Menkul Kıymetler ve Borsa Komisyonu, tarihi siber olay raporlama gereksinimlerinin uygulama tarihlerine resmi olarak ulaştı.
Kurallar, şirketlerin bunu yapmasını gerektiren Maddi siber olayları bildirin tespitten sonraki dört iş günü içindeABD’de faaliyet gösteren halka açık şirketlerin en üst düzeylerinde, şirketlerin siber risk stratejilerine hazırlanma ve uygulama şekillerinde önemli değişikliklere yol açıyor
Firmaların, önemlilik konusunda bilinçli bir karar vermek için doğru bilgileri alıp almadıklarını belirlemek amacıyla olay müdahale programlarını aktif olarak inceledikleri belirtildi. Joe Nocera, PwC’nin siber, risk ve düzenleyici pazarlamanın lider ortağı. “Yani SEC tarafından oldukça belirsiz olan bu önemlilik tanımına bakıyorlar ve diyorlar ki, bunu kuruluşumuza nasıl uygulayabiliriz?”
SEC’in temel hedeflerinden biri, şirketlerin maddi ihlalleri, fidye yazılımlarını veya ulus devlet casusluk saldırılarını azaltmaya daha hazırlıklı olmalarını sağlamaktır.
Saldırıların ardından federal ve eyalet düzeyindeki bir takım düzenleyici iyileştirmelere rağmen SolarRüzgarlar Ve Sömürge Boru HattıABD, fidye yazılımlarında ve diğer kötü niyetli faaliyetlerde, kısmen Rusya, Çin ve son zamanlarda İran’la bağlantılı ulus devlet faaliyetlerinden beslenen bir yeniden canlanma yaşadı.
“Dünya çapında devam eden jeopolitik gerilim, kötü aktörler ve ulus devlet saldırıları için mükemmel bir fırtına yaratıyor ve hükümet, siber uyumluluğu sağlamak için tüm düzenleyici politikasını kullanıyor” dedi. Lisa Donnan, siber güvenlik konusunda uzmanlaşmış bir özel sermaye fonu olan Option3’ün ortağıdır.
Son yıllarda ülkenin en büyük saldırı ve ihlallerinden bazılarıyla ilgili soruşturmalar, şirket yöneticilerinin bu saldırılardan bazılarının gerçekleşmesini engelleyebilecek göze çarpan güvenlik risklerinden habersiz olduğu veya gözden kaçırdığı bir model ortaya koyuyor.
Morgan Stanley’e ödeme emri verildi SEC iddialarını çözmek için 35 milyon dolar 15 milyon kişinin kişisel bilgilerini korumayı başaramadı.
Ulaştırma Bakanlığı Colonial Pipeline’ın 2021 fidye yazılımı saldırısıyla bağlantılı bir soruşturmanın ardından birden fazla kontrol odası ihlali yaptığını tespit etti ve 1 milyon dolara kadar para cezası tavsiye etti.
Diğer araştırmalarda üst düzey yöneticiler, yatırımcıları yazılımdaki güvenlik açıkları, azaltma stratejileri veya bir saldırıyı önlemek için alınabilecek diğer önlemler konusunda kasıtlı olarak yanılttı.
SEC’de SolarWinds ve CISO Tim Brown’a karşı hukuk davasıAjans, halka arz ile Aralık 2020 Sunburst saldırısı arasındaki iki yıl boyunca Orion yazılım platformundaki zayıflıkları ve uzaktan erişim güvenliğiyle ilgili endişeleri tartışan dahili sunumların ve e-postaların dağıtıldığını iddia ediyor.
Bu arada şirket, yatırımcılara platformunun güvenliğini öne süren kamuya açık açıklamalarda bulunuyordu ve bu iç tartışmaları halktan gizliyordu.
Nasıl cevap verilir
Şirketler, bu planların yeni açıklama gereksinimleriyle birlikte çalışacak şekilde senkronize edilmesi de dahil olmak üzere mevcut olay müdahale planlarını yeniden değerlendiriyor. Baker McKenzie’nin SEC ve Finansal Kurum Yaptırım Grubu Başkanı Jerome Tomas.
Tomas, bu çalışmanın hukuk ve bilgi güvenliği ekipleriyle masa üstü tatbikatlar yapmayı da içerdiğini söyledi.
Tomas, “Halka açık şirketler, önemliliğin belirlenmesinde rol oynayan faktörlere oldukça aşinadır” dedi. “Bununla birlikte şirketler, örneğin önceki niceliksel önemlilik ölçümlerinin siber olaylar için nasıl uygulanabileceğini ve kullanılabileceğini belirlemeye odaklanıyor.”
Bir veri güvenliği olayı sırasında maddi etkiyi belirlemek için kullanılan bilgiler genellikle başlangıçta akıcıdır. Bunlar aşağıdakiler de dahil olmak üzere birkaç farklı unsurdan oluşabilir:
- Etkilenen veri miktarı
- Etkilenen müşteri sayısı
- İş kesintisi maliyetleri
- Fidye ödemeleri
- Söz konusu PII türü
Daha sağlam bir olay müdahale planı geliştirmenin bir parçası olarak şirketlerin yerel FBI ofisleriyle bir ilişki geliştirmesi gerekiyor. Berkeley Araştırma Grubu’nun siber güvenlik ve soruşturma uygulamalarından sorumlu genel müdür Chris Stangl ve eski bir FBI ajanı.
Stangl, e-posta yoluyla şunları söyledi: “Kriz zamanlarında, ilk temasın, bir yanıt vermenin zor olduğu bir dönemde kurulması hiçbir zaman iyi bir fikir değildir.”
FBI’ın bir olaydan sonra şirketlere uzman tavsiyesi sağlayabileceğini ve olayın önemli olup olmadığını oldukça erken bir aşamada belirlemeye yardımcı olabileceğini söyledi.
FBI bu ayın başında açıkladı Bir şirketin SEC raporlama gecikmesi talep etme süreciGenellikle ulusal güvenlik gerekçelerine dayanan ve Adalet Bakanlığı’nın üst düzey kademeleri tarafından yürütülmesi gereken bir prosedürdür.
Azaltma stratejileri
Yeni SEC kurallarının temel odak noktalarından biri, şirketlerin risk azaltma stratejilerinin bazı temel unsurlarını açıklamalarını zorunlu kılmaktır.
Buradaki fikir, yatırımcıları şirketin genel saldırı riskini azaltacak bir planı olup olmadığı konusunda bilgilendirmek ve şirketin bir siber ihlale veya kötü niyetli izinsiz girişe yanıt verme yeteneğine sahip olduğundan emin olmaktır.
Brian Walker, CAP Group’un CEO’su ve kurucusuşirketlerin uğraştığı en büyük endişelerden birinin, düzenleyici gereklilikleri karşılamak için açıklamaları nasıl dengeleyeceği, ancak şirketi hükümet eylemi veya yatırımcı eylemleri riskiyle karşı karşıya bırakacak kadar çok ayrıntıyı açıklamaması olduğunu söyledi.
Walker, “Sanırım SEC için ne kadar ayrıntının yeterli olduğu ve hissedarların işlerin kontrol altında olduğu konusunda kendilerini rahat hissetmeleri konusunda daha fazla endişe duyuyorlar” dedi. “Fakat gelecekte meydana gelebilecek herhangi bir olay, yaptıklarını söyledikleri şeyden sapmalarına neden olacak ve SEC’den dava ya da para cezası için kapıyı açabilecek kadar fazla ayrıntı değil.”
SEC’in bir diğer önemli endişesi de yönetim kurulunun siber risk üzerindeki gözetimiydi. Şirketler uzun yıllardır güvenlik operasyonları ekipleri ile yönetim kurulları arasında düzenli iletişim kurmayı başaramadı.
Capital One 80 milyon dolar ceza ödemek zorunda kaldı bir onay emri girin 2019’daki bir ihlalin ardından 106 milyon müşteri hesabının ele geçirilmesinin ardından Para Birimi Denetleme Ofisi ile yapılan bir anlaşmazlığa düştük.
Federal Rezerv bir açıklama yayınladı durdurma ve vazgeçme emri Banka ile görüştük ve yönetim kurulundan risk yönetimini ve iç kontrolleri nasıl geliştireceğine ilişkin bir plan sunmasını talep ettik.
BitSight ve Google’ın geçen hafta yayınladığı bir araştırma, şirketlerin bazı temel risk göstergelerinde hâlâ yetersiz kaldığını gösteriyor.
Şirketler 16 minimum uygulanabilir güvenli ürün kontrolünden altısında düşük performans gösterdi, rapor bulundu. En kötü performans gösteren kontroller arasında şirketler özellikle bağımlılık düzeltme eki uygulama, güvenlik açığı önleme ve güvenlik açıklarını düzeltme süresi konularında zayıftı.
Denetimle ilgili endişelere rağmen, SEC orijinal teklifini geri çevirdi şirketlerin yönetim kurulunda siber uzmanlıkla ilgili belirli bilgileri açıklamasını sağlamak.
SEC’in Kurumsal Finansman Bölümü direktörü Erik Gerding’e göre, şirketlerin yönetim kurullarına siber güvenlik uzmanlarını işe alma zorunluluğunun, potansiyel olarak onları diğer siber güvenlik yatırımlarına veya diğer yönetim kurulu önceliklerine harcanabilecek kaynakları yönlendirmeye zorlayacağına dair endişeler vardı.
Gerding, “Bunun yerine, nihai kural, yönetimin siber güvenlik tehditlerinden kaynaklanan maddi riskleri değerlendirme ve yönetmedeki rolüne ilişkin açıklamalara odaklanıyor” dedi. Perşembe günü, yürürlüğe girme tarihlerinin yürürlüğe girmesinden önce yayınlanan yorumlar.
Siber Güvenlik ve Altyapı Güvenliği Ajansı Direktörü Jen Easterly, üst düzey yöneticilere ve şirket yönetim kurullarına giderek daha fazla çağrıda bulunuyor. Siber risk yönetimi konusunda sahiplik eksikliğikurumsal liderlerin artık bu sorumluluğu yalnızca CISO’lara devretmeye devam edemeyecekleri konusunda uyarıda bulundu.
Halka açık şirketler son aylarda yönetim kurullarındaki güvenlik uzmanlığı miktarını artırmak için adımlar attı.
Bu aydan daha erken, Marriott Vacations Worldwide, Mary Galligan adını aldı 1 Ocak’tan itibaren yönetim kuruluna katılacak. Galligan, on yıldan fazla bir süre Deloitte’un Siber ve Stratejik Risk uygulamasının genel müdürü olarak görev yaptı ve daha önce FBI’da özel ajan olarak görev yaptı.
Bu arada küresel bir ticaret platformu olan Wex, bu ayın başlarında Aimee Caldwell seçildiUnitedHealth Group’un eski EVP’si ve CISO’su, yönetim kuruluna katıldı.