Saldırgan zaten ihlalin meydana geldiğini biliyor. Banka biliyor. Karanlıkta tutulan sadece hissedarlar ve halktır.
3. Şirketler zorunlu ve gönüllü açıklamaları ayırt etmek için mücadele ederken pazar karışıklığı yaratır.
Bu sadece eşsizdir. Kural basittir: Halka açık bir şirketseniz ve bir ihlalin malzeme olduğunu belirlerseniz, dört gün içinde SEC’e rapor etmelisiniz. Bu ne karmaşık ne de belirsiz.
4. Açıklamalar fidye yazılımı aktörleri tarafından kötü niyetli hedefler için silahlandırılmış ve siber güvenlik tehditlerini artırabilir.
Bir saldırganın SEC’e bir şirketin 4 günlük pencerede bir ihlali ifşa edemediğini bildirdiği bir davayı gösterdiler. Birincisi, kural o zaman yürürlüğe girmemişti. İkincisi, lobicinin argümanı esasen şunlara dayanıyor: “Kuralları çiğnersek, saldırganlar bize söyleyebilir.” Bu gasp değil, hesap verebilirlik. Düzenleyici ihlallere işaret eden saldırganlardan endişe ediyorsanız, çözüm kuralı ortadan kaldırmak değil. Onu takip etmek.
5. Erken açıklamaların sigorta ve sorumluluk, finansal ve operasyonel zararları daha da artıran olumsuz etkileri olabilir.
Bu saf spekülasyon. 8-K bildirimi sadece bir başlangıç noktasıdır. Gerçekler zamanla ortaya çıkar ve sigortacılar durumu ilk açıklamaya değil, doğrulanmış ayrıntılara göre değerlendirir.
6. Kamu açıklaması samimi iç iletişim ve rutin bilgi paylaşımını soğutabilir.
Bu gülünç. Gerçekte, iç iletişimi engelleyen şeyleri sessiz tutma arzusudur. Birçok şirket farkındalığı mümkün olduğunca az kişiyle sınırlamaya çalışmaktadır. Açıklama kuvvetler Maddi bir olay sırasında tam olarak ihtiyaç duyulan iletişim – iç ve dıştan – iletişim.
Dürüst olalım: Bu lobi çabasının gerçek nedeni açıktır. Bankacılık endüstrisi, yatırımcının serpintisini yönetmek için mesajı geciktirme, spin kontrol etme veya yatırımcılardan ve halktan siber güvenlik olaylarını açıkça gizleme yeteneğini istiyor. Bunu yatırımcılar veya potansiyel kurbanın çıkarları için değil, kendileri için yapıyorlar.
Dört günlük gereklilik, şirketlerin hızlı bir şekilde hareket etmesini, soruşturma için kaynakları tahsis etmesini ve belirli bir kişinin hissedarlardan önce önemli bir olay hakkında bilgi sahibi olduğu içeriden öğrenen ticaret riskinden kaçınmasını sağlar. Bu risk geçmişte zaten gerçekleşti – yöneticiler ve hatta CISO’lar açıklanmayan ihlal bilgileriyle ticaret yapmak için suçlamalarla karşılaştı. Kural, tam olarak bu tür bir istismarı önlemek için mevcuttur.
Ve kurbanları unutmayalım. Zamanında açıklama, bireylerin ve kuruluşların savunma önlemleri almalarını, zarar görmelerini ve etkilenen kuruma olan güvenlerini yeniden değerlendirmelerini sağlar.
Bu kuralın yürürlüğe girmesinden bu yana bir buçuk yıl içinde, bu açıklama kuralından anlamlı bir zarar ortaya çıkmadık. Tam tersi. Piyasa adalet, şeffaflık ve hesap verebilirliği arttırdı.
Lobicinin pozisyonu utanç verici bir şey değil. Endüstrilerini kamuoyu incelemesinden, anlatı hasarından ve finansal sonuçlardan koruma umuduyla zayıf, geri dönüştürülmüş argümanlar ortaya koyuyorlar. Bu, gizliliği koruma, hesap verebilirlikten kaçınma ve uygun siber güvenlik uygulamalarına yatırım yapma baskısını azaltma çabasıdır.
İş liderleri ve siber güvenlik uzmanları bunu ne olduğu için görmelidir: şeffaflık, adalet, güvenlik ve kamu güven pahasına imaj ve karları korumak için gölgeli bir hareket.