في ديسمبر/كانون الأول، أعلنت هيئة الأوراق المالية والبورصة الأمريكية (SEC) قواعد الإبلاغ عن حوادث الأمن السيبراني للشركات العامة دخلت حيز التنفيذ. والآن بعد أن تم تطبيق هذه القواعد لمدة ستة أشهر، كيف تؤثر على الشركات العامة وقادة أمن المؤسسات؟
8-K الإفصاحات تحدث
وبموجب قواعد هيئة الأوراق المالية والبورصات، يجب على الشركات العامة الكشف عن حوادث الأمن السيبراني في غضون أربعة أيام من تحديد أن الحادثة جوهرية. يجب أن تتم هذه الإفصاحات عبر ملفات 8-K.
قدم عدد من الشركات 8-Ks، وبعضها حتى قبل دخول القواعد حيز التنفيذ رسميًا. تقول كارين ووكر، المديرة المالية في شركة “كانت هناك بعض الانتهاكات الملحوظة جدًا في شركات مثل MGM وClorox في الخريف، وقد رأيتهم يجرون بالفعل عملية 8-K ويكشفون عن تلك الانتهاكات مسبقًا للقواعد”. سيسديج، شركة الأمن السحابي.
هل قواعد هيئة الأوراق المالية والبورصة ترقى إلى مستوى نواياها؟
“يستحق المستثمرون مزيدًا من المعرفة حول ممارسات مراقبة المخاطر في المؤسسة والدور الذي يلعبه مجلس الإدارة والإدارة في تلك الممارسات،” نيثيا داس، كبير المسؤولين القانونيين والإداريين في شركة مجتهد، يقول InformationWeek عبر البريد الإلكتروني. Diligent هي شركة SaaS متخصصة في الحوكمة البيئية والاجتماعية والحوكمة والمخاطر والامتثال.
قدمت العديد من الشركات إفصاحات 8-K بموجب قواعد هيئة الأوراق المالية والبورصات (SEC). شركة في إف وشركة التأمين مجموعة يونايتد هيلث فيما بينها. العديد من الإفصاحات لديها واجه انتقادات لكونها خفيفة على التفاصيل. التأثير الكمي لهذه الحوادث مفقود من الملفات، وفقا لفوربس.
ويشير ووكر إلى أن الأمر قد يستغرق بعض الوقت حتى تكشف الشركات عن هذا المستوى من التفاصيل في حادث ما. وتشرح قائلة: “من الأفضل الاستمرار في التحديث بدلًا من محاولة التكهن، أو محاولة الحصول على قدر كبير جدًا من المعلومات ثم العودة لاحقًا والقول: “لا، لم يكن ذلك صحيحًا”.”
تعرضت شركة كلوروكس لهجوم إلكتروني في عام 2023، وتم تفصيل التداعيات في أكثر من ملف 8k. فيه أحدث 8-K، الذي تم تقديمه في 30 أبريل، بحثت الشركة في نتائج الربع الثالث من عام 2024، بما في ذلك تفاصيل حول كيفية تأثير هذا الهجوم الإلكتروني على تلك النتائج.
هل ستصدر الشركات مزيدًا من التفاصيل في الإصدار 8-K المحدث مع مرور الوقت؟ هل ستبدأ هيئة الأوراق المالية والبورصة في المطالبة بمزيد من التفاصيل أثناء قيامها بفحص الامتثال؟ الوقت سيخبرنا.
الأسئلة المادية باقية
يظل تحديد الأهمية النسبية أحد أكبر الأسئلة حيث تعتاد الشركات على هذا المتطلب التنظيمي. “عندما أتحدث مع CISOs، وأتحدث مع قادة الأمن الآخرين الذين يتعين عليهم التعامل مع هذا الأمر، فإن الكثير من الأسئلة التي لا تزال لديهم تساؤلات حولها هي الأهمية المادية،” تيم تشيس، كبير مسؤولي أمن المعلومات العالمي في شركة دانتيل، منصة حماية التطبيقات السحابية الأصلية، تقول InformationWeek.
وربما يدفع هذا الغموض المحيط بالأهمية النسبية الشركات إلى اتخاذ الحيطة والحذر: فمن الأفضل أن تقوم بالإبلاغ عن عدم القيام بذلك. “في الوقت الحالي، وبدون وضوح، نرى أن معظم الشركات تميل نحو تقديم الإفصاح 8-K، مما قد يؤدي إلى إضعاف الغرض من شرط الإفصاح.” يقول داس.
تتطلب معالجة القضية الشائكة المتعلقة بالأهمية المادية التعاون بين القادة التنفيذيين في مجالات الأمن والخصوصية والقانون. “[Make] “تأكد من أن CISO وCLO وCPO جميعهم على نفس الصفحة”، يوصي تشيس. “هؤلاء الأشخاص الثلاثة سيكونون هم الذين سيحددون ما إذا كان هناك شيء مادي.”
ومع مرور المزيد من الوقت، قد تكتسب الشركات العامة مزيدًا من الوضوح حول كيفية نظر هيئة الأوراق المالية والبورصات إلى الأهمية النسبية. يقول ووكر: “إذا كان هناك إنفاذ وظهرت حالات، فمن المحتمل أن يكون ذلك دليلاً يتطلع إليه الناس فعليًا، لفهم كيفية تفكيرهم في هذا التقييم”.
الأمن السيبراني هو قضية على مستوى مجلس الإدارة
وبموجب قواعد هيئة الأوراق المالية والبورصة، يتعين على الشركات العامة أيضًا تضمين معلومات حول إدارة مخاطر الأمن السيبراني والحوكمة في ملفات 10-K. الرسالة واضحة: الأمن السيبراني هو قضية على مستوى مجلس الإدارة. كيف تستجيب المجالس للقواعد حتى الآن؟
يقول ووكر: “ما أسمعه من مجموعات النظراء، ومن أعضاء مجلس الإدارة الآخرين، وما أسمعه من بعض الشركات هو أنني أعتقد أن التحديثات التي يتم إجراؤها على مجلس الإدارة هي … التغيير الأكثر شيوعًا”.
أجرت شركة الخدمات المهنية PwC تحليل الجولة الأولية من برادة 10-K ووجدت أن معظم الشركات التي قدمت طلباتها أشارت إلى أن CISOs يقومون بتحديث مجلس الإدارة بشكل دوري. لكن لا يبدو أن مجالس الإدارة تتولى تعلم الأمن السيبراني بنفسها. وقد وجد تقرير برايس ووترهاوس كوبرز أن 8% فقط من الشركات التي قدمت مستندات أشارت إلى أن أعضاء مجالس الإدارة قاموا بتحسين المهارات.
في حين أن التغييرات في تشكيل مجلس الإدارة قد تستغرق بعض الوقت، فإن الشركات تفكر في الدور الحاسم الذي يجب أن يلعبه الأمن السيبراني هناك. غالبية أفراد العينة (80%) يؤيدون أ استطلاع قالت شركة سويملان للأتمتة الأمنية، إن الشركات التي لديها مجلس إدارة يجب أن يكون لديها شخص واحد على الأقل يتمتع بخبرة في مجال الأمن السيبراني في مجلس الإدارة.
يفكر مدراء تكنولوجيا المعلومات في المخاطر الشخصية
تظل المخاطر الشخصية موضوعًا للمناقشة واهتمامًا في مجتمع CISO. في أكتوبر 2023، قامت هيئة الأوراق المالية والبورصة (SEC) بفرض رسوم على شركة SolarWinds ورئيس أمناء أمن المعلومات (CISO) التابع لها مع الاحتيال وفشل الرقابة الداخلية. يقول ووكر: “من المؤكد أن التنفيذ الذي قامت به لجنة الأوراق المالية والبورصات مع شركة SolarWinds ورئيس أمناء أمن المعلومات التابعين لها قد أثار الكثير من الخوف داخل عالم كبير أمناء أمن المعلومات”.
خلال مؤتمر RSA في سان فرانسيسكو هذا العام، أ نقاش ركز على الضغط المتزايد الذي يواجهه كبار مسؤولي تكنولوجيا المعلومات والمخاطر التي تأتي مع هذا اللقب.
ويثير هذا القلق تساؤلات حول نوع الحماية التي ينبغي أن يتمتع بها مدراء أمن المعلومات. سكوت الجزائر، المدير التنفيذي للمنظمة غير الربحية تكنولوجيا المعلومات – مركز تبادل المعلومات وتحليلها (IT-ISAC)، تحدث “… مع كبار مسؤولي أمن المعلومات الذين استكشفوا الحصول على تأمين المسؤولية لأنفسهم في هذا الدور و/أو الإضافة إلى سياسات الشركة.”
إذا قبل كبار مسؤولي تكنولوجيا المعلومات المخاطر المحتملة المتمثلة في تحميلهم المسؤولية الشخصية من قبل المنظمين، فقد يقومون أيضًا بتقييم وضعهم داخل المؤسسات. ويشير الجزائر إلى أن “مسؤولي أمن المعلومات غالباً ما يكونون في وضع يتحملون فيه المسؤولية، لكنهم لا يتمتعون دائماً بالسلطة”. يعد هذا التوتر عاملاً آخر يضيف إلى مناقشة العلاقة بين CISOs ومجالس الإدارة. ما هو عدد المرات التي يجب أن يتفاعل فيها كبار مسؤولي أمن المعلومات مع مجالس الإدارة، وهل يجب أن يكون لهم مقعد على الطاولة؟
إن التنقل في المشهد التنظيمي أمر معقد
لن يسقط الأمن السيبراني عن رادار هيئة الأوراق المالية والبورصات في أي وقت قريب. وهو موضوع متكرر في أولويات الامتحانات 2024 تقرير. على سبيل المثال، تشير هيئة الأوراق المالية والبورصات إلى أنها ستركز على قضايا الأمن السيبراني المتعلقة ببائعي الطرف الثالث.
وهيئة الأوراق المالية والبورصات ليست الجهة التنظيمية الوحيدة التي تركز على الأمن السيبراني. ال الإبلاغ عن الحوادث السيبرانية لقانون البنية التحتية الحيوية (CIRCIA)، الأمر الذي سيتطلب من الكيانات المغطاة الإبلاغ عن الحوادث إلى وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، في الأفق. توجد أيضًا لوائح من بلدان أخرى ولوائح خاصة بقطاعات معينة على لوحات العديد من CISOs.
“بعض اللوائح تكميلية. وبعضها مكرر. يقول البعض منهم يتنافسون مع بعضهم البعض الجزائر.
وكانت هناك دعوات للمواءمة التنظيمية. على سبيل المثال، إدارة بايدن-هاريس الاستراتيجية الوطنية للأمن السيبراني صدر العام الماضي يدعو إلى تنسيق وتبسيط اللوائح الجديدة والحالية لتخفيف عبء الامتثال.
ولكن في الوقت نفسه، يتعين على فرق قيادة المؤسسات أن تعمل في هذا المشهد التنظيمي المعقد، والذي أصبح أكثر تعقيداً بسبب القضايا المتعلقة بالميزانية.
“الميزانيات الأمنية لا تنمو في معظمها. لذا، هناك هذا التوتر بين تحويل الموارد إلى الأمن مقابل تحويل الموارد إلى الامتثال… علاوة على كل شيء آخر يحدثه كبار مسؤولي أمن المعلومات،” كما يقول الجزائر.
إذن، ما الذي يجب أن يفعله كبار مسؤولي تكنولوجيا المعلومات وفرق قيادة المؤسسات أثناء استمرارهم في العمل بموجب قواعد هيئة الأوراق المالية والبورصات والالتزامات التنظيمية الأخرى؟
يقول داس: “يجب على مسؤولي أمن المعلومات أن يضعوا في اعتبارهم القدرة على الوفاء بالمتطلبات التي وضعتها هيئة الأوراق المالية والبورصة بسرعة وسهولة وكفاءة، خاصة إذا وقعوا ضحية لهجوم”. “وهذا لا يعني وجود العمليات الصحيحة فحسب، بل يعني أيضًا الاستثمار في الأدوات التي يمكن أن تضمن حدوث التقارير في الجدول الزمني المكثف الجديد.”
يمكن أن تكون الأدوات التي تدفع التشغيل الآلي جزءًا من الحل. يقول تشيس: “أعتقد أن هذا هو أحد المجالات التي يمكن لـ GenAI أن تساعدنا فيها في العامين المقبلين”. “إن القدرة على اكتشاف الأحداث بشكل أسرع ستساعدك على تلبية متطلبات إعداد التقارير.”
لكن الذكاء الاصطناعي سلاح ذو حدين. ومع تكاثر الأدوات الجديدة والمفيدة، تتكاثر المخاطر أيضًا. يشير ووكر: “أعتقد أنه ستكون هناك بيانات حساسة سيتم الكشف عنها نتيجة للذكاء الاصطناعي، وهو أمر يمكن الإبلاغ عنه بوضوح إذا كان ماديًا”.
ستة أشهر هي فترة قصيرة نسبيا في المشهد التنظيمي. مع مرور الوقت، ستكشف المزيد من الإيداعات وإجراءات التنفيذ المحتملة عن كيفية تشكيل قواعد هيئة الأوراق المالية والبورصات لنهج الشركات العامة في مجال الأمن السيبراني.
