Geçmişte Her yıl Uber’in eski güvenlik şefinin bir veri ihlalini yanlış yönetmekten dolayı federal mahkemede mahkum edildiğini, federal bir düzenleyicinin SolarWinds’in güvenlik şefini kendi siber saldırısından önce yatırımcıları yanılttığı iddiasıyla suçladığını ve şirketleri maddi açıdan etkili verileri kamuya açıklamaya zorlayan yeni düzenlemeleri gördük. dört iş günü içinde ihlaller.
Siber güvenlik alanında çalışmak hiç bu kadar riskli bir dönem olmamış gibi görünebilir.
Ancak Pazar günü Washington DC’de düzenlenen ShmooCon hacker konferansındaki bir panelden alınan çıkarım, siber güvenlikle ilgilenenlerin zorluklardan uzaklaşmaması gerektiği yönünde.
ShmooCon, sondan bir önceki yılında, güvenlik topluluğunun karşı karşıya olduğu en acil sorunlardan bazılarını tartışmak üzere bilgisayar korsanlarını, araştırmacıları, hükümet yetkililerini ve siber güvenlik yöneticilerini bir araya getiriyor. Bu yıl katılımcılar arasında duyulan ortak tema, siber güvenlik sektöründe çalışmanın giderek artan riskli doğasıydı. Infosec topluluğu, belki de sahada çalışmanın doğasında olan bir yan ürün olan yasal risklere yabancı değil, ancak artan yasal gözetim ve işin beraberinde getirdiği sonuçların daha fazla farkına varıyor.
Tartışmayı yöneten startup avukatı Elizabeth Wharton, eski SEC savcısı Danette Edwards ve teknoloji yatırımcısı Cyndi Gula, siber sorumluluk risklerinin kıdemsiz giriş seviyesi pozisyonlarından yönetici pozisyonlarına kadar nasıl değiştiğini araştıran bir panelde perspektiflerini ve tahminlerini paylaştılar süit.
Geçtiğimiz yıl, SEC’in artık şirketlerin “maddi” güvenlik olaylarını dört iş günü içinde kamuya açık 8-K dosyalarında açıklamasını gerektiren yeni siber raporlama kurallarının uygulamaya konulduğu görüldü. Kurallar Aralık ayında yürürlüğe girdi ve şirketler “maddi” etkinin ne anlama geldiğini anlamaya çalışırken, şirketlerin SEC’e yeni veri ihlali açıklamaları yapmasına neden oldu. Ayrıca, bir fidye yazılımı çetesinin kuralları kullanarak hacklediği şirketi düzenleyici kurumlara başvurmadığı için ihbar ettiği ilk vakaya da tanık olundu.
ShmooCon’da konuşan, şu anda savunma avukatı ve Katten hukuk firmasının ortağı olan Edwards, “İlk başta çok sayıda 8-K raporu göreceğiz ve ardından muhtemelen aynı siber saldırılarla ilgili birden fazla rapor göreceğiz” dedi.
Silver Key Strategies’in kurucusu ve daha önce Atlanta’nın fidye yazılımı olay müdahale ekibinde görev yapan Wharton, siber olayların saatlere göre değişebileceğini ve daha sonra açıklama gerektirebileceğini söyledi.
“Bir olayla uğraşırken ve dört gün sonra hâlâ dizinize kadar yanıt vermişken, ‘Vurun, çöp konteynırımız yanıyor!’ diye belirlediniz. ancak yanan çöp konteynırında hangi malzemelerin bulunması gerektiğini bile bilmiyorsunuz – ve raporlamaya başlamalısınız,” dedi Wharton. [those disclosures].”
Şeffaflığın uzaktan çalışmayla birleştiğinde diğer tarafı, her zamankinden daha fazla şeyin yazılması, kaydedilmesi veya başka şekilde kaydedilip belgelenmesidir. Bu, araştırmacılar için bir nimet, şirketler için ise baş ağrısı olabilir.
Wharton, “Her e-postanın ya anneniz tarafından ya da bir ifadede ya da bir SEC şikayetinde okunacağını varsayıyorum ve bu, su soğutucusu konuşmasını değiştiriyor” dedi. “Mutlaka ofislerde olmadığımız için, bunu mutlaka yazılı olarak yazmanıza gerek kalmıyor ve komik olduğunu düşündüğünüz için meslektaşlarınıza gönderdiğiniz memede bağlam kayboluyor.”
Edwards, “Ve düzenleyicilerin her zaman harika bir mizah anlayışı yoktur” dedi.
Gula Tech Adventures’ın yönetici ortağı Gula, “Kültür, özellikle yaptığımız işte, bir organizasyonun ayrılmaz bir parçasıdır, çünkü çok fazla güvenimiz var” dedi. “Şirketler yaptıkları her şeyin mercek altına alınacağı düşüncesiyle bu kültürü getirmekte zorlanacaklar.”
Şirketleri ve veri olaylarını kamuoyunun gündemine getiren yeni siber güvenlik raporlama kuralları, siber güvenlik yöneticilerinin de sorumluluğun bir kısmını üstlendiğini gösteriyor.
Ekim ayında SEC, SolarWinds CISO’su Timothy Brown’a, 2019 yılında Rus casusları tarafından şirkete yönelik bir siber saldırı öncesinde yatırımcıları şirketin güvenliği konusunda yanılttığı iddiasıyla suçlamalarda bulundu. SEC’in suçlamalarının çoğu Brown’ın şirket içinde paylaştığı iddia edilen yorumlardan kaynaklanıyor.
“Ayrıca pek çok insanın istemediğini de duyuyoruz. [to be CISO] Bu dikkatsizlik yüzünden ve sizin bile bilmediğiniz tüm bu tuzaklar zamanından önce ortaya çıktı” dedi birden fazla startupın yönetim kurulu üyesi olarak görev yapan Gula. “Lütfen bu pozisyondan ayrılmayın. Lütfen ayağa kalkın ve bunu yapın.”
Bu tavsiye üzerine Gula, belgelerin de yardımcı olabileceğini söyledi. Yöneticiler değişiklik yapmak, kusurları düzeltmek veya siber güvenlik eğitimini iyileştirmek zorunda kaldıklarında ancak planları veya bütçeleri reddedildiğinde şunu sorun: “Bunu yazılı olarak alabilir miyim?” Ekleme: “Sauron’un Gözü’nü üzerinizden çıkarmak için ne yaparsanız yapın, böylece yapmanız gereken şeyi söndürmek için yüzüğü ateşe atmaya devam edebilirsiniz; bu önemli.”
Zack Whittaker Washington DC’deki ShmooCon’dan bildiriyor.