YORUM
Jeneratifin ortaya çıkışı Yapay zeka yeni riskleri gün yüzüne çıkarıyor, dünya genelindeki işletmeler ve pazar istikrarı açısından riskleri önemli ölçüde artırıyor. Siber suçların logaritmik büyümesine tepki olarak, rehberlik Ve düzenleyici manzara hızla değişiyor. Tarihsel olarak Amerika Birleşik Devletleri düzenleme yerine çerçeveleri tercih etse de, 2023’te önemli bir düzenleyici gelişme yaşandı: yeni siber güvenlik kurallarının getirilmesi Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından. Halka açık şirketler için bu kurallar Siber güvenlik risk yönetimi, yönetişim ve olayların ifşa edilmesine odaklanın. Yatırımcının korunmasını ve piyasa şeffaflığını artırmak için tasarlanan SEC, halka açık şirketlerin mali sağlığını veya istikrarını etkileyen olayların zamanında ve etkili bir şekilde iletilmesini sağlamayı amaçlamaktadır.
Yeni açıklama kurallarına göre, kayıt yaptıranlar dört gün içinde rapor vermeli herhangi bir siber güvenlik olayı Onlar “maddi bir etki”ye sahip olduğunu belirlediler, bu da şirketin operasyonlarını veya mali durumunu önemli ölçüde etkileyebileceği anlamına geliyor. Bu nedenle şirketlerin, ele geçirilen verilerin türü ve hacmi ile olası ticari, yasal veya düzenleyici etkiler de dahil olmak üzere olayın niteliğini ve kapsamını hızlı bir şekilde değerlendirmesi gerekiyor.
Şirketler bu yeni düzenlemelerle uğraşırken, ihlalleri bildiren ve açıklamalarda bulunan birçok büyük kuruluşun deneyimlerinden derlenecek önemli bilgiler zaten mevcut. İşte üçü:
Clorox
Ağustos 2023’te Clorox ciddi bir siber saldırı yaşadı Şirketin otomatik sipariş işleme sürecini etkiliyor. Bu olay yaygın bir aksamaya neden oldu ve siparişlerin işlenmesinde gecikmelere yol açtı. önemli ürün kıtlığısatışları ve kazançları olumsuz etkiledi. 2023’ün sonunda Clorox, 49 milyon dolar maliyet operasyonel kesintilerden kaynaklanan kayıplar ve soruşturma ve düzeltmeye yardımcı olmak üzere görevlendirilen üçüncü taraflara yapılan ödemeler de dahil olmak üzere siber saldırı nedeniyle. Baş bilgi güvenliği sorumlusu (CISO) aynı zamanda artık şirkette çalışmıyorum. Son raporlar güvenlik denetimlerinin yapıldığını gösteriyor yıllardır işaretlenen sorunlar. Clorox 8-K SEC dosyasında öngörülüyor saldırının mali etkisinin 2024 mali yılında da devam edeceğini söyledi. Şirket, olayın devam eden etkileriyle bağlantılı olarak 50 milyon ila 60 milyon dolar arasında değişen ek maliyetler öngörüyor.
İhtiyatlı Finans
Şubat 2024’te Prudential Financial bir ihlal bildirdirağmen büyük ölçüde sağlam çıktı. Prudential, açıklamalarında SEC kurallarına da uyduancak şirket olayı gönüllü olarak bildirerek ilerlemeye çalıştı maddi bir etki belirlenmeden önce. Prudential, SEC’e yaptığı başvuruda 5 Şubat’ta altyapısına izinsiz erişim tespit ettiğini açıkladı. Bu ihlal, “belirli BT sistemlerinden gelen idari ve kullanıcı verilerini” içeriyordu ve şirketin, çalışan ve yüklenici hesaplarının küçük bir yüzdesi olduğunu söylediği şeyleri etkiledi. O zamandan beri ALPHV fidye yazılımı çetesine atfedilen izinsiz giriş, kişilerin adlarını, adreslerini ve kişisel tanımlanabilir bilgilerini (PII) açığa çıkardı. 36.545 kişi. Prudential’ın SEC’e proaktif bir şekilde başvurma kararı, önemliliğin belirlenmesinden önce ifşa etme yönünde yeni bir eğilimin sinyalini verebilir. önemlilik belirlendikten sonra başka bir başvuru.
Birleşik Sağlık
Son zamanlarda UnitedHealth, yan kuruluşu Change Healthcare’e karşı, milyonlarca hastanın kayıtlarını ihlal eden ve reçetelerin yerine getirilmesini ve talep işlemlerini durma noktasına getiren büyük bir saldırıya uğradı. Birleşik Sağlık Saldırıyı açıkladı 21 Şubat’ta, önemliliğini belirlemeden veya kaç kişinin etkilendiğini belirtmeden başlangıçta bunu bir ulus devlete bağladı. UnitedHealth, operasyonları eski haline getirmeye odaklandığını bildirdi. Olay, tahminen 30 milyon dezavantajlı ve sigortasız insan da dahil olmak üzere milyonlarca Amerikalıya hizmet veren doktorları ve sağlık tesislerini ciddi şekilde etkiledi. Şirket, saldırganların fidye isteyip istemediğini açıklamadı. Ancak çevrimiçi bir hacker forumunda bir gönderi UnitedHealth’in 22 milyon dolar ödediğini iddia etti sistemlerine yeniden erişim sağlamak için. Birleşik Sağlık o zamandan beri bir değişiklik sundu ilk 8-K’ye. Bugün, şirket En az 24 davayla karşı karşıyayız ve kapsamlı mali yansımaları. UnitedHealth geçtiğimiz günlerde Change Healthcare’e yönelik siber saldırının şirkete 1,6 milyar dolara kadar mal olabileceğini tahmin ettiğini duyurdu. bazı analistler yetersiz ifade olduğunu savunuyor. Saldırının açığa çıkmasından bu yana UnitedHealth’in hisse senedi fiyatı neredeyse %15 düştü.
Dersler öğrenildi
Yukarıdaki vakaların her biri daha ileri çalışmalar için rehberlik sunmaktadır. Ancak kurumsal risk yönetimi için şu anda üç erken ders ortaya çıkıyor:
-
Göremediğiniz şeyi açıklayamazsınız. Ancak şirketlerin artık ihlallerin ayrıntılarını açıklaması gerektiğinden, kasıtlı körlük işe yarayan bir savunma değil. Bu, şirketlerin tüm dijital varlıklarına ilişkin sürekli görünürlüğe sahip olması, yanlış yapılandırmaları ele almaya öncelik vermesi ve güvenlik denetimlerinden elde edilen bulguları ele alması gerektiği anlamına gelir. Yöneticiler dijital varlıkları üzerinde kontrole sahip olmalı ve bunları kullanmaktan fayda sağlamalıdır. düşmanca ve açıklama düşüncesi.
-
Bu kritik şeffaflığı koruyun ve temelleri doğru yapın. Şirketler her zaman yanlış değerlendirme yapma endişesi taşırlar. Ancak muhafazakar ve proaktif politikaların ve teknolojik önlemlerin benimsenmesi birçok endişenin azaltılmasına yardımcı olabilir. Özellikle şirketler, açıklamaları mümkün olduğunca daha ayrıntılı şekilde revize etmeye hazır olmalıdır.
-
Paylaşıma öncelik verin. Bilgi paylaşımı kendini kanıtladı tüm sektörler için değer. Küresel pazar, ihlallere ve başarılı stratejilere ilişkin görüş alışverişinden yararlanıyor. Bu fikir alışverişi yalnızca güvenlik uygulamalarını geliştirmekle kalmıyor, aynı zamanda siber suçlarla mücadelede herkesin yararına olacak şekilde en iyi uygulamaların benimsenmesini hızlandıran işbirlikçi bir ortamı da teşvik ediyor.