الساعة تبدأ وفقًا لقواعد SEC للهجوم الإلكتروني: ما يجب أن يعرفه مدراء تكنولوجيا المعلومات
تم اعتماد قواعد لجنة الأمن والبورصة الخاصة بالكشف عن الشرطة وتوثيق حوادث الهجمات الإلكترونية في يوليو وبدأت حيز التنفيذ في 15 ديسمبر. واليوم، سيتم تطبيق القواعد المتبقية على جميع الشركات العامة.
ال قواعد سيطلب من الشركات الكشف عن أي حادث يتعلق بالأمن السيبراني يعتبرونه جوهريًا والكشف عن نطاق الحادث وطبيعته وتوقيته بالإضافة إلى تأثيره المادي. تتطلب القواعد أيضًا من المؤسسات وصف عمليات تقييم وتحديد وإدارة المخاطر المادية الناجمة عن تلك التهديدات بالإضافة إلى دور مجلس الإدارة والإدارة في تقييم المخاطر وإدارتها. ويجب تقديم الإفصاحات المكتوبة خلال أربعة أيام عمل من اكتشاف الحدث.
وقال غاري جينسلر، رئيس هيئة الأوراق المالية والبورصة، في بيان: “سواء خسرت شركة مصنعًا في حريق – أو ملايين الملفات في حادث يتعلق بالأمن السيبراني – فقد يكون ذلك أمرًا مهمًا للمستثمرين”. “في الوقت الحالي، تقدم العديد من الشركات العامة كشفًا عن الأمن السيبراني للمستثمرين. ومع ذلك، أعتقد أن الشركات والمستثمرين على حدٍ سواء سيستفيدون إذا تم هذا الإفصاح بطريقة أكثر اتساقًا وقابلية للمقارنة ومفيدة لاتخاذ القرار…”
تأثير القواعد الجديدة على CISOs
صرح كريس بيرسون، المؤسس والرئيس التنفيذي لشركة BlackCloak للأمن السيبراني، في مقابلة مع InformationWeek أن القواعد الجديدة سيكون لها تأثير كبير على دور CISO.
ويقول: “ما ينبغي أن يفعله كبار مسؤولي تكنولوجيا المعلومات هو تحليل وتقييم الضوابط المادية الموجودة لديهم في الشركة”. “كيف يتم وضعهم من منظور الرغبة في المخاطرة؟ كيف يعملون مع القيادة التنفيذية؟”
في حين أن العديد من الشركات قد استعدت للقواعد الجديدة، هناك احتمال أن يستخدم المهاجمون السيبرانيون متطلبات الإطار الزمني الجديد لزيادة الضغط على المفاوضات. يقول بيرسون: “لقد أظهر مجرمو الإنترنت أنهم إذا كانوا على استعداد للسيطرة على الجدول الزمني، فإنهم قادرون على حث الناس على التحرك”. “إذا أخبرت الأشخاص أننا سنكشف عن بياناتك في غضون سبعة أيام ما لم تدفع لنا – فهذا يخلق ساعة زمنية وسيناريو تنتقل فيه السلطة إلى المجرم الإلكتروني.”
ويضيف: “إن التفويض الزمني التنظيمي يخلق وضعًا جديدًا لقدر الضغط لرؤساء أقسام تكنولوجيا المعلومات وفرقهم والشركات بشكل عام.”
ويقول بيرسون إن هناك مشكلة أخرى تتمثل في أن الحوادث التي تقع في المنظمات الكبيرة تستغرق وقتًا طويلاً للتحقيق فيها. لا أحد يعرف، خلال أربعة أيام، طبيعة ومدى ما حدث وما سيكون تأثيره. لذلك، ربما تخرج وتقول إن شيئًا ما قد حدث، لكنك لا تعرف بالضبط ما هو هذا بعد.
أخبر بريان نيوهاوس، مدير التكنولوجيا التنفيذي في الأمريكتين في شركة الأمن السيبراني Vectra AI، InformationWeek عبر البريد الإلكتروني أن الممارسة يمكن أن تساعد عندما يتعلق الأمر بقواعد الكشف الجديدة. “يجب أن تكون المؤسسات مستعدة جيدًا مسبقًا لسياسة الإفصاح العام الجديدة الخاصة بهيئة الأوراق المالية والبورصات… يعد إجراء تمارين الطاولة أسلوبًا فعالاً وعمليًا للغاية للاستجابة السريعة للتهديدات المحتملة. ومن المهم توسيع نطاق هذه التمارين لتشمل الممارسة في تقديم العناصر الإلزامية وفقًا لما تقتضيه اللوائح.
يقول نيوهاوس إن السمعة لا تزال قابلة للتحكم من خلال خطة الاتصالات الصحيحة. “إن إعداد البيانات الجاهزة أمر ضروري للسيطرة على الرواية العامة. إن التأكد من أن الفريق بأكمله، من مجلس الإدارة إلى الأسفل، على استعداد سيعمل على تبسيط العملية.
يقول مايك سكوت، رئيس قسم تكنولوجيا المعلومات في شركة Immuta، في رسالة بالبريد الإلكتروني إن القواعد الجديدة للجنة الأوراق المالية والبورصة ستجبر الشركات على تطوير “خطة ناضجة للاستجابة للحوادث”. ويضيف: “مع التطور المستمر للتهديدات الأمنية، وتكرار انتهاكات الطرف الثالث، والقوانين واللوائح المتطورة باستمرار، تظل المخاطر كبيرة بالنسبة لرؤساء أمن المعلومات وفرقهم الأمنية ليس فقط للتصرف بل للتصرف بسرعة … في حين أنه من المستحيل التخطيط ولكل سيناريو محتمل، ستساعد خطة الاستجابة للحوادث الناضجة والموظفين المدربين بشكل مناسب والأدوات والخدمات المناسبة على ضمان النتيجة اللاحقة في حالة وقوع حادث.
المسؤولية تجاه المستهلكين والمستثمرين
في حين أن المتطلبات الجديدة ستسبب بالتأكيد صداعًا لفرق الأمن والمديرين التنفيذيين، فإن الغرض من الكشف عنها في الوقت المناسب هو إفادة عامة الناس والمستثمرين.
يقول سكوت: “في نهاية المطاف، يستحق الأشخاص الحق في معرفة ما إذا كانت بياناتهم قد تم الكشف عنها أم لا”. “تحتاج المؤسسات إلى فهم مسؤوليات جمع البيانات وتخزينها وتحليلها وعواقب سوء الاستخدام – فهذا هو الشيء الأخلاقي الذي يجب القيام به.”
خلال خطاب يونيو، حذر مدير تنفيذ هيئة الأوراق المالية والبورصات، جوربير س. جريوال، من الشركات التي تحاول تخريب المبادئ التوجيهية الجديدة، قائلاً إن الحكومة لن تتسامح مطلقًا مع التلاعب عندما يتعلق الأمر بالإفصاحات المتعلقة بالأمن السيبراني.
وقال: “عندما تكون هناك هجمات إلكترونية على الشركات المتداولة علنًا والمشاركين الآخرين في السوق، فإننا نعتبر الجمهور المستثمر أيضًا ضحايا محتملين لتلك الحوادث”. “نحن ندرك تمامًا أنه عندما… يتم اختراق شركة عامة، يمكن أن يكون ذلك مزعجًا ومكلفًا… ولكن لا يمكننا أن نفقد التركيز على حقيقة أن تلك القرارات تؤثر بشكل مباشر على العملاء الذين تعرضت معلوماتهم الخاصة أو المالية للخطر…”