Siber güvenlik olayı ifşa etme hakkını elde etmek, hapishane ve özgürlük arasındaki fark anlamına gelebilir. Ancak kurallar ne yazık ki belirsizliğini koruyor.
Baş bilgi güvenliği görevlileri (CISO’lar) ve ekipleri, işin özünde belirli bir miktarda risk olduğunu biliyor. Ancak eski Uber CISO Joseph Sullivan’ın şirkette 2016’da meydana gelen bir veri ihlalini örtbas etmedeki rolü nedeniyle kısa süre önce cezalandırılması, bahsi önemli ölçüde artırdı.
SolarWinds CISO’su Tim Brown, 2019’da tarihteki en muhteşem güvenlik ihlallerinden birini atlattı. epik bir tedarik zinciri saldırısı ve diğer tarafta iş – ve profesyonel itibarı – bozulmadan ortaya çıktı. Dark Reading ile yaptığı bir röportajda, CISO’ların ifşalarla ilgili kurallar konusunda netlik istediğini açıkladı. Federal Ticaret Komisyonu’nun (FTC) kuralları vardır ve bunun ötesinde, ifşaların nasıl ve ne zaman yapılması gerektiğini dikte eden çok geniş ve gelişen kurallar, yönetmelikler, idari emirler ve içtihat hukuku vardır ve bu, herhangi birinin bir iş yerinde olay.
Brown, “Sorumluluk, CISO’ları ilgilendiren bir şeydir” diyor. “Endişe verici bir zaman ve takımlar için stres ve endişe yaratıyor. Biz korunmak istiyoruz.”
Bir mahkeme, Uber’in Sullivan’ını FTC müfettişlerinden gelen ihlali örtbas etmeye çalışmaktan ve ihlali diğer Uber yöneticilerinden gizli tutmaya çalışmaktan suçlu buldu. Brown, mahkemenin görüşüne göre, Sullivan’ın kendisini kovuşturmaya açık bırakan yasal yönlendirme olmadan tek taraflı olarak ifşa kararları vermeye çalışmakla hata yaptığını kabul ediyor.
CISO’lar için Sarbanes-Oxley Yasası?
Brown, bu tür hatalar yapmaktan kaçınmak için CISO’ların 2002 Sarbanes-Oxley Yasası kalıbında, baş finans görevlileri (CFO’lar) için mali raporlama düzenlemelerini detaylandıran bir şeye ihtiyacı olduğunu söylüyor.
Sarbanes-Oxley’in mali dolandırıcılığı önlemek için CFO’lardan atması beklenen adımları belirlemesi gibi, Brown da siber suçları önleme ve bunlara müdahale etme konusunda CISO gerekliliklerini özetleyen yeni federal düzenlemeler görmek istediğini söylüyor.
Bahisler yüksek: Sullivan, Uber’in veri ihlalini örtbas etme girişimindeki rolü nedeniyle yalnızca üç yıl denetimli serbestliğe mahkûm edilmişken, Yargıç William Orrick, Sullivan’ın duruşmasını, kendilerini içinde bulacak kadar talihsiz bir sonraki CISO’ya tüyler ürpertici bir uyarı göndermek için bir fırsat olarak kullandı. onun mahkemesi.
Yargıç Orrick, Sullivan’a, “Yarın benzer bir davam olursa, sanık Papa Francis karakterine sahip olsa bile hapse girecekler” dedi. “Dışarı çıkıp arkadaşlarınla, CISO’larınla konuştuğunda, onlara yaptığın şey yüzünden, hatta kim olduğun için değil, bunun alışılmadık bir kereye mahsus olduğu için ara verdiğini söylüyorsun. “
Açıklama Labirenti
Belirsiz kurallar dizisi ve yeni ortaya çıkan yönergeler, CISO’lara ve siber güvenlik ekiplerine uyumluluğa giden net bir yol sağlamaz; bu da, kuruluşların ifşa süreci labirentinde gezinmesine yardımcı olmak için kurum içi danışmanların ve dışarıdan hukuk danışmanlarının gerekli hale geldiği anlamına gelir.
Tanium’da uç nokta güvenlik araştırması direktörü Melissa Bischoping, mevcut ifşa ortamı hakkında “Kurumsal güvenlik ekipleri, veri ihlallerinin ve güvenlik olaylarının ifşasını değerlendirmeye gelince boşlukta kalmıyor” diyor. “Yanıtları, düzenleyici ve yasal gereklilikleri karşıladıklarından ve bilginin doğru tüketicilerine uygun düzeyde bilgi sağladıklarından emin olmak için yasal ve iletişim paydaşlarıyla koordine edilmelidir.”
Woods Rogers Vandeventer Black’te avukat ve siber güvenlik ve veri gizliliği başkanı olan Beth Waller, gözetim kurumlarının yanı sıra tüketicilerin siber güvenlik olay şeffaflığını artırdığını ve kabul edilebilir ifşa pencerelerini daralttığını söylüyor.
Waller, Güvenlik ve Borsa Komisyonu’nun halka açık şirketler için veri olaylarının anında ifşa edilmesi talebi gibi ifşaatları zorlayan bir yığın düzenlemeye ve ayrıca bankacılık, sağlık ve kritik altyapı gibi sektörlere ilişkin federal düzenlemelerin yürürlüğe girmesinden sonraki günler içinde ifşa edilmesini talep ettiğine işaret ediyor. keşif. Savunma Bakanlığı müteahhitlerinin bir olayı 72 saat içinde DoD’ye bildirmesi gerektiğine dikkat çekiyor.
Waller, “Uluslararası şirketler için, Avrupa’nın Genel Veri Koruma Yönetmeliği (GDPR) gibi düzenlemeler benzer zaman çizelgelerini yönlendiriyor” diyor. “Bir veri olayını sessiz tutmak isteyen bir şirket, bunu düzenleyici veya yasal açıdan giderek daha fazla yapamaz.”
İfşa Tehlikeleri
Kurumsal siber güvenlik ekipleri üzerinde hızlı bir şekilde açıklama yapma baskısı artarken, Bugcrowd CEO’su Dave Gerry, güven ve bilgi akışı için şeffaflığın değerini kabul ediyor, ancak hızlı açıklamanın güvenlik ekiplerinin uygun şekilde yanıt vermeleri için paha biçilmez zamanı çalabileceğinden de endişe duyduğunu açıklıyor. siber saldırılara.
“Olay ifşası, güvenlik kuruluşunun sistemlere hızlı bir şekilde düzeltme eki uygulama, kod düzeyindeki güvenlik açıklarını düzeltme, saldırganları çıkarma ve genel olarak ayrıntıları kamuya açıklamadan önce sistemlerini hafifletme fırsatına izin vermelidir; ifşa,” diye ekliyor Gerry. “Duruma daha fazla korku ve kafa karışıklığı eklemekten kaçınmak için olayın temel nedenini ve büyüklüğünü belirlemek zaman alıyor, bu da ek bir değerlendirme.”
Veri ‘Bakım Görevi’ Tanımlandı
İşleri daha da kafa karıştırıcı hale getiren ABD eyalet başsavcıları, siber güvenlik olaylarının ifşa edilmesiyle ilgili daha katı düzenlemeler için bastırıyor ve her eyaleti, verileri korumak için “makul” önlemler almak gibi geniş, kötü tanımlanmış gerekliliklerle dolu kendi benzersiz ifşaat ortamıyla baş başa bırakıyor.
Kıdemli CISO ve VMware siber stratejisti Karen Worstell, Colorado AG Philip Weiser’in geçen Ocak ayında Colorado Gizlilik Yasası kapsamında kişisel bilgilerin korunması için makul önlemlerin alınmasını gerektiren “Bakım Görevi” kurallarının bir tanımını sunarak CISO yükümlülüklerini açıklığa kavuşturmak için önemli bir adım attığını belirtiyor. veri.
Weiser’e göre tanım, ofisinden gelen gerçek davalardan haberdar edildi, yani savcıların kendi yetki alanları altındaki belirli veri ihlallerini nasıl gördüklerini yansıtıyor.
Weiser, veri ihlaliyle ilgili hazırladığı açıklamalarda, “Öncelikle, bir şirketin topladığı veri türlerini belirleyip belirlemediğini ve bu verilerin nasıl depolanıp yönetileceğine dair bir sistem kurup kurmadığını değerlendireceğiz – buna artık ihtiyaç duymadığı verileri düzenli olarak elden çıkarmayı sağlamak da dahil.” tüzük. “İkinci olarak, bir şirketin yazılı bir bilgi güvenliği politikası olup olmadığına bakacağız. Bu tür politikaları olmayan veya eskimiş veya sadece teoride var olan ve çalışanlarını eğitme veya politikaya uyma girişimi olmayan şirketler için daha fazlasını inceleyeceğiz. şüpheyle davranışlarının makul olduğunu iddia ediyor.”
Waller, Weiser’ın kendi eyaletindeki ifşa kurallarını açıklığa kavuşturma hareketini alkışlıyor. Colorado’da ve Virginia’da, başsavcı, birini eyalet mahremiyet yasalarını ihlal etmekten sorumlu tutma yetkisine sahiptir.
Waller, “Colorado Başsavcısı Weiser’ın yorumları, eyalet başsavcılarının ihlalleri bu yeni veri gizliliği yasaları kapsamında ele alırken göz önünde bulunduracakları güvenlik hususları hakkında yararlı bir arka plan sağlıyor” diyor.
Bu tür ilerlemelere rağmen, şimdilik kurallar, kurumsal siber güvenlik ekiplerinin yanlış anlaması için bolca alan bırakıyor.
Waller, “Yeni eyalet gizlilik düzenlemelerinin şu anda ortaya çıkan kakofonisi, bir dizi eyalet veri ihlali yasalarıyla birleştiğinde, bir federal gizlilik yasasının sonunda bir veri ihlali yaşayan kuruluşlar için tek tip rehberlik ihtiyacını ele alacağını umabileceğimiz anlamına geliyor” diyor.
Waller, “Federal rehberliğin yokluğunda, yasal manzara tek kelimeyle karmaşık olmaya devam ediyor” diye ekliyor.
Mahkemelerin, düzenleyici kurumların ve yasama organlarının yavaş çalkalanması, tüm tarafların aynı sayfada yer almasının zaman alacağı anlamına geliyor. Ancak SolarWinds’ten Brown, CISO’lar ve kuruluşları için daha standartlaştırılmış kuralların muhtemelen önümüzdeki beş yıl içinde ortaya çıkmasını bekliyor. Bu arada, hukuk ekiplerinin tüm siber olay müdahalelerine yakından dahil edilmesini öneriyor.
Brown, “Gelişecek ve daha net olacağız” diyor. “Umutluyum.”