Кибер рискът нараства . . . и този път е лично
За киберлидерите киберрисковете стават персонални.
През 2023 година новите правила на Съединени американски щати по отношение на разкриването на нарушавания на сигурността на данните оказаха по-голям напън върху чиновниците по сигурността на фирмите — през по-специално, основните чиновници по сигурността на информацията (CISO) – тъкмо когато организациите и съдилищата алармираха, че обособени лица могат да бъдат държани виновни за произшествия.
Миналата година да вземем за пример някогашният основен чиновник по сигурността на Uber, Джо Съливан, беше наказан от американските управляващи на три години пробация и санкция от 50 000 $ за прикриване на приключване на данни от 2016 година Той е бил известен от хакери за пропуск в сигурността, който разкрива персоналната информация на близо 60 милиона водачи и пасажери в платформата за предложение на транспорти. Това беше първото наказателно гонене на изпълнителен шеф на компания за обработката на нарушаване на сигурността на данните.
След това, единствено няколко месеца по-късно, Комисията по скъпите бумаги и тържищата на Съединени американски щати упрекна CISO на SolarWinds, Тимъти Браун, за машинация и пропуски във вътрешния надзор, откакто ИТ компанията беше пробита от съветски хакери като част от шпионска акция. Регулаторът упрекна както компанията, по този начин и Браун, че подвеждат вложителите, като не разкриват „ известни опасности “ и не показват тъкмо своите ограничения за киберсигурност.
„ Ако говорите в общността на CISO, всеки CISO, който познавам, е угрижен за това “, споделя Вагнер Насименто, вицепрезидент и CISO в производителя на принадлежности за дизайн на чипове Synopsys.
В резултат на това някои чиновници на компанията избират да не служат като CISO или да не вземат участие в комисиите за откриване на информация на своите компании, с цел да избегнат поемането на отговорността и риска сами. Това е развиване, което изостря казуса с дефицита на гении в функциите в киберсигурността.
Nascimento обаче вижда регулаторните промени като опция, която CISO би трябвало да прегърнат, като метод за основаване на по-активна и авторитетна роля в корпоративното ръководство.
„ Ние се борим за това място отдавна “, твърди той. „ Сега имате опция да седнете на масата, да говорите с основния изпълнителен шеф и да бъдете част от диалога. “
Ако говорите в общността на CISO, всеки CISO, който познавам, е угрижен за това
Вагнер Насименто, вицепрезидент и CISO, производител на принадлежности за дизайн на чипове SynopsysКиберлидерите стават все по-важни, защото бизнесите претърпяха цифрови трансформации и се изправиха пред по-широк набор от хакерски закани. Съвсем неотдавна прекосяването към отдалечена работа и нарасналата опасност от кибервойна на фона на засиленото геополитическо напрежение – по-специално към спора Русия-Украйна – покачиха още повече ролята на вътрешната сигурност.
В тандем, регулаторната тежест броят на експертите по киберсигурност е повишен. Новите правила на SEC изискват обществените компании да разкриват в регулаторни документи всеки случай, считан за „ значителен “ в границите на прозорец от четири работни дни, откакто е открито, че е подобен. Всяка обществена компания би трябвало също по този начин да рапортува годишно за това по какъв начин ръководи и ръководи вътрешно рисковете за киберсигурността.
Тези правила обезпечават бистрота на вложителите, могат да оказват помощ на държавните организации да поддържат по-добре фирмите и даже могат да разкрият модели в кибернетичното пространство офанзиви и вектори на офанзива. „ Това е трагична стъпка към по-голяма бистрота и отчетност и доста ще усъвършенства готовността ни за киберсигурност като нация “, счита Амит Йоран, основен изпълнителен шеф на Tenable, компания за ръководство на излагането на киберсигурност.
Някаква киберсигурност специалистите обаче означават, че информацията, която кибер водачите разкриват, евентуално е непълна и може да даде основни детайлности за уязвимостите на техните компании пред евентуални кибер нападатели.
В някои случаи новите разпореждания може даже да се употребяват за увеличение на натиска върху жертвите да платят откуп.
Например, една тайфа за рансъмуер, известна като ALPHV/BlackCat, рапортува една от личните си жертви, MeridianLink, на SEC за неразкриване, откакто софтуерната компания отхвърли да заплати. След това ALPHV/BlackCat заплаши да разгласява компрометираните данни, в случай че компанията не заплати в границите на 24 часа.
MeridianLink издаде изказване, в което се споделя, че не е разкрило доказателства за неоторизиран достъп до нейните системи.
Неприятностите на Gillian TettBoardroom с рансъмуера се ускоряватСледователно по няколко метода новите регулации покачват правни опасности за обществените компании: излагането им на правосъдни каузи за нарушавания на поверителността, както и увеличение на спектъра от такси и финансови наказания за техните обособени CISO.
„ Днес има огромна угриженост в общността за киберсигурност ... могат да бъдат последици за неща, които считат, че към момента са отвън техния надзор “, споделя Хю Томпсън, изпълнителен ръководител на конференцията за киберсигурност на RSA и ръководещ сътрудник в групата за рисков капитал Crosspoint Capital Partners.
Отговори на новия разпоредбите са разнообразни, съгласно специалисти по киберсигурност. Компаниите са възприели разнообразни прагове за „ основни “ кибер произшествия и доста от тях не са били прекомерно подробни в своите разкрития или са ги попречили мощно.
„ Въпрос, предизвикващ същинска угриженост за CISO, е всяка делта [или разновидност ] сред предходни изказвания по отношение на тяхната позиция на сигурност “, споделя Игор Волович, вицепрезидент на тактиката за сходство в групата за сходство в киберсигурността Qmulos. Той предизвестява, че в случай че фирмите настояват, че са киберустойчиви на трети страни, когато са знаели за пропуски в сигурността, това може да се смята за корпоративно корист или машинация на акционерите.
Всички ръководители през днешния ден – освен CISO – би трябвало да имат известно равнище на подготвеност по киберсигурност
Тим Гривсън, старши вицепрезидент, кибер риск управническа група BitsightЕкспертите поучават кибер водачите да организират постоянни одити на сигурността и да начертаят ясни проекти за реагиране при произшествия, които съгласуват техните юридически отдели, отдели по сигурността, връзки с обществеността и финанси.
Томпсън споделя, че действието е се вземат. Той „ вижда по-значителни вложения “ от кибер водачи в „ рационализиране на процесите за ръководство на риска “.
Някои се пробват да дефинират авансово какво би се смятало за „ материал “, в случай че част от бизнеса им бъде обиден от хакерска атака, и организират „ настолни извършения “ [дискусионни сесии за оценка].
Но Вивек Джетли, изпълнителен вицепрезидент и началник на анализите в компанията за разбор на данни EXL, прибавя, че CISO „ би трябвало да документират решенията, даже и най-незначителните, и да са подготвени да ги пазят освен вътрешно, само че към регулаторите и инспекторите ”.
Nascimento приканва фирмите да разполагат с протоколи, когато има противоречие по отношение на това какво съставлява съществеността. В някои случаи „ за юриста това може да не е значително, за CISO е “, изяснява той, „ Когато [това] се случи, какъв е пътят? “
Източник: ft.com
