За киберлидерите киберрисковете стават лични.
През 2023 г. новите правила на САЩ относно разкриването на нарушения на сигурността на данните оказаха по-голям натиск върху служителите по сигурността на компаниите — през по-специално, главните служители по сигурността на информацията (CISO) – точно когато агенциите и съдилищата сигнализираха, че отделни лица могат да бъдат държани отговорни за инциденти.
Миналата година например бившият главен служител по сигурността на Uber, Джо Съливан, беше осъден от американските власти на три години пробация и глоба от 50 000 долара за прикриване на изтичане на данни от 2016 г. Той е бил уведомен от хакери за пропуск в сигурността, който разкрива личната информация на близо 60 милиона шофьори и пътници в платформата за предлагане на превози. Това беше първото наказателно преследване на изпълнителен директор на компания за обработката на нарушение на сигурността на данните.
След това, само няколко месеца по-късно, Комисията по ценните книжа и борсите на САЩ обвини CISO на SolarWinds, Тимъти Браун, за измама и пропуски във вътрешния контрол, след като ИТ компанията беше пробита от руски хакери като част от шпионска кампания. Регулаторът обвини както компанията, така и Браун, че подвеждат инвеститорите, като не разкриват „известни рискове“ и не представят точно своите мерки за киберсигурност.
„Ако говорите в общността на CISO, всеки CISO, който познавам, е загрижен за това“, казва Вагнер Насименто, вицепрезидент и CISO в производителя на инструменти за дизайн на чипове Synopsys.
В резултат на това някои служители на компанията избират да не служат като CISO или да не участват в комисиите за разкриване на информация на своите компании , за да избегнат поемането на отговорността и риска сами. Това е развитие, което изостря проблема с недостига на таланти в ролите в киберсигурността.
Nascimento обаче вижда регулаторните промени като възможност, която CISO трябва да прегърнат, като начин за създаване на по-активна и влиятелна роля в корпоративното управление.
„Ние се борим за това място от дълго време“, твърди той. „Сега имате възможност да седнете на масата, да говорите с главния изпълнителен директор и да бъдете част от разговора.“
Ако говорите в общността на CISO, всеки CISO, който познавам, е загрижен за това
Вагнер Насименто, вицепрезидент и CISO, производител на инструменти за дизайн на чипове SynopsysКиберлидерите стават все по-важни, тъй като бизнесите претърпяха цифрови трансформации и се изправиха пред по-широк набор от хакерски заплахи. Съвсем наскоро преминаването към дистанционна работа и повишената заплаха от кибервойна на фона на засиленото геополитическо напрежение – по-специално около конфликта Русия-Украйна – повишиха още повече ролята на вътрешната сигурност.
В тандем, регулаторната тежест броят на професионалистите по киберсигурност е нараснал. Новите правила на SEC изискват публичните компании да разкриват в регулаторни документи всеки инцидент, считан за „съществен“ в рамките на прозорец от четири работни дни, след като е установено, че е такъв. Всяка публична компания трябва също така да докладва ежегодно за това как управлява и управлява вътрешно рисковете за киберсигурността.
Тези правила осигуряват прозрачност на инвеститорите, могат да помогнат на правителствените агенции да подкрепят по-добре компаниите и дори могат да разкрият модели в кибернетичното пространство атаки и вектори на атака. „Това е драматична стъпка към по-голяма прозрачност и отчетност и значително ще подобри готовността ни за киберсигурност като нация“, смята Амит Йоран, главен изпълнителен директор на Tenable, компания за управление на излагането на киберсигурност.
Някаква киберсигурност експертите обаче отбелязват, че информацията, която кибер лидерите разкриват, вероятно е непълна и може да предостави ключови подробности за уязвимостите на техните компании пред потенциални кибер нападатели.
В някои случаи новите разпоредби може дори да се използват за увеличаване на натиска върху жертвите да платят откуп.
Например, една банда за рансъмуер, известна като ALPHV/BlackCat, докладва една от собствените си жертви, MeridianLink, на SEC за неразкриване, след като софтуерната компания отказа да плати. След това ALPHV/BlackCat заплаши да публикува компрометираните данни, ако компанията не плати в рамките на 24 часа.
MeridianLink издаде изявление, в което се казва, че не е открило доказателства за неоторизиран достъп до нейните системи.
Неприятностите на Gillian TettBoardroom с рансъмуера се засилватСледователно по няколко начина новите регулации повишават правни рискове за публичните компании: излагането им на съдебни дела за нарушения на поверителността, както и увеличаване на спектъра от такси и финансови санкции за техните отделни CISO.
„Днес има голяма загриженост в общността за киберсигурност . . . могат да бъдат последствия за неща, които смятат, че все още са извън техния контрол“, казва Хю Томпсън, изпълнителен председател на конференцията за киберсигурност на RSA и управляващ партньор в групата за рисков капитал Crosspoint Capital Partners.
Отговори на новия правилата са различни, според експерти по киберсигурност. Компаниите са възприели различни прагове за „съществени“ кибер инциденти и много от тях не са били твърде подробни в своите разкрития или са ги възпрепятствали силно.
„Въпрос, пораждащ истинска загриженост за CISO, е всяка делта [или вариация ] между предишни изявления относно тяхната позиция на сигурност“, казва Игор Волович, вицепрезидент на стратегията за съответствие в групата за съответствие в киберсигурността Qmulos. Той предупреждава, че ако компаниите твърдят, че са киберустойчиви на трети страни, когато са знаели за пропуски в сигурността, това може да се счита за корпоративно злоупотреба или измама на акционерите.
Всички ръководители днес – не само CISO – трябва да притежават известно ниво на компетентност по киберсигурност
Тим Гривсън, старши вицепрезидент, кибер риск управленска група Bitsight
Експертите съветват кибер лидерите да провеждат редовни одити на сигурността и да начертаят ясни планове за реагиране при инциденти, които съгласуват техните юридически отдели, отдели по сигурността, връзки с обществеността и финанси.
Томпсън казва, че действието е се вземат. Той „вижда по-значителни инвестиции“ от кибер лидери в „усъвършенстване на процесите за управление на риска“.
Някои се опитват да определят предварително какво би се считало за „материал“, ако част от бизнеса им бъде засегнат от кибератака, и провеждат „настолни упражнения“ [дискусионни сесии за оценка].
Но Вивек Джетли, изпълнителен вицепрезидент и ръководител на анализите в компанията за анализ на данни EXL, добавя, че CISO „трябва да документират решенията, дори и най-незначителните, и да са готови да ги защитават не само вътрешно, но към регулаторите и инспекторите”.
Nascimento призовава компаниите да разполагат с протоколи, когато има несъгласие относно това какво представлява съществеността. В някои случаи „за адвоката това може да не е съществено, за CISO е“, обяснява той, „Когато [това] се случи, какъв е пътят?“
