لقد أصدرت هيئة الأوراق المالية والبورصة مؤخرا قواعد تنظيمية للأمن السيبراني تهدف إلى تعزيز حماية المستثمرين والشفافية. ومع ذلك، فإن الإفصاحات الأولية من قبل الشركات الكبرى تثير المخاوف بشأن فعالية القاعدة في توفير رؤية واضحة لموقف الأمن السيبراني للمنظمة.
وتدور قضية مركزية حول الافتقار إلى إرشادات محددة بشأن الأهمية النسبية في سياق الخروقات السيبرانية. وتشير الأهمية النسبية إلى المعلومات التي قد يعتبرها المستثمر مهمة لقرارات الاستثمار. وفي حين تحدد لجنة الأوراق المالية والبورصات الأهمية النسبية على هذا المستوى العالي، فإنها تفتقر إلى التفاصيل الملموسة. ويخلق هذا الغموض موقفًا صعبًا للشركات: الكشف عن معلومات ضارة محتملة حول حادث أمني، أو المخاطرة بتضليل المستثمرين من خلال الصمت. ومما يزيد من تعقيد هذا التحدي أن العديد من المنظمات لا تزال تعرب عن شكوكها بشأن استعدادها للامتثال، مع وجود عدد قليل فقط من الشركات التي لا تعترف بمثل هذه المعلومات. 40% الشعور بالثقة في أن مؤسستهم قامت بالاستثمارات اللازمة.
فهم مسألة المادية
إن التعريف الغامض للأهمية في الأمن السيبراني يخلق معضلة كبرى للشركات. فمن ناحية، قد يرتكب البعض خطأً في توخي الحذر الشديد والإبلاغ عن كل خرق، بغض النظر عن شدته. ومن ناحية أخرى، قد تفهم الشركات التي تتمتع بفهم أكثر ثباتًا لمشهد التهديد الفرق بين ناقلات الهجوم المختلفة وتعطي الأولوية للإبلاغ عن الحوادث ذات التأثير الحقيقي فقط. ويخلق هذا الغموض سيناريو مقلقًا ــ التقارير غير المتسقة عبر الشركات. وقد يُقدَّم للمستثمرين الذين يسعون إلى الحصول على صورة أكثر وضوحًا لموقف الأمن السيبراني للشركة وملامح المخاطر وجهة نظر غير دقيقة.
نحن نعلم الأساسيات التي ينبغي اعتبارها جوهرية. وفي حين تعتبر خروقات المعلومات الشخصية (PII) جوهرية على نطاق واسع، فإن الخط الفاصل يصبح أكثر ضبابية عندما يتعلق الأمر بالوصول غير المصرح به. بالنسبة لبعض الشركات، قد يؤدي أي بريد إلكتروني مخترق للموظفين إلى الكشف، بينما قد تعتبر شركات أخرى وصول كبار المسؤولين التنفيذيين فقط جوهريًا. وقد تركز شركات أخرى فقط على التأثير المالي المحتمل للاختراق. هل خسرت الشركة بضع دقائق فقط من التوقف، أم عانت الإنتاج من اضطرابات كبيرة قد يكون لها عواقب طويلة الأجل؟ يمكن أن يكون الفارق في التكلفة بين هذين السيناريوهين هائلاً.
الغموض مقابل الإفراط في المشاركة
حتى الآن، رأينا العديد من الشركات الكبرى تتقدم بطلبات مبكرة، وهو ما قد يعني ببساطة أن هذه الشركات لديها استراتيجية صارمة للأمن السيبراني، مما يدل على استعدادها لمشاركة المعلومات بحرية. وقد يعني هذا أيضًا أنها تحاول تحديد المعايير لما يعتبر جوهريًا. وبصفتي قائدًا في مجال الأمن السيبراني، لا أستطيع أن ألومهم على هذا التكتيك، حيث ستبدأ المياه في التعكير مع تقديم المزيد من الطلبات. ولكن لا يمكننا أن نتحمل مخاطر قيام عدد قليل من الشركات الكبرى بتحديد معايير الشفافية على مستوى الصناعة.
إن الإسراع في الكشف عن كل شيء ليس هو الحل، حيث إن المستثمرين الذين يسعون إلى الحصول على صورة واضحة لموقف الأمن السيبراني للشركة قد يتعثرون بسهولة بسبب التفاصيل المفرطة، مما يعيق القدرة على التركيز على المخاطر الأكثر أهمية والقدرة على اتخاذ قرارات مستنيرة. كما يمكن أن يساهم هذا العبء الزائد من المعلومات في زيادة عدم حساسية الجمهور عندما يتعلق الأمر بوابل مستمر من عناوين الهجمات الإلكترونية في وسائل الإعلام. وهذا له عواقب وخيمة، لأنه يقلل من شدة هذه الأحداث.
وعلاوة على ذلك، قد ينشأ سباق نحو القاع في ممارسات الإفصاح. ومع تزايد عدد الملفات المقدمة، قد تطغى الشفافية الأولية من جانب بعض الشركات على سعي شركات أخرى إلى الحد من تأثير الحوادث. وقد يؤدي هذا إلى حالة يتم فيها التقليل من أهمية حتى الانتهاكات الكبيرة، مما يؤدي إلى تآكل ثقة المستثمرين وربما خلق شعور زائف بالأمان داخل السوق. إنه نوع من متلازمة الذئب الباكي.
أتطلع قدما
إن إيجاد أرضية مشتركة بين الشفافية وحماية المعلومات الحساسة يشكل تحديًا رئيسيًا للشركات التي تتكيف مع هذه اللوائح الجديدة للإفصاح عن الأمن السيبراني. ومن المفهوم أن تشعر الشركات بالقلق إزاء الكشف عن تفاصيل تقنية للغاية يمكن أن تكون بمثابة خريطة طريق للجهات الفاعلة السيئة. ومع ذلك، تظل الشفافية الكاملة أمرًا حيويًا. فبدون رؤية واضحة لموقف الأمن السيبراني للمنظمة وملف المخاطر، يفتقر المستثمرون إلى المعلومات الحاسمة لاتخاذ قرارات مستنيرة.
يمكن أن تساعد الأتمتة بشكل كبير في هذه العملية من خلال جمع الأدلة والجداول الزمنية، وتعزيز التعاون بين الفرق المنعزلة، وتسهيل ألعاب الحرب والتدريبات على الطاولة. يمكن لهذه التمارين التحقق من صحة السيناريوهات الشائعة وإجراءات الدليل، مما يساعد في نهاية المطاف في تحديد أهمية الحوادث وتوجيه قرارات الإفصاح.
يتعين على هيئة الأوراق المالية والبورصات أن تعمل مع قادة الصناعة لوضع إرشادات واضحة ومتسقة فيما يتصل بـ “الجوهرية”. وهذا من شأنه أن يمكّن الشركات من الوفاء بالتزاماتها بالإفصاح مع الحد من خطر تسليم المهاجمين عن غير قصد دليلاً إرشادياً. ومن خلال هذا التعاون فقط يمكن لهذه اللوائح أن تحقق أهدافها المرجوة: تعزيز ثقة المستثمرين وتعزيز المشهد العام للأمن السيبراني.
