Yaklaşık altı ay önce CISO Steve Cobb, halka açık şirketler tarafından önerilen sözleşme dilinde bazı dikkate değer eklemeler bulunduğunu fark etti.
Bir ihlal durumunda halka açık şirketler, üçüncü taraf sağlayıcılarının bir olaya nasıl tepki vereceği konusunda daha fazla kontrol sahibi olmak istiyordu; bazı durumlarda olaya müdahale sürecini devralmayı önerdiler veya üçüncü taraf sağlayıcının bir karar vermesini istediler Risk istihbarat şirketi SecurityScorecard’ın siber güvenliğini yöneten Cobb, bir ihlalin önemli olup olmayacağının birkaç saat içinde ortaya çıkacağını söylüyor. Şirketin kendi müşterileri tarafından önerilen benzer sözleşme dilini bile gördüğünü söylüyor.
Değişikliklerin itici gücü? Menkul Kıymetler ve Borsa Komisyonu’nun kararı siber güvenlik risk yönetimi ve olay açıklamasıGeçtiğimiz Aralık ayında yürürlüğe giren ve şirketlerin üçüncü taraf tedarikçileriyle birlikte olaylara müdahale etme biçimini değiştirdiğini söylüyor.
“[P]Halka açık şirketler, tedarikçilerinden birinin bir ihlalde bulunması durumunda, esas itibarıyla halka açık şirkete olaya müdahale sürecini devralma haklarını vereceklerine dair sözleşmeye dayalı anlaşmalar koyuyorlar” diyor Cobb ve şöyle devam ediyor: “Kar amacı güden bir kuruluş için bu durum korkutucu [and] aşağı inmek gerçekten tehlikeli bir yokuş.”
Özel üçüncü taraf sağlayıcılar üzerindeki etki, işletmelerin faaliyetlerini SEC’in talimatlarına uyacak şekilde değiştirmeye çalışmasının yollarından yalnızca biri. Çoktan Baş bilgi güvenliği görevlileri endişeleniyor olacaklarını herhangi bir hatanın hesabını vermek Bir ihlalin önemliliğinin belirlenmesinde ve SolarWinds’in CISO’su hakkında dava pozisyonun kişisel riskini temsil ediyor. Şirketler milyonlarca dolar cezayla karşı karşıya kalacak SEC’e maddi bir ihlal bildirmezlerse.
Genel olarak siber güvenlik ekiplerinin %68’i, şirketlerinin dört günlük ifşa kuralına uyabileceğine inanmıyor. 16 Mayıs’ta yayınlanan anket bulut güvenlik firması VikingCloud tarafından.
Büyük Kamu Firmaları Zaten Araçlara Sahip
En büyük halka açık şirketlerin, şiddetli hava koşullarından ekonomik değişikliklere ve jeopolitik huzursuzluğa kadar çeşitli olayların maddi bir etkiye sahip olup olmayacağını belirlemek için halihazırda açıklama komiteleri var. Deloitte danışmanlık şirketinin siber ve stratejik risk sorumlusu Naj Adib, siber güvenlik olaylarını kendi görüş alanlarına eklemek için çeşitli grupların (BT, siber güvenlik, hukuk ve iş dünyası) bir araya getirilmesini ve karar vermek için gerekli bilgilerin kendilerine sunulmasını gerektirdiğini söylüyor.
“Gerekli çaba düzeyi aslında bu parçaları bir araya getirmek ve organizasyonun çeşitli bölümleri arasında orkestrasyon sağlamakla ilgilidir” diyor. “Kuruluşlar [need] Bu risk alanları ve bu risk faktörleri için benim için neyin önemli olduğunu söylemek istiyorum.”
CISO’lar, şirketlerin önemliliği belirlemek için doğru süreci oluşturmasına ve dört günlük süre içinde bir açıklamaya imza atmak için gereken kanıtları toplamasına yardımcı olmak için masaüstü alıştırmalardan yararlanabilir.
Bir olayın etkisini kesin olarak belirleyemeyen şirketler, potansiyel bildirim gereksinimlerini karşılamak için bir ihlalin önleyici olarak açıklanmasına neden olabilir. Bu tür endişeler finansal hizmetler devi Prudential’ın SEC’e proaktif olarak bir açıklama beyanı gönderin Şubat ayında, şirketin soruşturmaya yeni başlamış olmasına ve ihlalin maddi bir etki yaratacağına dair hiçbir belirti olmamasına rağmen.
Her Şirketin Yanıtı Farklıdır
PricewaterhouseCoopers danışmanlık şirketinde Siber ve Gizlilik İnovasyon Enstitüsü lideri Matt Gorham, daha büyük şirketler bir yıldan fazla bir süredir (hatta kural kesinleşmeden önce) bu konuya odaklanmış olsa da, küçük şirketlerin daha zor bir yoldan geçtiğini söylüyor. Şirketlerin, her olay için bu süreç üzerinde çalışırken belgelenmiş bir süreç oluşturmaya ve eşzamanlı kanıtları kaydetmeye odaklanması gerekir.
“Bir şirketten diğerine ve olaylar arasında büyük bir eşitsizlik var” diyor. “Başlangıçta buna karar vermiş olabilirsiniz [the breach] o noktada maddi olmayabilir, ancak hasarı değerlendirmeye devam etmeniz ve maddi seviyeye yükselip yükselmediğine bakmanız gerekecek.”
Şu ana kadar çok sayıda başvuru yapılmadığını, dolayısıyla bir trend belirlemek için yeterli verinin bulunmadığını söylüyor.
Rapor Vermemek
Daha küçük şirketler ve üçüncü taraf sağlayıcılar muhtemelen daha az hazırlıklıdır ve halka açık müşterileri için endişe kaynağıdır.
Analistlerin aynı zamanda güvenlik kontrollerini de yapılandırdığı daha küçük siber güvenlik ekiplerine sahip şirketler, insan unsuru nedeniyle düzenlemelerle ters düşebilir. Örneğin VikingCloud, güvenlik ekipleri arasında yapılan bir ankette, on siber güvenlik uzmanından dördünün işlerini kaybetme korkusuyla herhangi bir olayı bildirmediğini tespit etti.
Korkunun ardındaki sebep? VikingCloud’un siber güvenlik savunucusu Jon Marler, olayı tetikleyen çalışanın muhtemelen güvenlik kontrollerini yapılandıran çalışanla aynı olduğunu söylüyor.
“Gerçekten çok zayıf bir takımları var ve takım çok küçük olduğu için görevler ayrılığı yok” diyor. “Bunu kültürel olarak çözmenin büyük bir yolunun, bir sorunu bulan kişinin, onu bulduğu için kovulan kişi olmamasını sağlayacak şekilde bazı şeyleri yerli yerine oturtmak olduğunu düşünüyorum. İnsanları başarıdan dolayı cezalandırmak istemezsiniz. “
CISO’lar: “Mızrağın Ucu”
Elbette baskıyı hisseden yalnızca güvenlik analistleri değil. SecurityScorecard’dan Cobb, müşterilerin açıklama ihtiyaçlarını karşılamak için güçlü bir siber güvenlik süreci oluşturmak için gereken desteğe sahip olduğunu düşünürken aynı zamanda azınlıkta olduğuna da inanıyor. Kendisi, çoğunlukla ne tavsiyelerde bulunma yetkisine ne de bunları uygulayacak bütçeye sahip olmadıklarında, CISO’lardan önemliliğin belirlenmesi konusunda sorumluluk almalarının istendiğini söylüyor.
CISO’ların “mızrağın ucu” olduğunu, ihlal tepkisinin yasal yansımalarıyla karşı karşıya kalan öncü olduğunu söylüyor.
“CISO’lar bir bakıma gözden çıkarılabilir hale geliyor” diyor. “Birini bırakırsınız, diğerini getirirsiniz ve tamamlanana kadar tüm süreci yeniden başlatırsınız. [next] ihlal olur. Siber güvenlik sektörü için bu, nereye gidebileceğimize dair ufukta gerçekten kötü bir işaret.”