SEC’in siber güvenlik olayları konusunda daha fazla şeffaflık gerektiren yeni siber güvenlik risk yönetimi, stratejisi, yönetişimi ve olay açıklama kuralları 18 Aralık 2023’ten beri yürürlüktedir. Siber güvenlik korumaları, görünürlüğü ve olaylara müdahale hazırlıkları konusunda halihazırda endişeleri olan işletmeler için SEC’in yeni olay raporlama kurallarına uymak ciddi bir zorluk olabilir. Bu kuralların, halka açık şirketlerin yanı sıra özel işletmeleri de etkilemesi, her şekil ve büyüklükteki kuruluşların uygulamalarını incelemesi ve potansiyel olarak revize etmesi çağrısında bulunuyor.
SEC’in yeni kurallarına, bunların sonuçlarına ve işletmelerin raporlamayı kolaylaştırmak ve bu değişime başarılı bir şekilde uyum sağlamak için atabileceği adımlara daha derinlemesine bir göz atalım.
Yeni kurallar
SEC’in yeni siber güvenlik kurallarına göre, halka açık şirketler herhangi bir maddi olayı (makul bir yatırımcının muhtemelen önemli olarak değerlendireceği bir olay olarak tanımlanır) farkına vardıktan sonraki dört iş günü içinde bildirmek zorundadır. Daha önce açıklanmayan bir dizi olay, ortak bir saldırı kaynağı veya mekanizmasına sahip olaylar gibi önemli bir siber güvenlik sorununa işaret eden ortak bir faktörü paylaşıyorsa şirketlerin artık bir rapor sunması gerekiyor.
Halka açık şirketlerin artık olayları SEC Form 8-K’da açıklaması gerekiyor. Bu, siber güvenlik riski, yönetimi, stratejisi ve yönetişim uygulamalarına ilişkin bilgi materyallerinin yıllık Form 10-K raporlamasına ek olarak verilmektedir. Yeni olay raporlama kuralları 18 Aralık 2023’te yürürlüğe girerken, daha küçük raporlama şirketlerinin olayları açıklamaya başlamadan önce ek 180 günü daha bulunuyor.
Özel şirketlerin de bu kuralları anlaması gerekiyor
SEC, siber güvenlik olay raporlama uygulamalarında daha fazla şeffaflık ve tutarlılık sağlamaya odaklanmıştır. Bu, kamu kuruluşlarının tedarik zincirlerinde yer alan özel şirketlerin de bu kuralları anlamasını ve siber güvenlik uygulamalarını buna göre ayarlamasını sağlamayı içerir.
Halka açık şirketler olay açıklamalarından doğrudan sorumlu olacak olsa da SEC, tedarik zincirlerindeki özel şirketleri sorumlu tutma konusundaki istekliliğini gösterdi. 2023 yılında özel hukuk firması Covington & Burling’e yapılan siber saldırıyı içeren bir davada SEC, etkilenen müşterilerin adlarını talep etti ve bu da dava kararında bu müşterilerin çoğunun adının verilmesine neden oldu. Başka bir örnekte SEC, özel olarak tutulan Monolith Resources’ı ihbarcı koruma kurallarını ihlal etmekle suçladı.
SEC, siber güvenlik kurallarını hem kamu hem de özel sektörden ihlal edenlere uygulayabilir ve uygulayacaktır; bu, halka açık şirket tedarik zincirlerindeki özel şirketlerin şeffaf ve zamanında olay raporlamaya hazırlanmaları gerektiği anlamına gelir.
Yeni SEC siber kurallarına uyum sağlama
Hem kamu hem de özel işletmelerdeki siber güvenlik ekiplerinin, olay raporlamasını dört iş günü içinde mümkün kılmak için veri toplama uygulamalarını ve yeteneklerini temelden dönüştürmeleri gerekebilir. Bununla birlikte, bu ekiplere liderlik eden CISO’ların, mümkün olan tüm siber güvenlik olayı verilerini ve bağlamını şirketlerinin uyumluluk ve finans ekiplerine sağlaması gerekir; bu ekipler, olayların “önemli” olup olmadığını belirleyecek ve SEC’e buna göre raporlar sunacaktır.
Olay raporlamayı kolaylaştırmak ve hızlandırmak için siber güvenlik liderliğinin çeşitli stratejik operasyonel değişiklikler yapması gerekiyor. İlk olarak, olay müdahale ekipleri, harekete geçmeye hazır, bütünsel kapsamlı bir yönetişim işlevsellik grubu içermelidir. Bu, siber güvenlik, hukuk danışmanı ve yakın işbirliği içinde çalışan yatırımcı ilişkileri ekipleri tarafından desteklenen, SEC ve piyasa ile iletişim kurma yetkisine sahip üyelerin dahil edilmesi anlamına gelir.
CISO’lar ayrıca, yöntemleri geliştirmek veya daha zamanında raporlama sağlayan yeni veri toplama çözümleri sunmak için olay müdahale veri toplama ve adli analiz süreçlerinde de revizyonlar araştırmalıdır. Siber güvenlik ekipleri, bir olayın ardından erken ve sürekli raporlama yapmalıdır. Yinelemeli raporlamayı destekleyen doğru prosedürler, raporlama hızında önemli bir fark yaratır. Risk yönetimi süreçlerini güncellemek de diğer bir kritik uygulamadır ve aynı zamanda risk değerlendirme programı uygulamalarını raporlamak için yıllık form 10-K gerekliliklerini de göz önünde bulundurur. Etkin risk değerlendirmesi ve yönetiminin gösterilmesi ve detaylandırılması, hem yatırımcıları hem de SEC’i rahatlatmaya yardımcı olacaktır.
Son olarak, saldırıları (yeterince güvenli olmayan IoT cihazları yoluyla gelenler gibi) kaynaklarına hızlı bir şekilde işaretleyip takip edebilen otomatik anormallik tespiti ve politika yönetimi, hem doğru ve zamanında olay raporlama hem de siber güvenliğin kendisi açısından çok değerlidir. Aktif adli analiz, bir olaya karışan cihazları ve bağlantıları belirlemek için topoloji raporlamasını içermelidir. Akış analizi, güvenliği ihlal edilmiş cihaz iletişimlerinde kullanılan protokollerin belirlenmesi ve aktarılan verilerin izlenmesi açısından da değerlidir ve paket yakalama, saldırganların teknikleri hakkında bilgi sağlayabilir. Siber güvenlik ekipleri ayrıca çalışanların veya yazılım kaynaklı cihaz değişikliklerinin, keşfedilen güvenlik açıklarının ve hafifletme etkinliklerinin tam geçmişini de içeren cihaz zaman çizelgelerini takip etme araçlarına da sahip olmalıdır.
Siber güvenlik etkinliğini artırmak için SEC’in gerekliliklerini kullanın
SEC’in siber kurallarının artık talep ettiği şeffaflık, birçok işletmeyi siber güvenlik uygulamalarını optimize etmeye ve olay raporlama yeteneklerinin hızını ve doğruluğunu artırmaya zorlayacak.
Saldırılar daha karmaşık ve sonuç verici hale geldikçe, olaylara ilişkin net bir görünürlük sağlamak, hem SEC uyumluluğu hem de pazar başarısı açısından yalnızca ileriye dönük olarak daha fazla kazanç sağlayacaktır.