SEC, Olay İfşası ve Kurul Uzmanlığına İlişkin Nihai Kuralları Göz Önünde Bulunduruyor

ABD Menkul Kıymetler ve Borsa Komisyonu, bir yıldan uzun bir süre önce, halka açık şirketlerin keşfinden sonraki dört iş günü içinde “önemli bir siber güvenlik olayını” ifşa etme zorunluluğu da dahil olmak üzere şeffaflığı artırmak için tasarlanmış kurallar önerdi. Federal düzenleyiciler ayrıca yatırımcıların yönetim kurulu üyelerinin siber güvenlik konularını ele alma konusunda yetkin olup olmadığını bilmeleri gerektiğini söyledi.

Düzenleyiciler, Nisan ayında nihai bir kuralı açıklayacaklarını söylüyorlar, ancak yayının önerilen kurallardan önemli değişiklikleri ortaya çıkarıp çıkarmayacağı veya SEC’in ne zaman uygulamaya başlayacağı belli değil.

Teklifler, özellikle olay ifşası için, sunulan 174 yanıt ve en son 6 Mart’ta SEC yetkilileriyle yapılan 25 toplantı ile paydaşlardan önemli ölçüde yorum aldı. Siber güvenlik endüstrisinden ticaret grupları ve satıcılar, istisna dışında genellikle önerilen kuralları desteklemektedir. Endişeleri dile getirmek için SEC yetkilileriyle iki kez bir araya gelen Rapid7.

Şirket 29 Ağustos’ta “Tam hafifletilmemiş veya kontrol altına alınmamış bir siber olayın kamuya ifşa edilmesi, büyük olasılıkla yatırımcılara ek zarar veren saldırgan davranışlarına yol açacaktır.” Diğer endişeler, dört günlük bir süre içinde elde edilebilecek bilgilerin kalitesine odaklanıyor. David Wright Tremaine’in ortaklarından Michael Borgia, “Benim endişem, şirketlerin bir olaydan sonraki birkaç gün içinde kötü bilgiler verecek olmaları, çünkü birbiriyle örtüşen çok fazla gereksinim arasında gezinmeye çalışıyorlar,” dedi.

Raporlamanın halka açık yönü de endişe uyandırıyor. Venable Kıdemli Direktörü Grant Schneider, bir olayı diğer kuruluşların aynı saldırıya kurban gitmesini önlemek için olayın ayrıntılarının analiz edilebildiği ABD Siber Güvenlik ve Bilgi Güvenliği Teşkilatına ifşa etmenin aksine, bir olayı kamuya açıklamanın olay müdahalesi için çok az şey yaptığını söyledi. Siber Güvenlik Hizmetleri. SEC’in devam eden olaylar hakkında ne kadar ayrıntı beklediğini görmek için bekliyor.

Bir ISMG katılımcısı olan Schneider, “Bir güvenlik uzmanı olarak benim için olayları kamuya ifşa etmenin güvenlik açısından pek bir değeri yok” dedi.

Siber Saldırıların Sonuçlarının Daha Erken Belirlenmesi

Borgia, Information Security Media Group’a verdiği demeçte, bir açıklama gerekliliğinin, güvenlik olaylarının uygulayıcılardan üst yönetime ve düzenleyicilere daha hızlı yayılmasını sağlayabileceğini söyledi. Halka açık şirketlerin, düzenleyicilerle doğrudan etkileşim kurabilmeleri için BT veya güvenlik uzmanlarını mali kontrol sürecine entegre etmeleri gerektiğini vurguladı.

Borgia, ileriye dönük olarak, şirketlerin önemlilik eşiğini belirlemek için ve ayrıca olayların veya diğer siber risk türlerinin gıda zincirinde yukarı çıkması gerektiğinde muhtemelen daha net politikalara ihtiyaç duyacağını söyledi. Şirketler genellikle bir olayla ilgili dahili olarak bilgi paylaşmak için eski veya kalıplaşmış bir sürece sahiptir. Borgia, yeni SEC kurallarının şirketleri süreçleri hakkında daha eleştirel düşünmeye zorlayabileceğini söyledi.

“Olaylar çok zorlu durumlar ve organizasyon için karmaşık gelişmeler ve potansiyel olarak bir kriz durumu söz konusu olduğunda dört gün içinde açıklama yapmak çok zor olacaktır” dedi.

Bir işletmenin bir olayın ilk meydana gelmesinden haftalar sonra önemli olduğunu belirlemesi durumunda SEC’in ne kadar ikinci bir tahminde bulunabileceği net olmadığından, halka açık şirketlerin açıklama tarafında hata yapacağını tahmin etti. Borgia, halka açık şirketlerin her gün bildiklerini ve neden daha önce raporlamadıkları sorulmasından kaçınmak için önemlilikle ilgili bir karar aldıklarını belgelemeleri gerektiğini ekledi (bkz:: US SEC, 48 Saatlik Olay Raporlama Gereksinimi Önerdi).

Halka açık şirketler, prosedürlerini risk yönetimi etrafında resmileştirecek ve tüm politikalarının birlikte çalışmasını sağlamak için daha programatik bir şekilde düşüneceklerini söyledi. Olay açıklama yetkisi aşırı derecede cezalandırıcıysa Borgia, şirketlerin bir güvenlik olayından sonraki günlerde, düzeltmeye yardımcı olmak yerine raporlama gerekliliklerini yönetmeye kaynak ayıracağından endişeleniyor.

Siber Güvenlik Uzmanlığını Yönetim Kurulu Meselesi Haline Getirmek

Yönetişim açıklama önerisi, kuruluşların kurula bir siber uzman atamasını doğrudan zorunlu kılmadı, ancak Borgia, birçok şirketin bunu yaparak nihai kurala tepki gösterebileceğini söyledi. Yeni kurallar yürürlüğe girdiğinde, halka açık şirketlerin ilgili deneyime sahip birinin kuruluşun siber politikalarını gözden geçirmesini ve onaylamasını isteyeceğini söyledi.

Borgia, kuruluşların siber deneyimi neyin oluşturduğu konusunda geniş kapsamlı düşünmeleri ve denetim veya adli tıp kayıtlarını inceleme konusunda deneyimli bireylere başvurmamaları gerektiğini söyledi. Bir CIO olarak geçmiş deneyim yeterli olabilir veya şirketler ilgili deneyime sahip mevcut bir çalışanı yönetim kuruluna yükseltebilir. SEC önerisi, şirketlere bir üyenin güvenlik uzmanlığının “doğasını tam olarak tanımlamasını” söyler.

Çoğu firma, yönetim kurulunda veya üst yönetimde siber uzmanlık söz konusu olduğunda, son yarım on yılda oyunlarını hızlandırdı. Beş yıl kadar kısa bir süre önce, güvenlik şefi genellikle C-Suite’ten birkaç adım çıkarılmıştı, ancak şimdi genellikle onun bir parçası veya yalnızca bir adım ötede. SEC, zamana ayak uydurmak için aykırı değerleri zorlayabilir, dedi.

Venable’dan Schneider, ortalama bir halka açık ticari şirketin yönetim kurulunda siber geçmişi olan birinin bulunma olasılığının teknoloji alanındaki bir şirkete göre daha düşük olduğunu söyledi. Yönetişim kuralının üst düzey liderliğin dikkatini çekmesi ve kuruluşları, işletmeye önemli bir maliyet yüklemeden siber risk yönetimi stratejilerinin nasıl olduğu hakkında daha fazla düşünmeye yönlendirmesi gerektiğini söyledi.