Soru: Güvenlik liderleri SEC’in siber güvenlik ve ifşa kurallarında nasıl hareket etmelidir? Uyumluluğu sağlamak için ne yapmaları gerekiyor?
Michael Gray, Thrive’ın CTO’su: Menkul Kıymetler ve Borsa Komisyonu (SEC) Siber Güvenlik Risk Yönetimi, Strateji, Yönetişim ve Olay Açıklama kuralları 2023’ün sonlarına doğru yürürlüğe girmesine rağmen birçok kuruluşun başvuru ve açıklamalar konusunda hâlâ soruları var. Bu kurallara göre kuruluşlar, önemli siber güvenlik olaylarını açıklamalı ve siber güvenlik duruşlarına ilişkin yıllık güncellemeler sağlamalıdır. Siber güvenlik güncellemelerini bazen kısa zaman aralıklarında doğru bir şekilde paylaşabilmek, ekiplerin 8-K ve 10-K dosyalamaları konusunda derinlemesine bilgi sahibi olmasını ve uyumluluğu kolaylaştıran yeni süreçleri uygulamasını gerektirir.
8-K ve 10-K Dosyalama Arasındaki Fark
8-K başvuruları genel olarak halka açık şirketlerin, yatırımcıların yatırım kararları alırken muhtemelen bilmek isteyebilecekleri önemli olaylar hakkında bilgi paylaşmak için kullandıkları periyodik raporlardır. SEC’in siber güvenlik kuralları artık açıkça şirketlerin maddi siber güvenlik olaylarını Form 8-K’nın 1.05 Maddesi aracılığıyla açıklamasını gerektiriyor.
10-K kayıtları ise halka açık bir şirketin geçtiğimiz yıldaki mali ve operasyonel performansını özetleyen ayrıntılı yıllık raporlardır. Bir şirketin sorumluluğunun bir kısmı, işin iç olaylarını paydaşlara açıklamaktır ve 10-K başvuruları, yatırımcıların yatırımları hakkında bilinçli kararlar alabilmeleri için eğitilmesine yardımcı olur. Halka açık şirketlerin artık yıllık 10-K dosyalarına siber güvenlik stratejileri, yönetimleri, algılanan tehditler ve yıl boyunca meydana gelen maddi olaylar hakkındaki bilgileri dahil etmeleri gerekiyor.
8-K: Önemliliği Tanımlayın
Bugün siber güvenlik ekipleri arasında yaygın bir soru, bir siber güvenlik olayının (mali sonuçlar üzerinde önemli etkisinin yanı sıra şirketin operasyonları, itibarı, uyumluluğu ve müşteri veya paydaş ilişkileri üzerinde etkileri olan olaylar) “önemli” olup olmadığının nasıl belirleneceğidir ve 8-K dosyalamayı hak ediyor. SEC’in kılavuzuna göre, önemli gelir kayıplarına, operasyonel kesintiye veya aksama süresine, olumsuz medyada yer almaya, yasal riske ve müşteri veri kaybına neden olan olaylar gibi, rasyonel bir yatırımcının olay hakkında bilgi edinmek istemesi durumunda bir siber güvenlik olayının önemli olduğu yönündedir. Örneğin, Healthcare fidye yazılımı saldırısını değiştirin Önemliydi; hastaların verileri ele geçirildi ve şirkete güvenen hastaneleri, klinikleri ve sağlık çalışanlarını olumsuz etkiledi. Öte yandan, bir iş e-postası yoluyla bir kişiyi hedef alan bir kimlik avı planı, büyük olasılıkla iş için önemli bir gelir kaybına yol açmayacağından veya şirket paydaşlarını etkilemeyeceğinden (özellikle yalnızca kişisel bilgiler verilmişse) önemli sayılmaz.
Şirketler, olayın meydana gelmesinden sonraki dört iş günü içinde değil, olayın tespit edilmesinden sonraki dört iş günü içinde 8-K bildiriminde bulunmalıdır. Açıklanması gereken ek önemli bilgilerin belirlenmesi durumunda şirketler, olayı açıklayan orijinal 8-K’da değişiklik yapacaktır. Çoğu durumda, siber güvenlik ekipleri olayla ilgili ek ayrıntıları ortaya çıkaracak ve bunları daha sonra SEC’e sunacakları raporlarda paylaşacaklar. Şirketlerin ayrıca, ek gerçekler belirlendikten sonra doğru olmadığı tespit edilen önceki bir açıklamayı düzeltme görevi de vardır.
10-K: Çok Fazla ve Çok Az Bilgiyi Açıklamak
10-K dosyaları, siber güvenlik ekiplerinin şirketin siber güvenlik programı ve stratejisinin mevcut durumuna ilişkin ayrıntıları paylaştığı yerdir. SEC’in açıklama kuralları, kuruluşların siber güvenlik faaliyetlerini kimin denetlediğini belirlemelerini ve siber güvenlik tehditlerinden kaynaklanan önemli riskleri nasıl değerlendirdiklerini, keşfettiklerini ve azalttıklarını açıklamalarını gerektirir. 10-K’nın 106. maddesi aynı zamanda ekiplerin geçen yılki maddi olayları yeniden inceleyebileceği ve şirketin olaydan bu yana gösterdiği tepki ve performans hakkında ek yorumlar sunabileceği yerdir. Madde 106 ayrıca kuruluşların yönetim kurulunun risklere ilişkin gözetimini ve yönetimin maddi riskleri değerlendirmedeki rolünü tanımlamasını gerektirir. 10-K başvuruları, daha önce 8-K başvurularında rapor edilen bir olayla ilgili bilgiler açısından mutlaka “yeni” değildir; bunun yerine, iş üzerinde bunun sonucunda ortaya çıkan etki ve şirketin karşı karşıya olduğu, önceki olay.
Yine ne kadar bilginin açıklanacağına ilişkin temel kural, şirketlerin hissedarlara sağlam yatırım kararları verebilmeleri için yeterli bilgi vermesi gerektiğidir. Göz önünde bulundurulması gereken birkaç ayrıntı arasında şirketinizin bir CISO’su olup olmadığı, yönetim kurulu ve genel olarak çalışanlar için hangi siber eğitim programlarının uygulandığı ve kurulda herhangi birinin ayrıntılı siber güvenlik bilgisine veya uzmanlığına sahip olup olmadığı yer alır. Çoğu zaman bu, kritik ayrıntıları gizlemek yerine şeffaflığa yönelmek anlamına gelir.
Uyumluluğu Kolaylaştırın
8-K ve 10-K başvurularının dışında çalışanların şirketin kapsamlı siber güvenlik çerçevesini anlamaları gerekir. Bu çerçeve, kuruluşun genel olarak siber güvenliğe nasıl yaklaştığını kapsamalı, olaylara müdahale prosedürlerini belgelemeli ve kuruluşun zaman içinde nasıl geliştiğini özetlemelidir.
Modern kuruluşların siber güvenlik olaylarından önce ve sonra riskleri azaltabilmeleri gerekir. Tehditlerin sürekli olarak gelişmesi nedeniyle siber güvenlik liderleri siber güvenlik yeteneklerini sık sık denetlemelidir. Bu, potansiyel güvenlik açıklarının belirlenmesini ve etkili risk yönetimi stratejilerinin uygulanmasını, ağınızda ve uç noktalarınızda gerçek zamanlı testler yürütülmesini ve siber güvenlik politikaları konusunda sürekli iletişim kurmayı ve personeli eğitmeyi içerir. SEC bu alanda yardımcı olabilecek hazırlık değerlendirmeleri sağlar.
Bir olay meydana geldikten sonra liderler, kuruluşun ne kadar iyi tepki verdiği üzerinde düşünmeli ve önemli ayrıntıların 8-K içinde kapsamlı bir şekilde belgelendiğinden emin olmalıdır. Şirketler ayrıca uyumluluk durumlarını düzenli olarak gözden geçirmek için hukuk uzmanlarıyla temasa geçmelidir. Ayrıca çalışanların, şirketin raporlama yükümlülüklerinin farkında olmaları ve olay müdahalesi ve yıllık okumalar söz konusu olduğunda rollerini anlamaları için SEC’in siber güvenlik açıklama kuralları konusunda özel eğitime ihtiyaçları vardır.