SEC-i küberturvalisuse reegel tekitab küsimusi

SEC-i uus küberturvalisus välistada eesmärk on kaitsta investoreid ja tagada, et ettevõtted võtaksid turvalisust tõsiselt. Kuid see tekitab sama palju küsimusi, kui annab vastuseid.

Avalik-õiguslikud ettevõtted peavad teatama materjalidest küber intsidentide nelja päeva jooksul. Samuti peavad nad kirjeldama selle mõju, sealhulgas seda, kas andmed avalikustati, ja meetmeid, mida nad riski maandamiseks võtsid. Küberturvalisuse haldusprotsessid tuleb avalikustada aastaaruannetes.

SEI sfäär küberturvalisuse direktor Mike Lefebvre ütlesid, et reguleerivad asutused peavad astuma samme ettevõtete abistamiseks, kuna nad seisavad silmitsi üha keerukamate rünnakutega. See on mäng, mille paljud ilma abita kaotavad.

Kurjategijate relvastatud küberjulgeolekumeetmed

Kuid kõik määrused tuleb hoolikalt läbi mõelda. Küberkurjategijad relvastavad eeskirju ohutaktikana. Üks neist teatas SEC-ile ohvrist, kes oli osa oma väljapressimiskampaaniast eeskirjade eiramisest.

"Nad räägivad oma ohvritest," ütles Lefebvre. „Siin me teeme määruse, mis annab ohus osalejatele veel ühe mõjutuspunkti. Peame välja mõtlema, kuidas olla regulatiivsest vaatenurgast oma tegemistes targad.

Reegel on määratluses ebamäärane. Mis on "oluline" rikkumine? Lefebvre ütles, et see on hall ala. Ettevõtted ei pruugi aru anda puhtast teadmatusest või usutava eitatavuse säilitamiseks. Paljud ei suuda "materjali" määratleda.

Kõigi paatide küberturvalisuse tõus

Strateegia avalikustamise nõudmine aastaaruannetes võimaldab investoritel näha, kui tõsiselt organisatsioonid küberturvalisust võtavad. See sunnib mõningaid olema oma lähenemisviisis pühendunud ja läbipaistvam.

Kas see avatus tõstab kõigi paatide turvataset, kuna ettevõtted on sunnitud Jonesesiga sammu pidama? Lefebvre hoiatab, et määrused nõuavad miinimumi. Nad võivad laeva vee peal hoida, kuid tagavad sellest vähe. Sellegipoolest on puhas tulemus progress.

"Ma usun, et see sunnib tõusulainet," ütles ta. „See sunnib organisatsioonidele küberriskist mõtlemises teatud küpsust. Nad peavad sellega tegelema ja mitte eeldama, et see on esoteeriline asi, mis nendega kunagi juhtuda ei saaks.

Kas küberturvalisuse strateegiate avaldamise nõue paneb kurjategijad lekkivat paati otsima? Lefebvre nii ei arva. Ta ütles, et ettevõtted peavad kirjeldama oma üldist lähenemisviisi, kuid mitte põhikomponente.

Miks suhted kolmanda osapoolega on olulised?

SEI Sphere on reguleeritud finantsasutus ja juhitud teenusepakkuja. Lefebvre ütles, et see annab tema ettevõttele ainulaadse perspektiivi ja kõrge standardi, mis võimaldab neil pakkuda ettevõtte tasemel turvalisust igas suuruses klientidele. Nii nagu ettevõtted kasutavad juriste ja raamatupidajaid nende ülesannete tähtsuse tõttu, peaksid nad kasutama ka kolmandatest isikutest professionaale.

"Ma kasutan oma maksude maksmiseks raamatupidajat, sest selle õigesti tegemise kulud kaaluvad palju üles valesti tegemise riski," ütles ta. „Küberiga pole teisiti; maksame ette. Investeerigem nüüd selle õigeks tegemiseks, selle asemel et teha seda valesti, sest kui meil on ebaõnnestunud, peame selle parandama, advokaaditasud ja kaubamärgi maine.

"Päeva lõpuks on kaalul andmed. See on isiklik. Me räägime tervishoiu- ja rahandusorganisatsioonidest. Ükskõik, millisesse tööstusharu te kuulute, on teie andmed osa sellest pantvangis olevast ökosüsteemist. Igaüks peaks tundma sunnitud seda probleemi lahendama, sest meie isikuandmed on ohus.

Neli päeva ei pruugi olla piisav aeg

Kas neljast tööpäevast piisab olulisest rikkumisest teatamiseks? Lefebvre ütles, et see on miljoni dollari küsimus. Põlenguga võitlemise ajal on raske tulekahjust teatada. Milliseid süsteeme see mõjutab? Millised äriüksused on kaasatud? Millal see juhtus? Kuidas kurjategija teie pingutustele reageerib?

"Intsidendi ajal on köögis palju kokkasid," ütles Lefebvre. "Kogu selle aja on klaviatuuri teises otsas aktiivne vastane, kes manipuleerib ja töötab teie tegemistega sammus. Nii et kogu selle tausta taustal on see natuke tsirkus. Ja me püüame välja mõelda, kuidas me end õigesti positsioneerime, mitte end hüvitada, mitte öelda ründajale kätt, et mõistame, et meid rünnatakse?

Ettevõtetel, kes arutavad, on suur oht. Kui MTTR (keskmine parandamise aeg) on ​​sageli viidatud statistika, mida kasutatakse ettevõtete tõhususe võrdlemiseks küberturvalisuse rikkumistega tegelemisel, siis rikkumisest teatamine annab kurjategijatele teada, et olete nendega toime tulnud.

"Ründajad võivad varitseda kuid. Ütlete SEC-ile, nad teavad ja tõmbavad nööpnõela või muudate taktikat, "ütles Lefebvre. "Me peame siin tegema tõelise tasakaalu, mille eesmärk on mõista investorite kaitsmise vajadust ja organisatsiooni kaitsta. Kuid me mängime vastasega, kes ei järginud reegleid.

AI – hea ja halb

Lefebvre ütles, et AI pakub nii põnevust kui ka väljakutseid. Positiivne on see, et see on kureeritud raamatukoguhoidja, kes suudab punkte ühendada uutel ja põnevatel viisidel. Negatiivselt parandab see küberrünnakute kvaliteeti, eemaldades halva grammatika ja muud sissetungimise märguanded. Siiski, nagu iga häiriva tehnoloogia puhul, usub Lefebvre, et peame selle omaks võtma, sest kui me seda ei tee, teeb seda teine ​​pool ja me jääme maha.

Veel üks küberjulgeoleku aspekt, mis peab muutuma, on uuendajate mõtteviis juba alguses. Arvutiteaduse tudengeid hinnatakse koodi järgi, mis töötab, olenemata sellest, kas see on turvaline või mitte. Ta ütles, et seepärast on turvalisus alati tagamõte olnud.

"Aga me läheme paremaks," tunnistas Lefebvre. "See on kooskõlas kogu tarkvaraarenduse nihkega ja turvalisuse kaasamisega varasemasse arendusprotsessi. See on alati olnud tehnoloogia ostmine, juurutamine, ehitamine, ühendamine ja mida me siis oleme enda paljastamiseks teinud, millele me isegi ei mõelnud?

"Ma loodan, et on tulevik, kus mitte ainult tehnoloogia ja turvalisus ei ole lahus, vaid turvaline tehnoloogia on üks sõna ja iga tehnoloogia peale mõeldakse turvalisel viisil, olenemata sellest, missuguseid riske sellele organisatsioonile tuuakse."

.pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-radius: 5% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-size: 24px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { font-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-weight: normal !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a:hover { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-user_url-profile-data { color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { text-align: center !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-recent-posts-title { border-bottom-style: dotted !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { border-style: solid !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { color: #3c434a !important; }

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.fintechnexus.com/sec-cybersecurity-rule-raises-questions/