Şirketler ve onların CISO’ları, siber güvenlik ve veri ihlali açıklama süreçlerini uyumlu hale getirmezlerse, ABD Menkul Kıymetler ve Borsa Komisyonu’ndan (SEC) yüzbinlerce ila milyonlarca dolar arasında değişen para cezaları ve diğer cezalarla karşı karşıya kalabilirler ile şimdi yürürlüğe giren yeni kurallar.
Kendilerini bir soruşturmanın yanlış tarafında bulanlar için, SEC’in yaptırım amacıyla kullanabileceği çeşitli araçların bulunduğunu bilmek önemlidir. Bunlar, davalıya davanın merkezindeki davranışı durdurmasını emreden kalıcı bir tedbirden, haksız kazançların geri ödenmesine ve astronomik para cezalarıyla sonuçlanabilecek üç kademeli artan cezalara kadar geniş bir yelpazeyi kapsıyor.
Buna ek olarak SEC, bir kişiyi diğer şirketlerin yönetim kurulu üyeliği gibi belirli rollerden men edebilir; bu tür durumlar aynı zamanda artan yasal ücretlere, işletmenin ve yöneticilerin itibarının zarar görmesine ve hissedar davalarından kaynaklanan parasal zararlara yol açabilir.
SEC İhlal Kurallarının Dişleri Var
Henüz herhangi bir yaptırım eylemi gerçekleştirilmiyor ancak birçok açıdan şirketlerin “önemli” siber güvenlik olaylarını ifşa etmek SEC’in mevcut soruşturma ve ceza çerçevesine uyuyor. Sonuç olarak şirketlerin SEC’in soruşturmasına hazır olması gerekiyor.
Greenberg Traurig, LLP hukuk firmasının ABD Veri Gizliliği ve Siber Güvenlik Uygulaması hissedarı ve eş başkanı Jena Valdetero, bunun CISO’ları kurallara uyma becerisiyle güçlendirmek anlamına geldiğini söylüyor.
“SEC bunun bir uygulama önceliği olduğunu çok açık bir şekilde ortaya koydu, bu nedenle bu konuda Belediye Binası ile aslında bir kavga yok” diyor ve ekliyor: “CISO’ların bu kadar endişelenmekte haklı olduğunu düşünüyorum çünkü SEC açıkça ‘CISO ile bu işi durduracağız’ dedi [because they are] Hangi siber güvenlik uyumluluk önlemlerinin alındığını ve hangi risklerle karşı karşıya olduklarını bilen en iyi kişi.”
Bu “para” daha çok güzel paralara benzeyebilir. SEC’in geleneksel olarak dört ana ceza türü vardır ve bunların tümü siber dünyaya uygulanabilir. Bunlardan ilki, bir şirketin ve bireylerin belirli bir tür faaliyeti sürdürmesini engelleyen kalıcı tedbirdir. İkincisi, haksız kazançların dağıtılması, dolandırıcılık veya ifşa etmeme yoluyla elde edildiği iddia edilen kâr miktarına eşit cezalarla sonuçlanır. Üçüncüsü, Greenberg Traurig’in hissedarı ve SEC’in icra şubesindeki eski kıdemli avukat Steve Malina’ya göre, bir kişinin memur veya yönetici olarak görev yapmasını yasaklayan bir emir isteyebilirler.
Ancak kendisi, bu üç hafifletme biçiminin potansiyel para cezalarıyla karşılaştırıldığında oldukça küçük olduğunu söylüyor. Cezalar, SEC kurallarının herhangi bir ihlali durumunda ihlal başına 5.000 ABD dolarından başlıyor ve dolandırıcılığın söz konusu olup olmadığına ve yatırımcıların zarar görüp görmediğine bağlı olarak hızla ihlal başına 100.000 ABD dolarına veya kuruluşlar için 50.000 ABD doları ve 500.000 ABD dolarına yükseliyor. SEC ayrıca “yasayı ihlal ettiğinizi düşündüklerinde her seferinde çökebilir ve bunu bağımsız bir ihlal olarak adlandırabilir” diyor.
Malina, “İtibar zararını bir kenara bırakırsak, kalıcı tedbirin pek bir önemi yok; bu sadece yasayı bir daha ihlal etmeyeceğinize dair bir emir” diyor. “Fakat düzensizlik, Sivil Para Cezaları, bunların gerçek dişleri var ve birinin iş dünyasındaki geleceğine gerçekten zarar verebilirler.”
Bu cezalara itibar kaybı, hissedar davaları ve herhangi bir soruşturma veya davaya karşı savunma masraflarının dahil olmadığı belirtiliyor.
Üst Düzeyde Korku ve Nefret
Geleneksel yaptırım cezalarının yanı sıra, SEC yaptırım eylemlerinin önünde başka maliyetler de var.
SEC’in SolarWinds ve onun CISO’su Timothy Brown’a karşı uyguladığı yaptırımlar yöneticileri hazırlıksız yakaladı; belki de SEC düzenlemelerinden daha fazla. Ajans olsun davasını kazanır, veya SolarWinds ve Brown kendilerini başarıyla savunuyorlardavanın maliyeti ve bunun şirketin itibarı üzerindeki etkisi, herhangi bir SEC yaptırım eyleminin verebileceği zararı vurgulamaktadır.
CISO’lar için belki de en endişe verici olan şey, kişisel sorumluluk tarihsel olarak sorumluluk sahibi olmadıkları birçok ticari faaliyet alanıyla karşı karşıyadırlar. CISO’ların yalnızca yarısı (%54) SEC’in kararına uyma yeteneklerinden emin ve CISO’ların üçte ikisi (%68) bunalmış hissediyor yeni kurallara göre, AuditBoard’un 300 yöneticiyle yaptığı anketbulut tabanlı bir risk ve uyumluluk platformu.
Şirketin bilgi güvenliğinden sorumlu başkan yardımcısı Richard Marcus, “Üst düzey yöneticilerin her zaman sorumlulukları vardı, ancak CISO’ların artık daha önce hiç sahip olmadıkları düzeyde kişisel sorumlulukları var” diyor. “Bunun üstesinden gelmek için belirlenmiş bir süreciniz yoksa ve yanlış karar verirseniz ve yapmanız gereken zamanı açıklamayı başaramazsanız, kişisel olarak sorumlu tutulabilirsiniz – konuştuğumuz birçok CISO bu konuda endişeleniyorum.”
Bütün bunlar bir şeye yol açıyor CISO’nun rolünün kapsamlı bir şekilde yeniden düşünülmesiLowenstein Sandler LLP hukuk firmasının bilgi güvenliğinden sorumlu kıdemli yöneticisi – esasen CISO vekili – Ken Fishkin diyor.
“Birçok insan bu sorumluluk nedeniyle şu anda benim gibi bir pozisyonda bulunmaktan dolayı çok gergin” diyor. “Bu bir şirket meselesi, kesinlikle sadece CISO meselesi değil. Herkes, yasal onay almadan açıklamaların incelenmesi konusunda çok temkinli davranacaktır – bunu neden söyleyeyim ki? – çünkü kendilerine karşı suçlamalarda bulunulmasından çok endişeleniyorlar. Bir deyim.”
Endişeler işletmeler için ek maliyetlere neden olacaktır. Ek sorumluluk nedeniyle şirketlerin daha kapsamlı olması gerekecek Direktörler ve Memurlar (D&O) sorumluluk sigortası Bu sadece bir CISO’nun kendisini savunması için yapacağı yasal masrafları değil, aynı zamanda bir soruşturma sırasındaki masraflarını da kapsar.
Telos Corp.’un teknoloji çözümlerinden sorumlu kıdemli başkan yardımcısı Josh Salmanson, bir siber risk olan CISO’larını desteklemek ve korumak için ödeme yapmayan işletmelerin bu pozisyon için işe alım yapamayabileceğini, aksine CISO’ların destekleyici şirketler bulmakta zorluk yaşayabileceğini söylüyor. yönetim firması.
“CISO olmak isteyen daha az insan göreceğiz ya da çok daha yüksek maaş talep eden insanlar göreceğiz çünkü kamuoyu önünde ‘yakalanana’ kadar bunun çok kısa vadeli bir görev olabileceğini düşünüyorlar” diyor. “Şirketin desteğiyle ve ihtiyaç duydukları finansmanla gerçekten ideal bir ortama sahip olacak insan sayısı muhtemelen az kalacak.”
Belirlenmiş Politikalar, İyi Niyet, Not Tutun
Yine de gümüş bir astar var. SEC’in ihlali açıklama kuralı, şirketleri güvenliğe dikkat etmeleri ve bir güvenlik olayının yatırımcılar için önemli olup olmadığına ilişkin tartışmalardan elde edilen kanıtlar da dahil olmak üzere bir süreç oluşturmaları gerektiği konusunda uyardı; ancak bu muhtemelen güvenliğin daha bilinçli olduğu kuruluşlarLowenstein Sandler LLP’nin ortağı Kathleen McGee diyor.
“Olay meydana gelmeden önce bir politikanız olduğundan, paydaşların kim olduğunu bildiğinizden, bu tespitleri kimin yapacağını bildiğinizden ve süreci belgelediğinizden emin olun; böylece SEC sizi arar ve olayın ne olduğunu anlamak isterse düşünce süreci şuydu; hazırda iyi bir açıklamanız var” diyor.
Bir politikası olan ve bu politikayı takip eden şirketlerin ve CISO’ların, daha sonraki kanıtlar ilk kararın yanlış olduğunu gösterse bile, yaptırım eylemleri konusunda muhtemelen çok fazla endişelenmelerine gerek kalmayacağını söylüyor.
“Eğer [companies and their CISOs] Öncelikle olayın önemli olmadığına karar verin ve ardından [they] McGee, beni bunun önemli olduğuna inandıracak yeni bir bilgiyle karşılaştığımda, kaydı düzeltmek için dört gün de olsa zamanları olacağını söylüyor.