Bu ses otomatik olarak oluşturulmuştur. Geri bildiriminiz varsa lütfen bize bildirin.
Menkul Kıymetler ve Borsa Komisyonu'nun kararının üzerinden üç ay geçti. siber ifşa kuralları yürürlüğe girdi ve bir dizi olay ifşası yaratmak yerine, yalnızca bir damlama ortaya çıktı.
Şirketler, SEC'in 18 Aralık'ta işletmelerin maddi siber güvenlik olayları için başvuruda bulunmalarını zorunlu kılmaya başladığı form olan 12 adet ilk Form 8-K, Madde 1.05 başvurusunu sundu. Bu başvuruların her biri bir “olay”dan söz ediyor ve ikisi dışında tümü faaliyetin veya faaliyetin veya erişim “yetkisiz” idi.
İşletmelerin Madde 1.05 başvurularında kullandığı dil, düzenleyicileri ve yatırımcıları potansiyel riskler konusunda bilgilendirmek için hazırlanmış olsa da, bu sözler aynı zamanda bir şirketin siber saldırıları nasıl tespit ettiği, hafiflettiği, kontrol altına aldığı ve bu saldırılardan nasıl kurtulduğuna da işaret eder.
Siber Güvenlik Dalışı'nın analiz ettiği dosyalar arasında hiçbir işletme, SEC'e yaptıkları başvuruda olayı bir ihlal veya veri ihlali olarak tanımlamadı ve bu muhtemelen tasarımdan kaynaklanıyordu.
“'İhlal' ve 'veri ihlali' gibi kelimelerin çok spesifik hukuki anlamları ve sonuçları vardır ve aynı zamanda kamusal bilinç diyeceğim şey içerisinde de özel bir anlamı vardır” dedi. Travis Brennan, Stradling'in ortağı ve gizlilik ve veri güvenliği uygulamalarının başkanı.
Brennan, “Genel olarak çok yüklü bir terim haline geldi ve bu açıklamalarda yer alan şirketlerin çoğu durumda titizlikle kullanmaktan kaçınacağı bir terim olduğunu düşünüyorum” dedi. “Sadece bir olayın aksine bir ihlal meydana geldiğinde, bu, zarar riskinin birkaç kademe arttığını gösterir.”
Sayılara göre
10
İlk 12 8-K, Madde 1.05 başvurusu arasında yetkisiz faaliyet, erişim veya olaylardan bahseden şirketlerin sayısı.
5
Veri hırsızlığından veya sızmasından bahseden şirketlerin sayısı.
2
Şifrelenmiş verileri veya sistemleri açıklayan şirketlerin sayısı.
SEC, bir “siber güvenlik olayı” olarak tanımlıyor Federal Kayıt“kayıt ettirenin bilgi sistemleri üzerinde veya bunlar aracılığıyla gerçekleştirilen ve tescil ettirenin bilgi sistemlerinin veya burada bulunan herhangi bir bilginin gizliliğini, bütünlüğünü veya kullanılabilirliğini tehlikeye atan yetkisiz bir olay” olarak tanımlanır.
SEC'in tanımı her türlü siber saldırı için bir şemsiye görevi görüyor.
Aşırı paylaşımın sonuçları
İşletmeler, en azından soruşturmanın başlarında, yanıt verme yetenekleri ve olası yasal yükümlülükler hakkındaki şüpheleri sınırlamak için sıklıkla yumuşak bir dil kullanıyor.
Bu her açıklama için geçerli değildir. Şirketlerden beşi veri hırsızlığı veya sızmanın meydana geldiğini söyledi. İki işletme şifrelenmiş veri veya sistemleri tanımladı.
Şirketler siber saldırıları tanımlamak için SEC'in şartlarına güvenirken, birçok işletme de zorunlu kılınanların ötesinde bilgi paylaşıyor.
VF Corp., Hewlett Packard Enterprise, Microsoft Ve Birleşik Sağlık Grubu güvenlik olaylarını açıklayan ve ek ayrıntıları açıklamayı tercih eden şirketler arasında aykırı değerlerdir. Bunlar potansiyel saldırı vektörü, tehdit aktörünün olası kimliği veya motivasyonları, olası veya doğrulanmış veri hırsızlığı ve belirli operasyonlar veya sistemler üzerindeki etkiler hakkında bilgiler içeriyordu.
“SEC, bir şirketin olaya yönelik planlı müdahalesi veya siber güvenlik sistemleri hakkındaki belirli veya teknik bilgileri, eğer şirketin müdahalesini veya olaya müdahalesini engelleyecekse, bu kadar ayrıntılı bir şekilde açıklamasına gerek olmadığı konusunda açıktı.” Andrew Heighington, web kamerası teknolojisi şirketi EarthCam'in CSO'sue-posta yoluyla söyledi.
Ek ayrıntılar, bir kuruluşun bir izinsiz giriş tespit edip etmediğini ve iyi tanımlanmış iyileştirme adımları, kontrol altına alma ve kurtarma ile zorluğa hızlı bir şekilde yanıt verip vermediğini bildirebilir.
Brennan, “Çok fazla ayrıntı paylaşmanın en büyük dezavantajlarından biri, sizi potansiyel olarak taklit saldırı riskine sokmasıdır” dedi.
Ancak işletmelerin, olaylara müdahale veya siber güvenlik risk yönetimi süreçlerini olumlu bir şekilde açıklayarak bunu yönlendirebilecekleri potansiyel güvene karşı tartmaları gerektiğini söyledi.
Brennan, “Nispeten daha fazla ayrıntıyı daha sonra değil, daha erken gördüğümüz durumlarda bunun nedeni, kullanılan belirli saldırı vektörünün bilinen veya yaygın bir vektör olması olabilir” dedi.
Dribs ve drab'lerdeki açıklamalar
SEC kuralları, şirketlerin daha fazla bilgi toplandıkça ek açıklamaları takip etmesi koşuluyla, şirketlere bir siber olayı birkaç ayrıntıyla açıklama konusunda bir miktar hareket alanı bırakıyor.
R Street Institute'un siber güvenlik ve yeni ortaya çıkan tehditler alanında kıdemli araştırmacısı Amy Chang'a göre şirketler, SEC'in bu açıklamalarında daha fazla veri ve analiz paylaştığında hissedarlar ve etkilenen taraflar, şirketin olayı tamamen kolayca önleyip önleyemeyeceğini düşünecek.
Chang, erken dönemde aşırı paylaşımın, paydaşları potansiyel zayıf güvenlik kontrolleri, yanlış yönetilen tespit veya müdahale, üçüncü taraf tedarikçi katılımı veya başka bir neden olasılığını dikkate almaya zorladığını söyledi.
Chang, e-posta yoluyla şunları söyledi: “Şirketlerin mümkün olduğu kadar az ayrıntıyı açığa çıkarmak istemeleri veya olayı daha fazla ayrıntıyı ortaya çıkarmaya devam ederken bu olayı daha geniş bir şekilde sınıflandırmanın bir yolu olması mümkündür.”
Bugüne kadar yapılan bir düzine SEC siber olay açıklaması, kuruluşların raporlama stratejileri hakkında geniş sonuçlara varmaya yetecek kadar kapsamlı değil. Ancak bu başvurular, işletmelerin karşılaştığı zorlukları ve siber saldırıları aşırı eleştirel ve anlayışlı kitlelere anlatırken aldıkları kararları vurguluyor.
Heighington, “SEC'in yeni siber kurallarına uymanın ilk günlerinde şirketlerin, önemli bilinmeyenlerin olabileceği bir olayın sisli ortamında SEC'in maddi siber olay açıklama gerekliliklerini dengelemekle uğraştığını görüyoruz” dedi.
“Birçok durumda şirketler bir olayın meydana geldiğini açıklıyor ancak maddi kapsamı, niteliğini ve yalnızca iş üzerinde değil, aynı zamanda satıcılar, şirketin itibarı ve müşterileri üzerindeki etkisini de ölçmekte zorluk yaşıyorlar.”