اعتمدت هيئة الأوراق المالية والبورصة الأمريكية مؤخرًا قواعد تلزم المسجلين بالكشف عن حوادث الأمن السيبراني المادية التي يتعرضون لها بالإضافة إلى المعلومات المتعلقة بإدارة مخاطر الأمن السيبراني واستراتيجيته وحوكمةه. ويجب على جهات الإصدار الخاصة الأجنبية أيضًا تقديم إفصاحات مماثلة.
مجتمعة، ستثبت القواعد أنها ذات فائدة كبيرة لجميع مواطني الولايات المتحدة. هؤلاء قواعد SEC الجديدة تتطلب تقديم النموذج بعد أربعة أيام من تحديد المسجل – وهو أي شركة تقدم مستندات لدى هيئة الأوراق المالية والبورصات – أن الحادث قد يؤثر على قرارات المستثمر المعقول.
فوائد الكشف عن الحوادث في الوقت المناسب
إن الكشف عن الحادث في الوقت المناسب يساعد الشركات والمستثمرين على حد سواء لأن التأخير في الكشف يمكن أن يزيد من احتمالية إلحاق الضرر بالأطراف المتأثرة. قد يفقد المستهلكون والمستثمرون الثقة في الشركة إذا اعتقدوا أنها لم تكن شفافة بشأن حادث ما، مما يؤدي إلى انخفاض أسعار الأسهم مما يضر بجميع المعنيين.
ومن المفهوم أن يكون هناك استثناء للقواعد إذا قرر المدعي العام الأمريكي أن الكشف عن المعلومات قد يشكل تهديدًا للأمن القومي أو السلامة العامة. ومع ذلك، فإن المعيار الجديد للإفصاح يساعد على الوفاء بأي التزامات قانونية للإبلاغ على المستوى الفيدرالي ومستوى الولايات، كما أنه يمكّن المستهلكين والأطراف المتضررة من التحرك بسرعة لتقليل الضرر الناتج عن حادث مادي.
على الرغم من العدد المتزايد من متطلبات الأمن السيبراني والإبلاغ عن الحوادث، لا تزال العديد من المنظمات تقاوم الكشف. أ استطلاع بيتدفندر وأظهرت في وقت سابق من هذا العام أن 42% من المتخصصين في مجال الأمن طُلب منهم التستر على الانتهاكات بدلاً من الإبلاغ عنها، في حين أن ما يقرب من الثلث أبقوا الانتهاك سراً. كان هذا هو الحال عندما حاول جوزيف سوليفان، كبير ضباط الأمن السابق في شركة أوبر، التستر على عملية اختراق في عام 2016 وتم حينها مدان لقيامه بذلك في عام 2022. وشددت الإدانة على أن التستر على الانتهاكات يعد بالفعل جريمة جنائية خطيرة ولها عواقب. ستوفر قاعدة هيئة الأوراق المالية والبورصة الجديدة حماية متزايدة من عمليات التستر هذه لأنها تضيف المزيد من المتطلبات الملموسة للكشف عن الحوادث في الوقت المناسب من قبل الشركات العامة.
التقارير السنوية عن تدابير مخاطر الأمن السيبراني
تضمن عمليات الإفصاح المتعلقة بإدارة مخاطر الأمن السيبراني والاستراتيجية والحوكمة حصول المستثمرين والجمهور بشكل عام على ضمانات أكبر بأن الشركات العامة تعمل بجد لحماية معلوماتها الرقمية. وفقا لشركة فيريزون تقرير التحقيق في خرق البيانات لعام 2023شهدت أمريكا الشمالية 9,036 حادثة، معظمها من جهات تهديد خارجية (94%) بدوافع مالية (99%). لا عجب أن لجنة الأوراق المالية والبورصة تضغط على المؤسسات للإبلاغ عن عملياتها من أجل “تقييم وتحديد وإدارة المخاطر المادية الناجمة عن تهديدات الأمن السيبراني، بالإضافة إلى التأثيرات المادية أو الآثار المادية المحتملة بشكل معقول للمخاطر الناجمة عن تهديدات الأمن السيبراني وحوادث الأمن السيبراني السابقة.”
إن متطلبات الإفصاح السنوية ستدفع المؤسسات إلى الاستثمار بشكل أكبر في الأمن السيبراني وذلك ببساطة لأن المستثمرين سيكون لديهم رؤية أكبر لما تفعله الشركة لإدارة المخاطر. كما أنه يحمل المسؤولية إلى مجلس الإدارة، مما يتطلب وصفًا لإشراف مجلس الإدارة على مخاطر تهديدات الأمن السيبراني وكيفية تقييم هذه المخاطر وإدارتها. يضمن هذا التغيير في إعداد التقارير والوضوح حول دور مجلس الإدارة والإدارة قدرة المستثمرين على ممارسة الضغط لتحسين الأمن السيبراني بشكل عام في الشركات العامة.
ومع وجود آليات أمنية أكثر قوة، قد تكتشف هذه المنظمات أنها لن تكون في وضع يتطلب منها الكشف على الإطلاق، لأن تدابير الأمن السيبراني المحسنة تقلل بشكل كبير من عدد الحوادث المادية الناجحة. بالإضافة إلى ذلك، يجب أن تصبح مجالس إدارة الشركات العامة أكثر تعليماً ووعيًا بالأمن السيبراني، وقد نشهد حتى تحولًا في خبراء الأمن السيبراني الذين يشغلون مناصب مجلس الإدارة.
كيف يمكن للشركات العامة أن تستعد؟
للاستجابة لقاعدة الكشف في الوقت المناسب، يجب أن يكون لدى المنظمة خطة استجابة شاملة ومختبرة للحوادث السيبرانية، مدعومة بتدابير إدارة مخاطر الأمن السيبراني والاستراتيجية والحوكمة. وفي 15 ديسمبر/كانون الأول، تدخل القاعدة الجديدة للإفصاحات السنوية حيز التنفيذ بالنسبة لجميع الشركات العامة، في حين تدخل عمليات الكشف عن الحوادث المادية حيز التنفيذ في 18 ديسمبر/كانون الأول بالنسبة للشركات العامة وشركات التأمين الخاصة الأجنبية التي تقدم نماذج محلية. لدى الشركات الصغيرة المزيد من الوقت، وسيدخل حيز التنفيذ في 15 يونيو 2024. فكيف يمكن للمؤسسات العامة الاستعداد لهذه التغييرات؟
-
الوعي بالأمن السيبراني: يعمل التدريب على الوعي الأمني على تمكين أصحاب العمل من خلال التأكد من أنهم على دراية بالتهديدات ويشعرون بالارتياح عند تحديد الأنشطة المشبوهة والإبلاغ عنها. بالإضافة إلى ذلك، من المهم أن تضم مجالس الإدارة خبراء في مجال الأمن السيبراني ولكن أيضًا تعمل على تعزيز الوعي السيبراني من الأعلى إلى الأسفل.
-
انعدام الثقة: إن اعتماد سياسات وحلول الثقة المعدومة هو أفضل طريقة للتخفيف من الحوادث السيبرانية المحتملة في المقام الأول. لا ينبغي للمنظمات أن تثق أبدًا وتتحقق دائمًا.
-
استخبارات التهديد: تمكن معلومات التهديدات فرق الأمن من البحث عن التهديدات المعروفة وغير المعروفة واكتشافها، مما يعزز تدابير الأمن السيبراني.
-
الاستجابة للحادث: وضع السياسات والإجراءات مسبقًا – وإعادة اختبارها بانتظام – لتقليل وقت الاستجابة الإجمالي أثناء وقوع حادث جوهري. يمكن أن يؤدي ذلك إلى تقليل وقت التوقف عن العمل المحتمل والأضرار الناجمة عن الهجوم السيبراني، فضلاً عن تمكين الشركات من فهم متى وما إذا كان الحادث يعتبر جوهريًا والإبلاغ عنه حسب الحاجة خلال الإطار الزمني البالغ أربعة أيام.
يؤثر مدى الهجوم على كل من إجراءات الاسترداد والالتزامات المتعلقة بإشعارات الانتهاك. بعد التخفيف بنجاح من حادث سيبراني، تحتاج المؤسسات إلى المضي قدمًا في استعادة البيانات من النسخ الاحتياطية مع الاهتمام أيضًا بأي نقاط ضعف في إجراءاتها الأمنية. ومن خلال الاستفادة من الرؤى المكتسبة من الحادث، يمكن للمؤسسات تكييف خطط الاستجابة للحوادث وتنفيذ الاستراتيجيات والتدابير الأمنية التي تعزز الكشف عن الهجمات المستقبلية المحتملة وتسريع احتوائها.
