Menkul Kıymetler Borsası Komisyonu tarafından geçtiğimiz ay onaylanan yeni siber güvenlik açıklama kurallarının amaçlarından biri de yatırımcılara halka açık şirketlerle ilgili siber güvenlik riskleri hakkında daha iyi bilgi vermek. Diğer amaç ise halka açık şirketleri siber güvenlik ve risk duruşlarını geliştirmeye teşvik etmektir.
Ancak, tam olarak hangi olayların bildirileceği ve bilgi ifşa edilirken hangi ayrıntıların gerekli olduğu konusunda endişeler girdap oluşturduğundan, Şeytan ayrıntılarda gizli görünüyor. En önemlisi, kurallar, kuruluşların herhangi bir güvenlik olayının ne zaman önemli olduğunu belirlemek için bir mekanizma oluşturmasını gerektirir. Birkaç nedenden dolayı, bu görev aldatıcı bir şekilde zordur.
SEC düşünüyor olay malzemesi şirketin mali durumu, faaliyetleri veya müşterileriyle olan ilişkileri üzerinde önemli bir etkiye sahip olup olmadığı. Yazıldığı şekliyle yeni kurallar, “Şirketin siber güvenlik olayının önemli olduğunu belirlemesinden sonraki dört (4) iş günü içinde önemli siber güvenlik olaylarının 8-K Formu açıklaması” gerekliliğini içeriyor. Var 8-K’de açıklanması gerekenler için özel gereklilikler: Olayın ne zaman fark edildiği ve devam edip etmediği; olayın niteliği ve kapsamı hakkında kısa bir açıklama; herhangi bir verinin çalınıp çalınmadığı, değiştirilmediği, erişilmediği veya başka bir yetkisiz amaç için kullanılıp kullanılmadığı; olayın işletmenin faaliyetleri üzerindeki etkisi; ve şirketin olayı düzeltip düzeltmediği veya şu anda düzeltiyor olup olmadığı.
Ancak bir olayın “önemli” olup olmadığını belirlemek, kuruluşların hazırlandığından daha karmaşık olabilir. Bu belirlemeyi düzenli olarak yapmak için bir üst düzey yönetici grubu oluşturmanın getirdiği bürokratik ve lojistik sorunların ötesinde, çirkin gerçek şu ki, zaman geçtikçe ve ek analizler tamamlandıkça güvenlik olayları çok farklı görünüyor. Bu, komite yalnızca bir gün önce keşfedilen bir veri ihlaline bakarsa, eksik ve muhtemelen kusurlu ön verilere dayanarak karar verme ihtimalinin çok yüksek olduğu anlamına gelir.
Bu, işletme yöneticilerini kazanamayacakları bir senaryoya sokar. Birinci seçenek, hızlı hareket etmeyi seçmeleri ve bir olayı, hiç de maddi bir olay olmadığı ortaya çıkan bir maddi güvenlik olayı olarak bildirme riskini göze almalarıdır. İkinci seçenek, adli tıp analizinin ve yedek dosyaların incelenmesinin daha eksiksiz ve doğru bir resim sunmasına izin vermek için ellerinden geldiğince beklemeleri, ancak SEC’in ve/veya yatırımcıların daha sonra zaman çizelgesini keşfedip suçlama riskini almalarıdır. zamanında ifşa etmeme girişimi.
Açıklama Zaman Çizelgesi Aynı Zamanda Bir Zorluk
SEC’in -kurum bir olayın maddi olduğuna karar verene kadar geri sayıma başlamayan- dört günlük açıklama takvimi de sorunludur. Herhangi bir SEC dosyası, Güvenlik Operasyon Merkezi (SOC) personelinin olayın ayrıntılarının bir listesini hazırlamasını gerektirecektir. Bu ayrıntılar, yatırımcı ilişkileri tarafından da gözden geçirilmesini gerektirecek olan SEC dosyalama taslağını hazırlamak için Hukuk bölümüne gidecektir. Bu tür herhangi bir dosyalamanın ayrıca CFO ve CEO tarafından incelenip onaylanması gerekecektir. CEO, dosyalamadan önce yönetim kurulu üyeleri tarafından yürütmek isteyebilir. Bu süreç, ideal koşullar altında bile dört günden uzun sürebilir.
ABD Adalet Bakanlığı’nın ileri teknoloji suçlar grubuna başkanlık eden siber güvenlik konularında uzmanlaşmış bir avukat olan Mark Rasch, şirketlerin maddi güvenlik olaylarını bildirme gerekliliği konusunda yeni bir şey olmadığını vurguladı. SEC, 1933’te kurulduğundan bu yana halka açık şirketlerin herhangi bir önemli olayı bildirmesini zorunlu kıldı. Yeni olan, zaman çizelgesi.
Bu, kurumsal liderliğin neyin önemli bir olayı oluşturduğu konusunda derinlemesine düşünmesini gerektirir. Dikkate alınan faktörlerden bazıları, kuruluşun sektörlerini, ilgili coğrafyaları, operasyonların doğasını ve işletmenin çekmesi muhtemel saldırganların/saldırıların türlerini içerir. Örneğin, silah sistemleri üzerinde çalışan bir askeri taşeron, ürün planlarını çalan birinin bir tarım şirketinin yapamayacağı kadar önemli olduğu sonucuna varabilir.
Rasch’ın üzerinde durduğu bir diğer nokta ise tanımlardır. Güvenlik uzmanları ve avukatlar “veri ihlalini” çok farklı tanımlar. Bir güvenlik yöneticisine göre, yetkisiz bir kişinin kimlik doğrulama sisteminden geçerek korunan alanlara girmesi bir güvenlik ihlalidir. Bir avukata göre, verilere erişilmesi, verilerin dışarı sızdırılması veya değiştirilmesi/silinmesi bir ihlaldir. Bu tanım, çeşitli uyumluluk gerekliliklerine dayanmaktadır.
SEC herhangi bir güvenlik olayı arıyor. Örneğin, bir DDOS saldırısı kesinlikle maddi bir güvenlik olayı olabilir, ancak tek başına genellikle bir veri ihlali olarak değerlendirilmez.
Önemli Bilgiler Dışarıda Bırakıldı
Daha da önemlisi, SEC, 8K dosyalamasında yer alan bilgiler hakkında bir muafiyet oluşturmuştur. Gereklilik, “kayıt sahibinin olaya veya siber güvenlik sistemlerine, ilgili ağlarına ve cihazlarına veya potansiyel sistem açıklarına yönelik planlı müdahalesi hakkında, tescil ettirenin olaya yanıt vermesini veya olayı düzeltmesini engelleyecek kadar ayrıntılı, spesifik, teknik bilgileri” kapsamayacaktır.
Rasch, saldırıyla ilgili bazı ayrıntıların ifşa edilmesi soruşturmayı engelleyebileceği veya potansiyel saldırganlara çok fazla bilgi verebileceği için muafiyetin gerekli olduğunu söylüyor. Ancak muafiyet, şirketler tarafından yatırımcılara ve potansiyel yatırımcılara anlamlı ve değerli bilgiler sağlayacak kadar spesifik bir şey söylemekten kaçınmak için de kullanılacaktır.
Günümüzde birçok açıklama, müşterilerin belirli bir üründen bıkıp onu satın almayı bırakması gibi belirsiz varsayımsal risklerden bahsediyor. Rasch, bu spekülatif yorumları “pablum” olarak adlandırıyor ve bunların yatırımcılar için neredeyse her zaman değersiz olduğunu savunuyor. Rasch, “Sonunda bu pablum açıklamalarından çok daha fazlasını alacaksınız,” diyor.
Güvenlik aracı satıcısı Sysdig’in siber güvenlik stratejisi direktörü olan başka bir siber güvenlik uzmanı olan Michael Isbitski, Rasch’ın endişesine katılıyor ve Temmuz ayında yatak şirketinin Tempur Sealy bir veri ihlali bildirdi. Açıklama, bir siber güvenlik olayının meydana geldiğini ve bunun sonucunda şirketin “şirketin belirli BT sistemlerini” kapattığını ve operasyonlarında “geçici bir kesinti” yaşadığını ortaya koydu. Ayrıca şirketin “kritik BT sistemlerinden bazılarını tekrar çevrimiçi hale getirme sürecini başlattığını”, bunun da bazı BT sistemlerinin hala çevrimdışı olduğu anlamına geldiğini söyledi. Ancak hangi sistemlerin ne kadar süreyle kapatıldığı veya bu diğer sistemlerin ne kadar süre kapalı kalacağı hakkında hiçbir ayrıntı yok.
Isbitski, bunun “bir evrak seliyle” sonuçlanmasını beklediğini söylüyor. Şirketler çok fazla rapor verecek, çok fazla 8K formu açılacak.”
“Net bir tanım yok. Örgütlerin bunu net veya etkili bir şekilde yaptığını görmüyorum. Güvenlik topluluğunda ihlalin ne olduğu konusunda bile bir uyumumuz yok,” diyen Isbitski, yöneticilerin neredeyse her türlü anlamlı ayrıntıyı bildirmenin potansiyel saldırganların “güvenlik açısından zayıf olduğumuzu veya geliştirme ekiplerimizin emmek.”
Belirlemeyi Kim Yapar?
Potansiyel olarak yıldırıcı bir lojistik sorun, söz konusu şirketin bir güvenlik olayını nasıl tanımlamayı seçtiğine ve işin boyutuna ve doğasına bağlı olarak her hafta çok sayıda güvenlik olayıdır.
Görüşülen uzmanların çoğu, bir yönetim komitesine gözden geçirmesi için yalnızca birkaç olay verileceği konusunda hemfikirdi ve neredeyse kesinlikle 20’den fazla olmayacaktı.
“Birçok SOC’nin başarısız olacağı yer burasıdır. Bu güvenlik açıklarının çoğunu filtrelemek için bir yola ihtiyaçları var, böylece (yöneticiler) gerçekten kötüye kullanılabilir şeyler söyleyebilirler.”
B&H Photo ve Healthix’te görev yapmış ve şu anda sanal CISO şirketi Cyvergence’ı yöneten kıdemli bir CISO olan Matthew Webster, CISO ve SOC ekibinin yönetim komitesine hangi avuç dolusu vakanın sunulacağını belirlemek için tüm olayları gözden geçirmesinin bir sorun olduğunu kabul ediyor. CFO, IR, CIO, CISO, Hukuk, Risk, Denetim, Uyum ofislerinden temsilcilerden oluşan bir komite oluşturmanın önemli bir amacı, neyin önemli olduğu konusunda işletme için stratejik iş kararlarına varmaktır. Ancak bu tür kararlar çoğunlukla bir SOC çalışanı tarafından veriliyorsa, bu, böyle bir komite oluşturma noktasını kolaylıkla baltalayabilir.
Webster, “SOC bu kesintiyi yapıyorsa, zaten başarısız oldunuz” diyor.
Rasch, bunun sorumluluğu yönetim komitesine geri yüklediğini söylüyor. “Komitenin SOC’ye bilmesi gerekenleri söylemesi gerekiyor. Ve yönetim kurulunun bu yöneticilere, kurulun bilmek istediği şeyi söylemesi gerekiyor,” diyor Rasch. “Komitenin, CISO’ya ticari sırların ve iş süreçlerinin rapor edilmeden çalınması da dahil olmak üzere bilmek istedikleri şeyleri açık bir şekilde yönlendirmesi gerekiyor. Bir siber ortamda ve AI ortamında, çok önemli riskler vardır. Bunlar kullanılabilirlik, gizlilik, bütünlük, tedarik zinciri, sorumluluk ile ilgili risklerdir. Bu sadece ihlaller değil ve birincil ihlaller bile değil.”