SEC Cybersecurity Rule reiser spørsmål

Publisert av Platon

Følgere: 0

SECs nye cybersikkerhet herske er designet for å beskytte investorer og sikre at selskaper tar sikkerhet på alvor. Men det skaper like mange spørsmål som det besvarer.

Offentlige selskaper skal rapportere vesentlig cyber hendelser innen fire dager. De må også beskrive dens innvirkning, inkludert om data ble offentliggjort og tiltakene de tok for å redusere risikoen. Styringsprosesser for cybersikkerhet skal offentliggjøres i årsrapporter.

SEI-sfære direktør for cybersikkerhet Mike Lefebvre sa regulatorer må ta skritt for å hjelpe selskaper når de møter stadig mer sofistikerte angrep. Det er et spill mange vil tape uten hjelp.

Nettsikkerhetstrinn bevæpnet av kriminelle

Men enhver regulering må tenkes nøye gjennom. Nettkriminelle bevæpner regelverk som trusseltaktikk. En rapporterte et offer til SEC for manglende overholdelse som en del av utpressingskampanjen.

"De forteller om ofrene sine," sa Lefebvre. «Her lager vi en regulering som har gitt trusselaktører enda et løft. Vi må finne ut hvordan vi skal være smarte med det vi gjør fra et regulatorisk ståsted.»

Regelen er vag i definisjonen. Hva er et "materiell" brudd? Lefebvre sa at det er en gråsone. Bedrifter rapporterer kanskje ikke av ren uvitenhet eller for å opprettholde plausibel benektelse. Mange vil ikke være i stand til å definere "materiale".

Øker cybersikkerhetsnivået for alle båter

Ved å kreve avsløring av strategier i årsrapporter kan investorer se hvor seriøst organisasjoner tar cybersikkerhet. Det tvinger noen til å være mer dedikerte og transparente i sin tilnærming.

SEI Spheres Mike Lefebvre sa at SECs nye cybersikkerhetsregel er ufullkommen, men er et skritt i riktig retning.

Vil den åpenheten heve sikkerhetsnivået for alle båter, ettersom selskaper vil bli tvunget til å holde tritt med Joneses? Lefebvre advarer om at forskrifter krever et minimum. De kan holde skipet flytende, men garanterer lite utover det. Likevel er nettoresultatet fremgang.

"Jeg tror det tvinger frem en stigende tidevann," sa han. "Det tvinger et nivå av modenhet (fra) organisasjoner i hvordan de tenker om cyberrisiko. De må ta tak i det og ikke forvente at det skal være denne esoteriske tingen som aldri kan skje med dem.»

Vil kravet om å publisere nettsikkerhetsstrategier få kriminelle til å lete etter den lekke båten? Lefebvre tror ikke det. Han sa at selskaper må beskrive sin generelle tilnærming, men ikke de grunnleggende ingrediensene.

Hvorfor tredjepartsforhold betyr noe

SEI Sphere er en regulert finansinstitusjon og en administrert tjenesteleverandør. Lefebvre sa at det gir selskapet hans et unikt perspektiv og en høy standard som gjør at de kan tilby sikkerhet i bedriftsklasse til kunder i alle størrelser. Akkurat som selskaper bruker advokater og regnskapsførere på grunn av viktigheten av disse oppgavene, bør de også bruke tredjeparts fagfolk.

"Jeg bruker en regnskapsfører for skattene mine fordi kostnadene ved å få det gjort riktig langt oppveier risikoen for å gjøre det feil," sa han. «Det er ikke annerledes med cyber; la oss betale på forhånd. La oss investere nå for å få det gjort riktig i stedet for å gjøre det feil, for når vi har hatt en feil, må vi fikse det, det er advokathonorarene og merkevarens omdømme.»

«På slutten av dagen er det data som står på spill. Det er personlig. Vi snakker om organisasjoner innen helsevesen og finans. Uansett hvilken bransje du er en del av, er dataene dine en del av dette økosystemet som holdes som gissel. Alle burde føle seg tvunget til å løse dette fordi personopplysningene våre er i fare.»

Fire dager er kanskje ikke nok tid

Er fire virkedager nok tid til å rapportere et vesentlig brudd? Lefebvre sa at det er $1 million-spørsmålet. Det er vanskelig å rapportere en brann mens du bekjemper den. Hvilke systemer påvirkes? Hvilke forretningsenheter er involvert? Når skjedde det? Hvordan reagerer den kriminelle på innsatsen din?

"Det er mange kokker på kjøkkenet under en hendelse," sa Lefebvre. «Hele tiden er det en aktiv motstander i den andre enden av tastaturet, som manipulerer og jobber i låst takt med det du gjør. Så, midt i det bakteppet, er det litt av et sirkus. Og vi prøver å finne ut hvordan vi posisjonerer oss riktig, ikke for å holde oss skadesløs, for ikke å si hånden vår til angriperen at vi forstår at vi blir angrepet?»

Det er mye risiko for selskaper som rapporterer. Mens MTTR (mean time to repair) er en ofte sitert statistikk som brukes til å sammenligne selskapers effektivitet når det gjelder å håndtere cybersikkerhetsbrudd, lar rapportering av et brudd kriminelle vite at du er på vei mot dem.

«Angripere kan ligge på lur i flere måneder. Du forteller SEC, de vet og drar i stiften eller endrer taktikk, sa Lefebvre. "Det er en reell balansegang vi må gjøre her mellom å forstå behovet for å beskytte investorer og behovet for å beskytte organisasjonen. Men vi spiller med en motstander som ikke spilte etter reglene.»

AI – det gode og det dårlige

Lefebvre sa at AI gir både spenning og utfordringer. På det positive er det en kuratert bibliotekar som kan koble sammen punktene på nye og spennende måter. På det negative, det forbedrer kvaliteten på nettangrep ved å fjerne dårlig grammatikk og andre tydelige tegn på infiltrasjon. Likevel, som med all forstyrrende teknologi, mener Lefebvre at vi må omfavne den, for hvis vi ikke gjør det, vil den andre siden gjøre det, og vi vil falle bak.

Et annet cybersikkerhetsaspekt som må endres er tankesettet innovatører kommer med i begynnelsen. Informatikkstudenter får karakter på kode som fungerer, enten den er sikker eller ikke. Han sa at det er derfor sikkerhet alltid har vært en ettertanke.

"Men vi blir bedre," innrømmet Lefebvre. "Det stemmer overens med hele skiftet av programvareutvikling og å involvere sikkerhet tidligere i utviklingsprosessen. Det har alltid vært å kjøpe teknologien, implementere den, bygge den, koble den sammen, og hva har vi så gjort for å avsløre oss selv som vi ikke engang tenkte på?

"Mitt håp er at det er en fremtid hvor det ikke bare er teknologi og sikkerhet som er atskilt, men at sikker teknologi er ett ord, og at hver teknologi blir tenkt på på en sikker måte, uansett hvilken risiko den organisasjonen medfører."

Tony er en langvarig bidragsyter innen fintech og alt-fi. En to ganger LendIt Journalist of the Year nominert og vinner i 2018, Tony har skrevet mer enn 2,000 originale artikler om blokkjeden, peer-to-peer-lån, crowdfunding og nye teknologier i løpet av de siste syv årene. Han har vært vertskap for paneler på LendIt, CfPA Summit og DECENT's Unchained, en blokkjedeutstilling i Hong Kong. Send e-post til Tony her.

.pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .box-header-title { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-avatar img { border-radius: 5% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-size: 24px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { font-weight: bold !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-name a { color: #000000 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { font-style: none !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-description { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-size: 20px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a span { font-weight: normal !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta { text-align: left !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-meta a:hover { color: #ffffff !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-user_url-profile-data { color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-twitter-profile-data { text-align: center !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data span, .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data i { font-size: 16px !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { background-color: #6adc21 !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .ppma-author-linkedin-profile-data { border-radius: 50% !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-author-boxes-recent-posts-title { border-bottom-style: dotted !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { border-style: solid !important; } .pp-multiple-authors-boxes-wrapper.box-post-id-45383.pp-multiple-authors-layout-boxed.multiple-authors-target-shortcode.box-instance-id-1 .pp-multiple-authors-boxes-li { color: #3c434a !important; }