Η SEC δίνει εντολή στις δημόσιες εταιρείες να αποκαλύπτουν περιστατικά στον κυβερνοχώρο

By

Marizas Dimitris

On

Δεκ 26, 2023

Τι πρέπει να ξέρετε

Οι παραβιάσεις της κυβερνοασφάλειας φαίνεται να είναι πιο συνηθισμένες με τις πρόσφατες παραβιάσεις υψηλού προφίλ MGM, Ardent Hospital, Xfinity και Insomniac.
Οι εγκληματίες του κυβερνοχώρου έχουν κίνητρο να συνεχίσουν να επιτίθενται σε αυτές τις εταιρείες, οι εταιρείες χρειάζονται περισσότερα κίνητρα για να βελτιώσουν την προστασία παρά να σχεδιάσουν την ανάκτηση

μι

ας παραβίασης.
Οι νέοι κανόνες της SEC τέθηκαν σε ισχύ στις 15 Δεκεμβρίου, υποχρεώνοντας οποιαδήποτε δημόσια εταιρεία να αποκαλύψει ένα περιστατικό στον κυβερνοχώρο εντός τεσσάρων ημερών.
Άλλοι κυβερνητικοί κανονισμοί αναγκάζουν επίσης τις εταιρείες να πληρούν ένα βασικό πρότυπο για τη συμμόρφωση με την κυβερνοασφάλεια με την ελπίδα να προστατεύσουν τη χώρα και τους συμμάχους μας.

Φαίνεται ότι δεν μπορεί να περάσει μια εβδομάδα χωρίς να ακούσουμε για μια υψηλού προφίλ μαζική παραβίαση της ασφάλειας στον κυβερνοχώρο. Η συζήτηση της πόλης στον κόσμο των τυχερών παιχνιδιών αυτή τη στιγμή είναι η πρόσφατη παραβίαση ransomware του Insomniac από την ομάδα ransomware Rhysida. Ωστόσο, ορισμένες μεγαλύτερες παραβιάσεις που έγιναν τις τελευταίες 30 ημέρες θα ήταν η παραβίαση του Ardent Hospital που επηρέασε 30 νοσοκομεία σε 4 πολιτείες. Η Xfinity επιβεβαίωσε μια παραβίαση την περασμένη εβδομάδα αποκαλύπτοντας ότι επηρεάστηκαν/κλάπηκαν πληροφορίες 36 εκατομμυρίων πελατών.

Κάτι πρέπει να αλλάξει και πρόσφατα ακόμη και ο Satya Nadella,

Διευθύνων Σύμβουλος

της Microsoft, ζήτησε περισσότερη ρύθμιση για την ασφάλεια στον κυβερνοχώρο. Ας ρίξουμε μια ματιά σε μερικές από τις πρόσφατες αλλαγές στον κανονισμό για την κυβερνοασφάλεια στις ΗΠΑ και αν μπορούν να βοηθήσουν στην προστασία των εταιρειών από επιθέσεις στον κυβερνοχώρο.

Γιατί η κυβέρνηση των ΗΠΑ επιβάλλει περισσότερους κανονισμούς για την ασφάλεια στον κυβερνοχώρο;

Επίσης, που συζητήθηκε προηγουμένως, υπήρξαν τόσες πολλές τεράστιες παραβιάσεις της κυβερνοασφάλειας πρόσφατα που είναι δύσκολο να τις ονομάσουμε όλες. Έχει επίσης γίνει πολύς λόγος για υποτιθέμενους ρεπόρτερ ή δημοσιογραφικά μέσα που δεν επιθυμούν να συζητήσουν διαρροές που προήλθαν από παραβίαση δεδομένων, ειδικά στην περίπτωση των επερχόμενων παιχνιδιών της Insomniac που διέρρευσαν. Μερικά από τα επιχειρήματα που προβλήθηκαν από αυτά τα καταστήματα ήταν ότι πρέπει να σκεφτόμαστε το ανθρώπινο στοιχείο, ως επαγγελματίας στον κυβερνοχώρο, αυτό με ενοχλεί γιατί δεν σκέφτονται το ανθρώπινο στοιχείο στο τμήμα κυβερνοασφάλειας.

Οι περισσότεροι άνθρωποι που έχουν εργαστεί σε μια μεγάλη εταιρεία γνωρίζουν ότι τα τμήματα που υποχρηματοδοτούνται περισσότερο είναι συνήθως τα τμήματα Πληροφορικής και Κυβερνοασφάλειας. Δυστυχώς, οι εταιρείες δεν φαίνεται να θέλουν να επενδύσουν στη σωστή ασφάλεια στον κυβερνοχώρο παρά μόνο αφού έχουν μια παραβίαση.

Επιχειρήσεις για την ασφάλεια στον κυβερνοχώρο

έχει πολλά εξαιρετικά στατιστικά και έρευνα για το παγκόσμιο τοπίο της κυβερνοασφάλειας. Η ομάδα της Cybersecurity Ventures δημοσίευσε ένα βίντεο που συζητά το εκτιμώμενο κόστος ζημιών από το έγκλημα στον κυβερνοχώρο το 2023.

Δεδομένου ότι οι περισσότερες εταιρείες έχουν αποφασίσει, σωστά, να μην πληρώσουν λύτρα, τα μόνα αποτελέσματα που μπορεί να αισθάνονται από την χαλαρή ασφάλεια στον κυβερνοχώρο θα ήταν οικονομική απώλεια λόγω της διαρροής των σχεδίων τους. Δεν πιστεύω ότι πρέπει να επιτραπεί στους κυβερνοεγκληματίες να επιτεθούν σε αυτές τις εταιρείες και να ξεφύγουν από αυτό, αλλά πιστεύω επίσης ότι οι εταιρείες θα πρέπει να φοβούνται περισσότερο την παραβίαση των δεδομένων τους και βάσει αυτού του φόβου, να επενδύσουν στην πρόσληψη και χρηματοδότηση περισσότερου προσωπικού στον τομέα της κυβερνοασφάλειας για να προστατεύσουν την εταιρεία τους. Εάν οι εταιρείες μπορεί να είναι αμελείς όσον αφορά την προστασία των δεδομένων τους, να υποστούν παραβίαση δεδομένων και στη συνέχεια να έχουν σχετικά μικρό αρνητικό αντίκτυπο στο τελικό αποτέλεσμα της εταιρείας, τότε αυτές οι εταιρείες θα συνεχίσουν να υποχρηματοδοτούν τα τμήματα κυβερνοασφάλειας τους.

Ας ελπίσουμε ότι κάποιοι από αυτούς τους κανονισμούς θα αποτρέψουν αυτό να συμβεί. Αναγκάζοντας τις δημόσιες εταιρείες να αποκαλύπτουν περιστατικά κυβερνοασφάλειας εντός τεσσάρων ημερών και επιβάλλοντας υποχρεωτικά ελάχιστα όρια κυβερνοασφάλειας για σχεδόν κάθε τομέα της

οικονομία

ς, θα πρέπει να υπάρχουν λιγότερες πιθανότητες να παραβιαστεί μια εταιρεία λόγω αμέλειας, το οποίο είναι το καλύτερο σενάριο τόσο για τις εταιρείες όσο και για την επαγγελματική βιομηχανία στον κυβερνοχώρο.

Επί του παρόντος, πολλές δημόσιες εταιρείες παρέχουν γνωστοποίηση κυβερνοασφάλειας στους επενδυτές. Ωστόσο, πιστεύω ότι τόσο οι εταιρείες όσο και οι επενδυτές θα ωφελούνταν εάν αυτή η γνωστοποίηση γινόταν με πιο συνεπή, συγκρίσιμο και χρήσιμο τρόπο για τη λήψη αποφάσεων. Μέσω της παροχής βοήθειας στο να διασφαλιστεί ότι οι εταιρείες αποκαλύπτουν ουσιώδεις πληροφορίες για την ασφάλεια στον κυβερνοχώρο, οι σημερινοί κανόνες θα ωφελήσουν τους επενδυτές, τις εταιρείες και τις αγορές που τις συνδέουν».

Πρόεδρος SEC Gary Gensler

Ποιους κανονισμούς έχει εφαρμόσει η κυβέρνηση των ΗΠΑ για τη βελτίωση της ασφάλειας στον κυβερνοχώρο;

Στις 26 Ιουλίου 2023 η SEC κυκλοφόρησε ένα

δελτίο τύπου

ότι θα τεθούν σε ισχύ νέοι κανόνες που θα ανάγκαζαν όλες τις εταιρείες που είναι εισηγμένες στο χρηματιστήριο να αποκαλύπτουν περιστατικά ασφάλειας στον κυβερνοχώρο εντός τεσσάρων ημερών από τη στιγμή που η εταιρεία αντιληφθεί το συμβάν. Στις 15 Δεκεμβρίου 2023, αυτοί οι νέοι κανόνες τέθηκαν σε ισχύ, αλλά με ελάχιστες φανφάρες.

Στις 26 Ιουλίου 2023, η SEC κυκλοφόρησε ένα ts όπου το κοινό ακούει για παραβίαση δεδομένων από μια ομάδα ransomware, αλλά αντ’ αυτού ακούει για αυτό από την ίδια την εταιρεία. Οι εταιρείες έχουν μεγάλο κίνητρο να αγνοήσουν το θέμα και να μην αναφέρουν σχετικά, καθώς μπορεί να επηρεάσει αρνητικά τις τιμές των μετοχών. Ωστόσο, με αυτόν τον νέο κανονισμό, οι εταιρείες θα πρέπει να ενισχύσουν τις ομάδες αντιμετώπισης περιστατικών, ώστε να μπορούν να αντιδρούν αποτελεσματικά σε περιστατικά ασφάλειας στον κυβερνοχώρο, να τα αποκαθιστούν, να κάνουν ανακάλυψη για να βρουν ποια δεδομένα επηρεάστηκαν και να γράψουν όλα αυτά σε μια νέα Στοιχείο 1.05 του εντύπου 8-K εντός μόλις τεσσάρων ημερών από την ανακάλυψη του περιστατικού.

Οι νέοι κανόνες θα απαιτούν από τους καταχωρίζοντες να αποκαλύπτουν στο νέο Στοιχείο 1.05 του Έντυπου 8-K οποιοδήποτε περιστατικό κυβερνοασφάλειας που κρίνουν ότι είναι σημαντικό και να περιγράφουν τις ουσιώδεις πτυχές της φύσης, του πεδίου και του χρόνου του συμβάντος, καθώς και τον ουσιαστικό αντίκτυπό του ή εύλογα πιθανή σημαντική επίπτωση στον καταχωρίζοντα. Ένα Στοιχείο 1.05 Έντυπο 8-K θα πρέπει γενικά να οφείλεται τέσσερις εργάσιμες ημέρες αφότου ένας καταχωρίζων διαπιστώσει ότι ένα περιστατικό ασφάλειας στον κυβερνοχώρο είναι σημαντικό. Η αποκάλυψη ενδέχεται να καθυστερήσει εάν ο Γενικός Εισαγγελέας των Ηνωμένων Πολιτειών αποφασίσει ότι η άμεση αποκάλυψη θα αποτελούσε σημαντικό κίνδυνο για την εθνική ασφάλεια ή τη δημόσια ασφάλεια και ειδοποιήσει την Επιτροπή εγγράφως.

SEC των ΗΠΑ

Εάν κρίσιμες υποδομές όπως φράγματα και σταθμοί ηλεκτροπαραγωγής πέσουν επιρρεπείς σε κυβερνοεπίθεση, τα αποτελέσματα θα μπορούσαν να είναι καταστροφικά προκαλώντας τεράστιες πλημμύρες ή διακοπές ρεύματος για εκατομμύρια το χειμώνα.

(Πίστωση εικόνας: Unsplash)

Αυτός ο νέος κανόνας έρχεται μετά από ένα

Εκτελεστικό διάταγμα από τον Μάιο του 2021

που αύξησε σημαντικά την κυβερνητική εποπτεία της κυβερνοασφάλειας. Αρκετοί φορείς έχουν επιβάλει τους δικούς τους κανονισμούς όπως το

Οι νέες απαιτήσεις της Διοίκησης Ασφάλειας Μεταφορών (TSA).

ο

Κανονισμός απόκτησης του Υπουργείου Εσωτερικής Ασφάλειας (DHS).

ο

Αναφορά περιστατικών στον κυβερνοχώρο για τον νόμο περί υποδομών ζωτικής σημασίας του 2022 (CIRCIA)

και το

Οργανισμός Προστασίας Περιβάλλοντος Κυβερνοασφάλεια για τον Τομέα Υδάτων

.

Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών σημείωσε

16 τομείς υποδομής ζωτικής σημασίας

που πρέπει να ακολουθούν την Προεδρική Πολιτική Οδηγία 21 (PPD-21): Critical Infrastructure Security and Resilience, η οποία «προωθεί μια εθνική πολιτική για την ενίσχυση και τη διατήρηση της ασφαλούς, λειτουργικής και ανθεκτικής υποδομής ζωτικής σημασίας».

Για τη βελτίωση της υποβολής εκθέσεων και της συμμόρφωσης, η κυβέρνηση έχει εφαρμόσει μέτρα προστασίας από τους καταγγέλλοντες.

“Εάν εργάζεστε σε οποιονδήποτε από αυτούς τους Τομείς Υποδομής Ζωτικής Σημασίας και πιστεύετε ότι έχετε δεχτεί αντίποινα επειδή εκφράσατε ανησυχίες στον εργοδότη σας ή στις ρυθμιστικές αρχές σχετικά με κρίσιμες υποδομές, μπορείτε να επικοινωνήσετε με το Υπουργείο Εργασίας των ΗΠΑ Διοίκηση Επαγγελματικής Ασφάλειας και Υγείας (OSHA). OSHA’s Το Πρόγραμμα Προστασίας Πληροφορητών επιβάλλει πάνω από 20 νόμους κατά των αντιποίνων που ενδέχεται να προστατεύσουν την έκθεσή σας.”

CISA.gov

Αυτές οι προστασίες πληροφοριοδοτών γίνονται επίσης πιο σχετικές για μη κρίσιμους τομείς. Ανά

JDSupra.com

“Τον Οκτώβριο του 2022, το Penn State μηνύθηκε από έναν πρώην επικεφαλής πληροφοριών (CIO) επειδή φέρεται ότι απέτυχε να διαφυλάξει τη CUI όπως απαιτείται από τη σύμβαση και ότι υπέβαλε εν γνώσει του ψευδείς αναφορές συμμόρφωσης με την ασφάλεια.”

Αυτό είναι το είδος της δραστηριότητας που πρέπει να σταματήσει. Οι εταιρείες θα υποχρηματοδοτήσουν τα τμήματα κυβερνοασφάλειας τους, επιβάλλοντας εξαντλητικές και αδύνατες προσδοκίες στους λίγους αναλυτές κυβερνοασφάλειας που έχουν απασχολήσει, και όταν η εταιρεία δεν πληροί ένα απολύτως ελάχιστο πρότυπο, απλώς παραποιούν τις αναφορές συμμόρφωσης και δηλώνουν ότι πληρούν τα πρότυπα.

Σήμερα ανακοινώσαμε βραβεία άνω των 28 εκατομμυρίων δολαρίων σε επτά καταγγέλλοντες των οποίων οι πληροφορίες και η βοήθεια οδήγησαν σε μια επιτυχημένη δράση επιβολής της SEC.https://t.co/5yUT09r3yX

22 Δεκεμβρίου 2023

Δείτε περισσότερα

Γιατί είναι σημαντικοί οι κανονισμοί για την ασφάλεια στον κυβερνοχώρο και πώς βοηθούν το επάγγελμα της κυβερνοασφάλειας;

Εάν η έννοια εδώ είναι λίγο δύσκολο να κατανοηθεί, σκεφτείτε την σαν μια ποδοσφαιρική ομάδα NFL.

Ο ιδιοκτήτης της ομάδας NFL είναι η C-suite σε μια εταιρεία.
Ο επικεφαλής προπονητής είναι ο Chief Information Security Officer και το προσωπικό του είναι τα άλλα μέλη της κυβερνοασφάλειας στο τμήμα.
Μερικές φορές ένας προπονητής έχει όλη τη χρηματοδότηση, το ταλέντο και τις εγκατασ

τάσεις

που μπορεί να προσφέρει η ιδιοκτησία και εξακολουθεί να χάνει το παιχνίδι.
Αλλά συνήθως, ο επικεφαλής προπονητής παλεύει με την κυριότητα για το ποια ντραφτ θα επιλέξει, ποιο ταλέντο να ανταλλάξει και δεν λαμβάνει την υποστήριξη που χρειάζεται.
Σε αυτή την περίπτωση, εάν ο επικεφαλής προπονητής έχει μια χαμένη σεζόν, συνήθως θεωρούνται υπεύθυνοι και απολύονται μαζί με το μεγαλύτερο μέρος του προπονητικού τους επιτελείου.

Το ίδιο ισχύει και στην Κυβερνοασφάλεια. Οι περισσότεροι άνθρωποι στον κλάδο γνωρίζουν ότι εάν συμβεί μια παραβίαση σε μια εταιρεία, είναι συνήθως η CISO και η ανώτερη διοίκηση κυβερνοασφάλειας που θα αναγκαστούν να πέσουν στα ξίφη τους, ωστόσο, η C-suite είναι συνήθως αδιαπέραστη από τυχόν επιπτώσεις.

Ας ελπίσουμε ότι, με βελτιωμένους κανονισμούς και επίβλεψη, οι εταιρείες θα προσδιορίσουν τον κίνδυνο και το κόστος της υποχρηματοδότησης και η υποστήριξή του στο τμήμα κυβερνοασφάλειας είναι υψηλότερο από τη δημιουργία ενός αποτελεσματικού, καλά συντηρημένου τμήματος κυβερνοασφάλειας που είναι ευέλικτο, κατάλληλα εκπαιδευμένο και έτοιμο να χειριστεί το επιθέσεις από εχθρούς των ΗΠΑ και των συμμάχων τους.

Η κυβέρνηση έχει προχωρήσει τόσο πολύ πρόσφατα στην πραγματικότητα

μηνύει αμελώς άτομα και εταιρείες που οδήγησαν σε μαζική παραβίαση

που επέτρεψε σε κακόβουλους φορείς να έχουν πρόσβαση σε κυβερνητικές υπηρεσίες των ΗΠΑ και επηρέασε άμεσα την εθνική ασφάλεια.

Η SEC λέει ότι η SolarWinds και ο τότε αντιπρόεδρός της για θέματα ασφάλειας, Tim Brown, εξαπάτησαν επενδυτές και πελάτες «μέσω ανακρίβειων, παραλείψεων και μεθόδων» που απέκρυβαν τόσο τις «κακές πρακτικές κυβερνοασφάλειας της εταιρείας όσο και τους αυξανόμενους —και αυξανόμενους— κινδύνους στον κυβερνοχώρο».

Frank Bajak VIA Fortune

Πρόκειται για μια άνευ προηγουμένου

ενέργεια

της κυβέρνησης και προειδοποιεί εταιρείες σε όλη τη χώρα. Συνήθως δεν είμαι οπαδός της κυβερνητικής ρύθμισης κατά κανόνα, αλλά όσον αφορά την ασφάλεια στον κυβερνοχώρο, φαίνεται να είναι σχεδόν εξίσου σημαντική με τους νόμους που ρυθμίζουν την ανάγκη για ασφάλιση αυτοκινήτου. Αν δεν υπήρχε νόμος που να απαιτεί ασφάλιση αυτοκινήτου, πολλοί άνθρωποι θα την παραιτούσαν με τη σκέψη ότι απλώς θα οδηγούσαν προσεκτικά και δεν θα έπαθαν ατύχημα.

Το ίδιο φαίνεται να ισχύει για τα υψηλόβαθμα στελέχη που διοικούν αυτές τις τεράστιες εταιρείες, καθώς πιστεύουν ότι μπορούν απλώς να κολλήσουν ένα τμήμα κυβερνοασφάλειας, να τους αφήσουν χωρίς τους κατάλληλους πόρους και θα μπορούν να αποφύγουν επιθέσεις στον κυβερνοχώρο ή εάν υποστούν παραβίαση, απλώς θα αντιμετωπίσουν τις συνέπειες και την ανάκαμψη. Είναι μια θλιβερή κατάσταση του κόσμου που το κοινό έχει απευαισθητοποιηθεί σε μεγάλο βαθμό στις παραβιάσεις δεδομένων. Είναι τώρα στο σημείο όπου οι περισσότεροι άνθρωποι έχουν κλέψει τις προσωπικές τους πληροφορίες, συμπεριλαμβανομένου του ονόματος, του DOB και του αριθμού κοινωνικής ασφάλισης τόσες φορές που όλοι λαμβάνουμε δωρεάν παρακολούθηση πιστώσεων για χρόνια (κάθε φορά που κλέβονται τα δεδομένα σας, εσείς

λάβετε δωρεάν παρακολούθηση πιστώσεων

).

Με όλα αυτά να συμβαίνουν, χαίρομαι που η κυβέρνηση παίρνει στα σοβαρά την ασφάλεια στον κυβερνοχώρο. Μην κάνετε λάθος, ο πόλεμος μπορεί να διεξαχθεί μέσω των 1 και 0 που τροφοδοτούν όλη την τεχνολογία μας και όλα είναι συνδεδεμένα. Οι εταιρείες πρέπει να προστατεύουν τον εαυτό τους, τους υπαλλήλους τους και τους πελάτες τους. Σίγουρα, ίσως το Xfinity να χάσει 63 εκατομμύρια αρχεία πελατών σε περίπτωση παραβίασης δεν επηρεάζει άμεσα την εθνική ασφάλεια, αλλά τι γίνεται αν ένας από αυτούς τους πελάτες του Xfinity είναι αναλυτής της NSA και λόγω της κοινής πρακτικής της επαναχρησιμοποίησης κωδικών πρόσβασης, οι εισβολείς μπορούν να έχουν πρόσβαση στους λογαριασμούς του αναλυτή για άλλους συστήματα; Αυτού του είδους οι υποθετικές θεωρίες δεν είναι έξω από τη σφαίρα των δυνατοτήτων, ειδικά εάν εμπλακούν παράγοντες των εθνικών κρατών.

Θέλετε να ασχοληθείτε με την ασφάλεια στον κυβερνοχώρο; Δείτε τον οδηγό μας για το πώς να ξεκινήσετε στον κυβερνοασφάλεια.

Τι πιστεύετε για την κυβέρνηση που εργάζεται για την αύξηση των κανονισμών για τις εταιρείες για τη βελτίωση της συνολικής ασφάλειας στον κυβερνοχώρο; Πιστεύετε ότι μπορεί να βοηθήσει στη μείωση του αριθμού των παραβιάσεων που ακούμε στις ειδήσεις; Ενημερώστε μας στα σχόλια.

//platform.twitter.com/widgets.js

window.reliableConsentGiven.then(function(){

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function()

{n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)}

;if(!f._fbq)f._fbq=n;

n.push=n;n.loaded=!0;n.version=’2.0′;n.queue=[];t=b.createElement(e);t.async=!0;

t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window,

document,’script’,’https://connect.facebook.net/en_US/fbevents.js’);

fbq(‘init’, ‘1765793593738454′);

fbq(‘track’, ‘PageView’);

})