SEC Cybersecurity Rule rejser spørgsmål

Genudgivet af Platon

Abonnenter: 0

SEC's nye cybersikkerhed regere er designet til at beskytte investorer og sikre, at virksomheder tager sikkerhed seriøst. Men det skaber lige så mange spørgsmål, som det besvarer.

Offentlige virksomheder skal indberette væsentlig cyber hændelser inden for fire dage. De skal også beskrive dens indvirkning, herunder om data blev offentliggjort, og de skridt, de tog for at mindske risikoen. Cybersikkerhedsstyringsprocesser skal oplyses i årsrapporter.

SEI sfære direktør for cybersikkerhed Mike Lefebvre sagde regulatorer er nødt til at tage skridt til at hjælpe virksomheder, da de står over for stadig mere sofistikerede angreb. Det er et spil mange vil tabe uden hjælp.

Cybersikkerhedstrin bevæbnet af kriminelle

Men enhver regulering skal gennemtænkes nøje. Cyberkriminelle bevæbner regler som trusselstaktik. En anmeldte et offer til SEC for manglende overholdelse som en del af dets afpresningskampagne.

"De fortæller om deres ofre," sagde Lefebvre. ”Her laver vi en regulering, der har givet trusselsaktører endnu et løftestangspunkt. Vi er nødt til at finde ud af, hvordan vi kan være smarte med det, vi laver fra et regulatorisk synspunkt."

Reglen er vag i definitionen. Hvad er et "væsentligt" brud? Lefebvre sagde, at det er en gråzone. Virksomheder rapporterer måske ikke af ren uvidenhed eller for at opretholde plausibel benægtelse. Mange vil ikke være i stand til at definere "materiale".

Hæver cybersikkerhedsbølgen for alle både

Krav om strategioplysning i årsrapporter giver investorer mulighed for at se, hvor seriøst organisationer tager cybersikkerhed. Det tvinger nogle til at være mere dedikerede og gennemsigtige i deres tilgang.

SEI Spheres Mike Lefebvre sagde, at SECs nye cybersikkerhedsregel er ufuldkommen, men er et skridt i den rigtige retning.

Vil den åbenhed hæve sikkerhedsniveauet for alle både, da virksomheder bliver tvunget til at følge med Joneses? Lefebvre advarer om, at reglerne kræver det absolutte minimum. De kan holde skibet flydende, men garanterer lidt ud over det. Alligevel er nettoresultatet fremskridt.

"Jeg tror, det fremtvinger et stigende tidevand," sagde han. "Det tvinger et niveau af modenhed (fra) organisationer i, hvordan de tænker om cyberrisiko. De må tage fat på det og ikke forvente, at det er denne esoteriske ting, der aldrig kunne ske for dem."

Vil kravet om at offentliggøre cybersikkerhedsstrategier få kriminelle til at lede efter den utætte båd? Det mener Lefebvre ikke. Han sagde, at virksomheder skal beskrive deres overordnede tilgang, men ikke de grundlæggende ingredienser.

Hvorfor tredjepartsforhold betyder noget

SEI Sphere er en reguleret finansiel institution og en administreret tjenesteudbyder. Lefebvre sagde, at det giver hans virksomhed et unikt perspektiv og en høj standard, der giver dem mulighed for at levere sikkerhed i virksomhedskvalitet til kunder i alle størrelser. Ligesom virksomheder bruger advokater og revisorer på grund af vigtigheden af disse opgaver, bør de også bruge tredjeparts fagfolk.

"Jeg bruger en revisor til mine skatter, fordi omkostningerne ved at få det gjort rigtigt langt opvejer risikoen for at gøre det forkert," sagde han. “Det er ikke anderledes med cyber; lad os betale på forhånd. Lad os investere nu for at få det gjort rigtigt i stedet for at gøre det forkert, for når vi har haft en fiasko, er vi nødt til at rette det, der er advokatsalærerne og brandets omdømme."

"I sidste ende er data på spil. Det er personligt. Vi taler om organisationer inden for sundhed og finans. Uanset hvilken branche du er en del af, er dine data en del af dette økosystem, der bliver holdt som gidsler. Alle burde føle sig tvunget til at løse dette, fordi vores personlige data er i fare.”

Fire dage er måske ikke nok tid

Er fire hverdage nok tid til at rapportere et væsentligt brud? Lefebvre sagde, at det er spørgsmålet om 1 million dollars. Det er svært at rapportere en brand, mens du bekæmper den. Hvilke systemer er påvirket? Hvilke forretningsenheder er involveret? Hvornår skete det? Hvordan reagerer den kriminelle på din indsats?

"Der er mange kokke i køkkenet under en hændelse," sagde Lefebvre. "Hele tiden er der en aktiv modstander i den anden ende af tastaturet, der manipulerer og arbejder i låst takt med det, du laver. Så midt i al den kulisse er det lidt af et cirkus. Og vi forsøger at finde ud af, hvordan vi positionerer os korrekt, ikke for at skadesløse os selv, for ikke at fortælle vores hånd til angriberen, at vi forstår, at vi bliver angrebet?

Der er stor risiko for virksomheder, der rapporterer. Mens MTTR (mean time to repair) er en ofte citeret statistik, der bruges til at sammenligne virksomheders effektivitet med hensyn til at håndtere brud på cybersikkerheden, fortæller rapportering af et brud kriminelle, at du er på vej til dem.

"Angribere kan lure i månedsvis. Fortæl SEC, de ved det, og træk stiften eller ændre taktik,” sagde Lefebvre. "Der er en reel balancegang, som vi skal gøre her mellem at forstå behovet for at beskytte investorer og behovet for at beskytte organisationen. Men vi spiller med en modstander, der ikke spillede efter reglerne."

AI – det gode og det dårlige

Lefebvre sagde, at AI bringer både spænding og udfordringer. Til det positive er det en kurateret bibliotekar, der kan forbinde prikkerne på nye og spændende måder. Til gengæld forbedrer det kvaliteten af cyberangreb ved at fjerne dårlig grammatik og andre afslørende tegn på infiltration. Alligevel, som med enhver disruptiv teknologi, mener Lefebvre, at vi skal omfavne den, for hvis vi ikke gør det, vil den anden side det, og vi kommer bagud.

Et andet cybersikkerhedsaspekt, der skal ændres, er den tankegang, som innovatører bringer i starten. Datalogistuderende bedømmes på kode, der virker, uanset om den er sikker eller ej. Han sagde, at det er derfor, sikkerhed altid har været en eftertanke.

"Men vi bliver bedre," indrømmede Lefebvre. "Det stemmer overens med hele skiftet af softwareudvikling og involvering af sikkerhed tidligere i udviklingsprocessen. Det har altid været at købe teknologien, implementere den, bygge den, forbinde den, og hvad har vi så gjort for at afsløre os selv, som vi ikke engang tænkte på?

"Mit håb er, at der er en fremtid, hvor det ikke kun er teknologi og sikkerhed, der er adskilte, men at sikker teknologi er ét ord, og at enhver teknologi bliver tænkt over på en sikker måde, uanset hvilken risiko, der bringes på den organisation."

Tony er en lang tid bidragyder i fintech og alt-fi rum. En to gange LendIt Journalist of the Year nomineret og vinder i 2018, Tony har skrevet mere end 2,000 originale artikler om blockchain, peer-to-peer-udlån, crowdfunding og nye teknologier i løbet af de sidste syv år. Han har været vært for paneler på LendIt, CfPA Summit og DECENT's Unchained, en blockchain-udstilling i Hong Kong. Send en e-mail til Tony her.

.pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-radius: 5% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-size: 24px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { font-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-weight: normal !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a:hover { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-user_url-profile-data { color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { text-align: center !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-recent-posts-title { border-bottom-style: dotted !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { border-style: solid !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { color: #3c434a !important; }