Portia Cole, Acil Tehdit Araştırmacısı, Avertium
Güvenlik ve Borsa Komisyonu (SEC) yolunu bulursa, halka açık şirketler, kapsam dahilindeki kuruluşlar ve bunların yönetim kurulları için siber güvenlik ifşa gerekliliklerini yerine getirme konusunda diğer tüm federal kurumların yaptığından daha fazlasını yapacaktır. SEC, Mart 2022’de (yorum dönemi bir yıl sonra yeniden açıldı) ve Mart 2023’te kısmen yatırımcıların siber güvenlik risklerinin nasıl olduğu konusunda “tutarlı, karşılaştırılabilir ve karar açısından yararlı bir şekilde” bilgilendirilmesini gerektirecek yeni düzenlemeler önerdi. yönetilen.
Her ikisi için de yorum dönemleri Mayıs 2023’te sona erdi. Kabul edilirse, aşağıdakilerle ilgili yeni kurallar ve gereksinimler yürürlüğe girecek:
- Maddi siber güvenlik olaylarının raporlanması ve daha önce bildirilen siber güvenlik olayları hakkında güncellemeler.
- Tescil ettirenin siber güvenlik risklerini belirlemeye ve yönetmeye yönelik politikaları ve prosedürleriyle ilgili raporlama gereksinimleri; tescil ettirenin yönetim kurulunun siber güvenlik riskine ilişkin gözetimi.
- Siber güvenlik riskinin değerlendirilmesi ve yönetilmesi ile siber güvenlik politikaları ve prosedürlerinin uygulanmasında yönetimin rolü ve uzmanlığı.
- Yönetim kurulunun siber güvenlik uzmanlığı hakkında yıllık raporlama veya belirli vekaleten açıklama.
SEC’in görüşüne göre, değişikliklerin amacı, yatırımcıları bir kuruluşun risk yönetimi, stratejisi ve yönetişimi hakkında daha iyi bilgilendirmek ve önemli siber güvenlik olayları durumunda hızlı bildirim sağlamaktır. Hükümet ayrıca, federal düzenlemenin siber uzayı güvence altına almak için ana yaklaşım olmayacağını belirleyen 2003 tarihli stratejisini de terk etmeye çalışıyor – açıkça fikrini değiştirdi. Dikkatimizi hak eden iki önemli düzenlemeye geçelim.
Hızlı Raporlama
Varsayımımız, ihlallerin derhal ifşa edilmesine ilişkin düzenlemenin T-Mobile ve BlackBerry gibi kuruluşlara yanıt niteliğinde olduğu yönündedir. 2021’de hem T-Mobile hem de BlackBerry, milyonlarca insanı etkileyen sunucu ve yazılım güvenlik açıkları hakkında müşterileri ve halkı derhal bilgilendirmeyi başaramadıkları için kamuoyunun incelemesine tabi tutuldu. T-Mobile’ın ihlali önemliydi çünkü 100 milyondan fazla müşterinin verilerini açığa çıkardı ve yatırımcıların bunu nasıl öğrendiği açısından rahatsız ediciydi. Vice.com, ihlal haberini 15 Ağustos 2021’de verdi, ancak şirket ihlali 16 Ağustos 2021’e, yani ihlalin manşetlere taşınmasından 24 saat sonrasına kadar doğrulamadı.
O zamanlar, bir şirketin bir veri ihlalini bildirmesi gereken süreyi belirleyen mevcut bir federal düzenleme yoktu. Sonuç olarak Kongre, 1 Eylül 2021’de, şirketlerin saldırıları ne kadar hızlı bildirmesi gerektiğine (24 ila 72 saat arasında), ne tür uzlaşmaların CISA’ya bildirilmesi gerektiğine ve CISA’ya bildirilip bildirilmeyeceğine ilişkin gereklilikleri içeren bir Temsilciler Meclisi yasa tasarısını incelemeye başladı. uygunsuzluk varsa para cezası uygulanmalıdır. Kongre o sırada bir fikir birliğine varamasa da, Mart 2022’de Kritik Altyapı için Siber Olay Raporlama Yasası, belirlenmiş 16 kritik altyapı sektöründeki kapsanan kuruluşlar için iki siber olay raporlama gereksinimi belirledi ve SEC şimdi benzer ifşaları tamamlamaya yaklaşıyor. paydaşlara, müşterilere ve yatırımcılara fayda sağlayacak kurallar.
SEC’in istedikleri arasında: Halka açık şirketlere benzer şekilde, kapsam dahilindeki kuruluşlar, keşfedildikten sonraki 48 saat içinde geçmiş ve mevcut siber olayları SEC’e ifşa etmek zorunda kalacak. Kapsanan kuruluşların, ciddi bir siber güvenlik olayını, meydana geldiğine veya gelmekte olduğuna inanmak için makul gerekçeleri olduğunda, derhal yazılı olarak SEC’e bildirmeleri gerekecektir. Ek olarak şirketler, olayla ilgili ayrıntılı bilgileri ve bunların yanıtını önerilen SCIR Formunu kullanarak sunmalıdır; bu form, yeni maddi bilgiler keşfedilirse veya olayın çözümü üzerine derhal dosyalanmalı ve güncellenmelidir.
Yönetim Kurulu ve Siber Güvenlik Riski
Yönetim kurulu üyelerinin bir şirketin mevcut güvenlik önlemleri hakkında bilgi sahibi olması yeterli değildir. Kurullar, siber güvenlik risk yönetimini desteklemede çok önemli bir rol oynamalı ve önerilen SEC düzenlemeleri, bunu zorlamaya yardımcı olacaktır.
SEC’in yolu varsa, halka açık şirketlerin yönetim kurulu üyelerinin siber güvenlik uzmanlığına sahip olup olmadığını açıklamaları gerekecektir. SEC, şirketlerin yönetim kurulunun siber riskleri nasıl denetlediğini açıklamasını ve ayrıca yönetimin bu riskleri nasıl değerlendirdiğini ve ele aldığını açıklamasını zorunlu kılacak. Şirketlerin, kurulun siber riskler konusunda nasıl güncel tutulduğunu ve kurulun konuyu ne sıklıkta tartıştığını açıklamasını gerektirerek daha da ayrıntılı hale geliyor. Yönetmelik, yönetim kurulu üyelerinin siber güvenliğe odaklanmalarını ve bir siber saldırı durumunda kuruluşun müdahale ve kurtarma planlarını denetleme sorumluluğunu almalarını gerektirecektir.
Yönetim kurulu üyeleri siber güvenlik konusunda çok daha ciddileşmek zorunda kalacak. CISO’nun ne üzerinde çalıştığına dair bir güncelleme almanın yeterli olduğu günler geride kaldı. olarak Harvard İş İncelemesi “Yönetim kurulu üyeleri, siber saldırıların muhtemel olduğu pozisyonunu almalı ve yöneticilerin ve yöneticilerin yanıt vermek ve durumu düzeltmek için uygun ve uygun hazırlıkları yapmalarını sağlamak için gözetim rollerini yerine getirmelidir.”
Önerilen Düzenlemelerin Potansiyeli ve Sınırlamaları
Yeni kuralların devreye girmesi halinde, yapılacak tek değişiklik açıklamaların kendileriyle sınırlı kalmayacak. Şirketler, gerekli verileri toplama ve analiz etme maliyetleri de dahil olmak üzere yeni kurallara uymak için ek maliyetlere maruz kaldıklarını görebilirler. Ayrıca artan itibar riskleri potansiyeli de vardır. Daha fazla maruz kalma ile daha fazla inceleme gelir. Siber güvenlik risklerini yeterince ele alamayan şirketler, itibar zedelenmesi ve yatırımcılardan, müşterilerden ve diğer paydaşlardan gelebilecek olası tepkilerle karşı karşıya kalabilir.
Önerilen bu kuralların amacı, şeffaflığı teşvik ederek ve şirketleri sorumlu tutarak daha geniş halkı korumaktır. Ancak birçok düzenlemede olduğu gibi, sınırlamalar vardır. Kapsanan kuruluşların neyi ifşa etmekle yükümlü oldukları ve bunu nasıl ifşa etmeleri gerektiği konusunda bir dereceye kadar belirsizlik devam etmektedir. Örneğin, farklı sektörler farklı siber risklerle karşı karşıyadır ve farklı gizlilik ve güvenlik seviyelerine sahip benzersiz risk profillerine sahiptir, bu da paydaşların sektörler genelinde farklı kuruluşların siber güvenlik duruşlarını karşılaştırmasını zorlaştırır. Şirketler ayrıca risklerini farklı şekilde ölçebilir, dolayısıyla bir paydaşın belirli bir şirketin risk ölçüm stratejisinin kapsamlı veya doğru olup olmadığını bilmesi zor olabilir.
Ancak SEC’in yapmaya çalıştığı şey, halihazırda yürürlükte olanın üzerine inşa etmek veya revize etmektir ve kuruluşlar hazır olmak ve daha güçlü bir siber konumda olmak için halihazırda yaptıklarını geliştirmek için iyi bir şey yapacaktır. önerilen değişiklikler resmi olarak gereksinim haline gelir. Bu, yönetim kurulunuzu neler olabileceği konusunda eğitmeyi ve olay müdahale programınız için yürürlükte olan yazılı politikaları ve prosedürleri gözden geçirmeyi içerir.
yazar hakkında
Avertium’da Acil Tehdit Araştırmacısı olan Portia Cole, en son siber tehditleri, tehdit aktörlerini ve güvenlik açıklarını araştırma konusunda uzmanlaşmıştır. Yetenek Geliştirme ekibinin bir üyesi olarak, siber güvenlik alanına değerli içgörülerle katkıda bulunuyor. Çalışmaları Avertium’un web sitesinde bulunabilir ve kendisine LinkedIn üzerinden ulaşılabilir.