Intercontinental Exchange (ICE), sanal özel ağında (VPN) bir ihlal tespit ettiğinde, kuruluş derhal soruşturma ve iyileştirme çabalarını başlattı. Ancak ancak dört gün sonra şirket, yalnızca Güvenlik ve Takas Komisyonu’nun (SEC) uyumluluk gerekliliklerini değil, aynı zamanda şirketin kendi dahili siber olay raporlama prosedürlerini de ihlal eden ihlali düzenleyici kurumlara bildirdi. Bu, SEC’in raporuna göre Mayıs duyurusu 10 milyon dolarlık para cezası. ICE’nin olayı neden geciktirdiği sorusu hiçbir zaman kamuoyuna açıklanmadı.
SEC şunları belirtti: “SEC’in emri, ICE personelinin ICE’nin yan kuruluşlarındaki hukuk ve uyumluluk görevlilerini, ICE’nin kendi dahili siber olay raporlama prosedürlerini ihlal edecek şekilde izinsiz giriş konusunda birkaç gün boyunca bilgilendirmediğini ortaya koyuyor. ICE’nin başarısızlıklarının bir sonucu olarak, bu yan kuruluşlar, SCI Düzenlemesi (Düzenleme Sistemleri Uyumluluğu ve Bütünlüğü) kapsamındaki bağımsız düzenleyici açıklama yükümlülüklerini yerine getirmek için, izinsiz girişle ilgili derhal SEC personeliyle iletişime geçmelerini ve izinsiz girişle ilgili derhal bir sonuca varmadıkça veya makul bir şekilde tahmin etmedikçe 24 saat içinde bir güncelleme sağlamalarını gerektiren, izinsiz girişi gerektiği gibi değerlendirmezler. izinsiz giriş vardı ya da olmayacaktı ya da teferruat “Bu durum, operasyonları veya piyasa katılımcıları üzerinde olumsuz etki yaratabilir.”
Hem ICE hem de SEC, Dark Reading’in sorularına cevap vermeyi reddetti, ancak bazı olası açıklamalar var. Ayrıca, daha hızlı olay müdahalesi için uyumluluğu atlatmayı düşünen diğer kritik altyapı kuruluşları için de uyarıcı bir hikaye.
Yaygın bir yanlış anlama, işletmelerin uyumluluk konusunda umursamaz bir tavır takındıkları ve gerekli uyumluluk belgelerini dosyalamak ve bir ihlalin sonuçlarıyla uğraşmak yerine, cezayı ödeyip kötü basın ve davaların sonuçlarına katlanmayı daha kolay bulduklarıdır.
Sertifikalı kamu muhasebe firması BPM Associates’in ortaklarından Fred Rica, “Birisinin ciddi bir şekilde ‘Evet, cezayı ödeyeceğiz’ dediği bir durum ya da toplantıya hiç katılmadım” diyor. “Çoğu kurul ve yönetim komitesinin doğru olanı yapmaya ve bağlı oldukları kural ve düzenlemelere uymaya çalıştığını düşünüyorum.”
Sorun, teknik olmayan yönetim kurulu üyelerinin genellikle siber güvenlik sonuçlarını anlamaması ve CISO’ların tehditleri iş terimleriyle açıklamakta zorluk çekebilmesidir. Rica, kurulların daha iyi sorular sorması ve siber güvenlik konularıyla daha fazla ilgilenmesi gerektiğini vurguluyor.
“Değişmesi gereken ilk şey, yönetim kurullarının daha iyi sorular sormaya başlaması gerektiğidir” diyor ve yönetim kurullarının siber tehditleri teknik ekibe iletebileceği zamanın geçtiğini ekliyor.
Rica, “Üç yıl önce bile yeterli olan şey muhtemelen artık yeterli değil” diyor.
ICE durumunda, VPN saldırısının “teferruat SEC, tek başına, kritik altyapıya yönelik saldırıların 24 saat içinde rapor edilmesi ihtiyacını değiştirmese de, şirketin bir sorunu olabildiğince çabuk çözmeye odaklandığını gösterebilir. basitçe şirketin 24 saat içinde yapılması gereken bir görevde başarısız olduğu anlamına gelebilir.
Veri ihlalini bildirmeyen bir şirket, siber sigorta poliçesi konusunda daha fazla incelemeye tabi tutulabilir. Yeterli güvenlik kontrollerine sahip şirketler, siber poliçelerinde daha iyi oranlar ve koşullar elde ederken, eksiklikleri olanlar daha yüksek oranlar ve daha az elverişli koşullarla karşı karşıya kalıyor, diyor Woodruff-Sawyer & Co.’da avukat olan Bridget Quinn Choi.
Bu durumda ICE’nin olayla hemen ilgilendiğini söylüyor.
“Kritiklik matrisleri vardı. Raporlama kontrolleri vardı, ciddiyet derecesine bakıyorlardı ve oldukça hızlı bir şekilde içeri girip güvenlik açığını buldular. Küçük bir ihlal olduğunu buldular ve çok hızlı bir şekilde düzelttiler,” diyor. “Büyük bir sorun değildi. Bu nedenle olay müdahalesi açısından oldukça iyi bir sonuçtu. Eksik olan şey, olay müdahale planlarında, makul bir ihlal şüphesi varsa 24 saat içinde rapor vermeleri gerektiğiydi. Bunu yapmadılar.”
Choi, yanıtın hızlı olmasına rağmen şirketin prosedürle ilgili sorunlar yaşadığını belirtiyor.
“SEC bile geri döndü ve bunun doğru olduğunu söyledi teferruat. Ancak bu onların ikinci ihlali” diyor. (Şirket daha önce uygun yedekleme ve yedekleme prosedürlerine sahip olmadığı için SEC Yönetmeliği SCI’yi ihlal etmişti.)
“Siber güvenliğin bir bilgi güvenliği sorunu olduğuna dair yaygın bir yanlış anlaşılma olduğunu düşünüyorum” diyor.
Siber güvenlik, şirket, itibar ve gelir üzerinde geniş kapsamlı etkilere sahip olabilen bir iş sürecidir.
“Şirket üzerindeki etkisi geniş kapsamlı olabilir,” diyor. Artan maliyetler olabilir, düzenleyici sorunlar olabilir, [and] bu oyuna girmek için aç olan bir davacı barosu var. Yani sadece bir şeyler yapmak değil, değil mi? İşleri doğru yapmak.”