生成数据智能

网络安全

美国证券交易委员会的新网络安全材料规则令人困惑

由柏拉图重新发布
由柏拉图重新发布

日期:

浏览次数: 84

的宗旨之一 新的网络安全披露规则 美国证券交易委员会上个月批准的目的是为了让投资者更好地了解与上市公司相关的网络安全风险。 另一个目标是鼓励上市公司加强网络安全和风险态势。

但问题似乎出在细节上,因为人们对到底要报告哪些事件以及披露信息时需要哪些细节存在担忧。 最重要的是,这些规则要求企业创建一种机制来确定任何安全事件何时是重大的。 由于多种原因,这项任务看似困难。

美国证券交易委员会认为 事件材料 是否会对公司的财务状况、运营或与客户的关系产生重大影响。 新规定包括要求“在公司确定网络安全事件属重大事件后的四 (8) 个工作日内,通过表格 4-K 披露重大网络安全事件。” 有 8-K 中必须披露的具体要求:事件何时发现以及是否仍在继续; 事件的性质和范围的简要描述; 任何数据是否被窃取、更改、访问或用于任何其他未经授权的目的; 事件对企业经营的影响; 以及该公司是否已经或目前正在补救该事件。

但确定事件是否“重大”可能比组织准备的更复杂。 除了涉及的官僚和后勤问题之外 创建一组高级管理人员定期做出这一决定丑陋的事实是,随着时间的推移和额外分析的完成,安全事件看起来非常不同。 这意味着,如果委员会审查一天前才发现的数据泄露事件,他们很有可能会根据不完整且可能有缺陷的初步数据做出决定。

这让企业高管陷入了双赢的境地。 第一种选择是,他们选择迅速采取行动,并冒着将事件报告为重大安全事件的风险,但事实证明根本不是重大事件。 选择二是,他们尽可能等待,让对备份文件的取证分析和检查提供更完整和准确的情况,但冒着 SEC 和/或投资者稍后发现时间表并指责的风险企业未及时披露的。

披露时间表也是一个挑战

美国证券交易委员会为期四天的披露时间表(直到企业确定事件具有重大意义后才开始倒计时)也存在问题。 任何 SEC 备案都将要求安全运营中心 (SOC) 工作人员准备一份事件细节清单。 这些细节将提交给法务部门起草向 SEC 提交的文件,该文件还需要投资者关系部门进行审查。 任何此类文件还必须经过首席财务官和首席执行官的审查和批准。 首席执行官可能希望在提交文件之前由董事会成员来管理它。 即使在理想情况下,这个过程也可能需要四天以上的时间。

专门研究网络安全问题的律师、曾任美国司法部高科技犯罪小组负责人的马克·拉什(Mark Rasch)强调,要求公司报告重大安全事件的要求并不是什么新鲜事。 自 1933 年成立以来,SEC 一直要求上市公司报告任何重大事件。新的内容是时间表。

这需要企业领导层认真思考什么构成重大事件。 考虑的一些因素包括组织的垂直行业、涉及的地理位置、运营性质以及业务可能吸引的攻击者/攻击类型。 例如,从事武器系统工作的军事分包商可能会得出这样的结论:窃取产品蓝图的人具有重要性,而农业公司可能不会。

拉什强调的另一点是定义。 安全专业人士和律师对“数据泄露”的定义截然不同。 对于安全经理来说,任何时候未经授权的个人通过身份验证系统并进入受保护区域,都是安全漏洞。 对于律师来说,数据泄露是指数据被访问、泄露或修改/删除。 该定义基于各种合规性要求。

美国证券交易委员会正在寻找任何安全事件。 例如,DDOS 攻击绝对可能是重大安全事件,但其本身通常不会被视为数据泄露。

遗漏的关键信息

重要的是,美国证券交易委员会 (SEC) 对 8K 文件中包含的信息制定了豁免规定。 该要求不会扩展到“有关注册人计划对事件或其网络安全系统、相关网络和设备或潜在系统漏洞的计划响应的具体技术信息,这些漏洞会阻碍注册人对事件的响应或补救。”

拉什表示,豁免是必要的,因为披露有关攻击的某些细节可能会阻碍调查或向潜在攻击者提供过多信息。 但公司也可能利用豁免来避免说出任何足够具体的内容,从而无法向投资者和潜在投资者提供有意义和有价值的信息。

今天的许多披露都谈到了模糊的假设风险,例如客户可能会厌倦某种特定产品并停止购买。 拉什称这些投机性评论为“pablum”,并认为它们对投资者来说几乎总是毫无价值。 “你最终会得到更多这样的 pablum 披露,”Rasch 说。

另一位网络安全专家 - Michael Isbitski,安全工具供应商 Sysdig 网络安全战略总监 - 同意 Rasch 的担忧,并指出了 XNUMX 月份床垫公司发生的一起事件 泰普尔丝涟报告数据泄露。 披露内容显示,发生了网络安全事件,该公司因此关闭了“公司的某些 IT 系统”,并“暂时中断”了运营。 它还表示,该公司“已经开始将某些关键 IT 系统重新上线”,这意味着一些 IT 系统仍然处于离线状态。 但没有关于哪些系统被关闭、关闭多长时间或这些其他系统将保持关闭状态的详细信息。

伊斯比斯基表示,他预计这将导致“大量文书工作”。 公司将报告太多,提交的 8K 表格太多。”

“没有明确的定义。 我没有看到任何组织明确或有效地做到这一点。 我们甚至在安全社区中对于什么是漏洞也没有达成一致。”Isbitski 说道,并补充说,高管们会担心报告几乎所有有意义的细节会让潜在的攻击者“看到我们的安全性很差,或者我们的开发团队认为我们的安全性很差”。糟透了。”

谁做出决定?

一个潜在的令人畏惧的后勤问题是每周都会发生大量的安全事件,具体取决于特定公司选择如何定义安全事件以及业务的规模和性质。

大多数接受采访的专家都同意,管理委员会只会审查少数事件,而且几乎肯定不会超过 20 个。这意味着 CISO 办公室的某个人(可能是 SOC 经理)将决定哪些事件可能被认为是重要的。

“这就是很多 SOC 会失败的地方。 他们需要一种方法来过滤掉许多此类漏洞,以便他们告诉(高管)真正可利用的事情。” 伊斯比茨基说。

Matthew Webster 是一位资深 CISO,曾在 B&H Photo 和 Healthix 工作过,目前运营虚拟 CISO 公司 Cyvergence,他同意 CISO 和 SOC 团队仔细检查所有事件以确定将哪些事件提交给管理委员会是一个问题。 创建一个由 CFO、IR、CIO、CISO、法律、风险、审计、合规办公室代表组成的委员会的一个重要目标是就企业的重要事项达成战略业务决策。 但如果此类决定通常由 SOC 工作人员做出,那么很容易破坏创建此类委员会的意义。

“如果 SOC 进行了这样的削减,那么你就已经失败了,”韦伯斯特说。

拉什表示,这将责任重新推给了管理委员会。 “委员会需要告诉 SOC 它需要知道什么。 董事会需要告诉这些经理他们想知道什么,”拉什说。 “委员会需要向 CISO 提供他们想要了解的明确指导,其中包括不可报告的商业秘密和业务流程窃取行为。 在网络环境和人工智能环境中,存在非常大的风险。 这些风险与可用性、保密性、完整性、供应链、责任相关。 这不仅仅是违规行为,甚至不是主要的违规行为。”

现货图片

最新情报

现货图片

版权所有@ 2024 Plato Technologies Inc.