Mart 2022’de Menkul Kıymetler ve Borsa Komisyonu (SEC), Halka Açık Şirketler için Önerilen Kural (PRPC) olarak bilinen, halka açık şirketler için siber güvenliğin açıklanması, yönetişimi ve risk yönetimine ilişkin bir kural önerdi. Bu kural, şirketlerin “önemli” siber güvenlik olaylarını dört gün içinde bildirmelerini gerektiriyor. Ayrıca yönetim kurullarının siber güvenlik uzmanlığına sahip olması da gerekecek.
Şaşırtıcı olmayan bir şekilde, her türlü geri itmeyle karşılaşılıyor. Mevcut haliyle, önerilen kural yoruma çok fazla yer bırakıyor ve bazı alanlarda pratik değil.
Birincisi, sıkı açıklama penceresi, baş bilgi güvenliği görevlileri (CISO’lar) üzerinde, maddi olayları tüm ayrıntılara sahip olmadan önce açıklamaları konusunda büyük miktarda baskı oluşturacaktır. Olayların anlaşılması ve tamamen düzeltilmesi haftalar, bazen aylar sürebilir. Yeni bir güvenlik açığının etkisini, düzeltmeye yeterli kaynak ayrılmadan bilmek imkansızdır. CISO’lar ayrıca, daha fazla zamanla daha az sorun haline gelen ve dolayısıyla önemli olmayan güvenlik açıklarını açıklamak zorunda kalabilir. Bu da bir şirketin kısa vadeli fiyatını etkileyebilir.
Olaylar Yaşayan Bir Şeydir – Tek Bir Anlaşma Değil
Dört günlük açıklama gereklilikleri, göründüğü kadarıyla kulağa hoş gelebilir. Ancak bunlar gerçekçi değil ve sonuçta CISO’ları yangınları söndürmekten uzaklaştıracak.
Karşılaştırma olarak Avrupa Birliği’nin Genel Veri Koruma Yönetmeliği’ni (GDPR) kullanacağım. Yönetmelik uyarınca şirketlerin uyumsuzluk olaylarını 72 saat içinde bildirmesi gerekiyor. Ancak GDPR durumunda raporlama ihtiyacı iyi tanımlanmıştır. Bir olayın genel etkisinin ayrıntılarını bilmek için 72 saat genellikle çok erken olsa da, kuruluşlar en azından kişisel bilgilerin ele geçirilip geçirilmediğini bilecek.
Bunu PRPC’nin önerilen açıklama gereksinimleriyle karşılaştırın. Kuruluşların fazladan 24 saati olacak, ancak şu ana kadar açıklananlara göre, ihlalin gerçekleşmesi durumunda şirket içinde gerekli değerlendirmeyi yapmaları gerekiyor. malzeme. GDPR kapsamında bir şirket bunu verilerin hassasiyetine, hacmine ve nereye gittiğine bağlı olarak yapabilir. PRPC kapsamında “önemlilik”, SEC tarafından “makul bir hissedarın önemli sayacağı” herhangi bir şey olarak tanımlanır. Bu, hissedarların işleri için önemli olduğunu düşündüğü hemen hemen her şey olabilir. Oldukça geniştir ve açıkça tanımlanmamıştır.
Diğer Zayıf Tanımlar
Diğer bir konu ise teklifin, bir güvenlik olayının tek başına önemli olmadığı ancak “toplu olarak” önemli hale geldiği koşulların ifşa edilmesi gerekliliğidir. Bu pratikte nasıl işliyor? Altı ay öncesine ait yama uygulanmamış bir güvenlik açığı, daha sonraki bir olayın kapsamını genişletmek için kullanılırsa (şirketin yama yapmadığı göz önüne alındığında) artık ifşa kapsamına giriyor mu? Tehditleri, güvenlik açıklarını ve iş üzerindeki etkileri zaten birleştiriyoruz. Kullanılmayan bir güvenlik açığı, iş üzerinde bir etki yaratmadığından önemli değildir. Toplu olayların raporlanması gerektiğinde neyi açıklamanız gerekecek ve toplulaştırma maddesi bunun fark edilmesini daha da zorlaştırıyor mu?
Bunu daha da karmaşık hale getirmek için önerilen kural, kuruluşların önceki olaylardan kaynaklanan politika değişikliklerini açıklamasını gerektirecek. Bu ne kadar titizlikle ölçülecek ve açıkçası neden yapılıyor? Politikaların niyet beyanları olması gerekir; bunların alt düzey, adli yapılandırma kılavuzları olmaması gerekir. Hassas veriler için belirli bir şifreleme algoritmasını zorunlu kılmak üzere daha düşük düzeydeki bir belgenin (standart) güncellenmesi mantıklıdır, ancak bir olay nedeniyle güncellenecek birkaç üst düzey belge vardır. Örnekler arasında çok faktörlü kimlik doğrulamanın gerekli olması veya kapsam içi kritik güvenlik açıkları için yama hizmet düzeyi sözleşmesinin (SLA) değiştirilmesi yer alabilir.
Son olarak teklifte, üç aylık kazanç raporlarının açıklamalar için forum olacağı belirtiliyor. Şahsen, üç aylık kazanç çağrıları, politika güncellemeleri ve güvenlik olaylarını derinlemesine incelemek için doğru forum gibi görünmüyor. Güncellemeleri kim verecek? Genellikle kazanç raporları sunan CFO veya CEO, bu kritik raporları verecek kadar bilgili olmayabilir. Peki, CISO artık çağrılara katılıyor mu? Ve eğer öyleyse, finansal analistlerin sorularına da yanıt verecekler mi? Bunların hepsi pratik görünmüyor, ancak bekleyip görmemiz gerekecek.
Yönetim Kurulu Deneyimi Hakkında Sorular
PRPC’nin ilk yinelemesi, siber güvenlik risk yönetimi politikalarının yönetim kurulu gözetimi hakkında açıklamalar yapılmasını gerektirdi. Bu, bireysel yönetim kurulu üyeleri ve onların ilgili siber uzmanlıkları hakkındaki açıklamaları da içeriyordu. SEC, her bir kurul için özel beceri ve deneyim aralığı göz önüne alındığında, tanımı bilinçli olarak geniş tuttuğunu söylüyor.
Neyse ki, uzun incelemelerden sonra bu zorunluluğu kaldırmaya karar verdiler. PRPC hâlâ şirketlerden kurulun siber güvenlik risklerini denetleme sürecini ve yönetimin bu riskleri ele almadaki rolünü açıklamalarını talep ediyor.
Bu, iletişimde ve genel farkındalıkta bazı ayarlamalar gerektirecektir. Yakın zamanda MIT Sloan’da siber güvenlik genel müdürü Dr. Keri Pearlson ve Stanley Black & Decker’ın CISO’su Lucia Milică, 600 yönetim kurulu üyesine siber güvenliği çevreleyen faaliyetler hakkında anket yaptı. “Üyelerin yarısından azının (%47) CISO’larıyla düzenli olarak etkileşimde bulunan kurullarda görev yaptığını ve neredeyse üçte birinin CISO’larını yalnızca yönetim kurulu sunumlarında gördüğünü” buldular. Bu açıkça bir iletişim boşluğuna işaret ediyor.
İyi haber şu ki çoğu kurulda halihazırda bu amaç için yönetim kurulunun bir alt kümesi olarak hizmet verebilecek bir denetim ve risk komitesi bulunmaktadır. Bununla birlikte, CISO’ların ve STK’ların, yönetim kurulunun geri kalanının tam olarak anlamadığı siber güvenlikle ilgili konuları sunması alışılmadık bir durum değil. Bu açığı kapatmak için yönetim kurulu ile güvenlik yöneticileri arasında daha fazla uyum sağlanması gerekiyor.
Belirsizlik hakim
Her yeni düzenlemede olduğu gibi PRPC’de de sorular ve belirsizlikler var. Her şeyin nasıl gelişeceğini ve şirketlerin önerilen gereksinimleri karşılayıp karşılayamayacağını bekleyip görmemiz gerekecek.