مع تفاقم عمليات الاختراق، تزيد هيئة الأوراق المالية والبورصات الضغط على كبار مسؤولي أمن المعلومات

على مدى في العام الماضي، شهدنا إدانة كبير مسؤولي الأمن السابق في شركة أوبر في محكمة فيدرالية بتهمة سوء التعامل مع خرق البيانات، واتهمت هيئة تنظيمية فيدرالية رئيس الأمن في شركة SolarWinds بزعم تضليل المستثمرين قبل الهجوم الإلكتروني الخاص بها، ولوائح جديدة تجبر الشركات على الكشف علنًا عن البيانات ذات التأثير المادي. المخالفات خلال أربعة أيام عمل.

قد يبدو أن العمل في مجال الأمن السيبراني لم يكن وقتًا أكثر خطورة من أي وقت مضى.

لكن الوجبات الجاهزة التي توصلت إليها إحدى اللجان في مؤتمر ShmooCon للقرصنة في واشنطن العاصمة يوم الأحد هي أن العاملين في مجال الأمن السيبراني لا يبتعدون عن التحديات.

الآن في عامه قبل الأخير، يجمع ShmooCon بين المتسللين والباحثين والمسؤولين الحكوميين والمديرين التنفيذيين للأمن السيبراني لمناقشة بعض القضايا الأكثر إلحاحًا التي تواجه مجتمع الأمن. هناك موضوع مشترك تم سماعه بين الحاضرين هذا العام وهو الطبيعة المحفوفة بالمخاطر بشكل متزايد للعمل في صناعة الأمن السيبراني نفسها. إن مجتمع أمن المعلومات ليس غريبًا على المخاطر القانونية – التي ربما تكون نتيجة ثانوية متأصلة للعمل في هذا المجال – ولكنه أصبح أكثر وعيًا بالرقابة القانونية المتزايدة والعواقب التي تصاحب العمل.

في قيادة المناقشة، شاركت محامية الشركات الناشئة إليزابيث وارتون، والمدعي العام السابق لهيئة الأوراق المالية والبورصات دانيت إدواردز، والمستثمرة في مجال التكنولوجيا سيندي جولا وجهات نظرهم وتوقعاتهم في لجنة استكشفت كيف تتغير مخاطر المسؤولية السيبرانية من مناصب المبتدئين وصولاً إلى المناصب التنفيذية. جناح.

دع التوهج الناتج عن حرائق القمامة السابقة يضيء الطريق لتحسين ممارسات العناية بالبيانات والأمان. شكرًا @cyndi_gula & دانيت للانضمام لي في #shmoocon مناقشة كيفية تقليل مخاطر “إقالة رئيس قسم المعلومات” والفريق pic.twitter.com/pN8G24TQAh

– إليزابيث وارتون (@LawyerLiz) 15 يناير 2024

شهد العام الماضي إدخال قواعد الإبلاغ السيبراني الجديدة الصادرة عن هيئة الأوراق المالية والبورصة والتي تتطلب الآن من الشركات الكشف عن الحوادث الأمنية “الجوهرية” في ملفات 8-K العامة في غضون أربعة أيام عمل. دخلت القواعد حيز التنفيذ في ديسمبر، وقد أدت بالفعل إلى قيام مجموعة من الشركات بتقديم إفصاحات جديدة عن خرق البيانات إلى هيئة الأوراق المالية والبورصة في أعقابها، حيث اكتشفت الشركات معنى التأثير “المادي”. وشهدت أيضًا الحالة الأولى لعصابة برامج الفدية التي تستخدم القواعد لاستدعاء الشركة نفسها التي اخترقتها لعدم تقديم طلباتها إلى المنظمين.

وقال إدواردز، وهو الآن محامي دفاع وشريك في شركة كاتن للمحاماة، متحدثًا في ShmooCon: “سنرى الكثير من التقارير الأولية 8K، ومن ثم ربما تقارير متعددة تتحدث عن نفس الاختراقات السيبرانية”.

وقال وارتون، مؤسس Silver Key Strategies والذي عمل سابقًا في فريق الاستجابة لحوادث برامج الفدية في أتلانتا، إن الحوادث السيبرانية يمكن أن تتغير كل ساعة ويمكن أن تتطلب إفصاحات لاحقة.

“عندما تتعامل مع حادث ما ولا تزال غارقًا في الرد بعد مرور أربعة أيام، تكون قد حددت، “أوه، أطلق النار، حاوية القمامة لدينا تشتعل!” قال وارتون: “لكنك لم تكتشف حتى ما هي المواد الموجودة بالضرورة في سلة المهملات أثناء حرقها – وعليك أن تبدأ في إعداد التقارير”. “مع العلم أنه مع مد وجزر الأشياء، سيتعين على الشركات العامة تحديث [those disclosures]”.

الجانب الآخر للشفافية المقترنة بالعمل عن بعد هو أنه يتم تدوين أو تسجيل أو حفظ وتوثيق المزيد من الأشياء أكثر من أي وقت مضى. يمكن أن يكون ذلك بمثابة نعمة للمحققين وصداع للشركات.

قال وارتون: “أفترض أن كل بريد إلكتروني ستتم قراءته إما من قبل والدتك أو في إيداع، أو… في شكوى للجنة الأوراق المالية والبورصة، وهذا يغير حديث المبردات”. “نظرًا لأننا لسنا بالضرورة في المكاتب، فمن الضروري التأكد من أنك لا تكتب ذلك بالضرورة وأن السياق يضيع في الميم الذي ترسله لزملائك لأنك اعتقدت أنه كان مضحكًا.”

قال إدواردز: “لا يتمتع القائمون على التنظيم دائمًا بروح الدعابة”.

قال جولا، الشريك الإداري في Gula Tech Adventures: “الثقافة جزء لا يتجزأ من أي منظمة – خاصة فيما نقوم به – لأننا نتمتع بثقة كبيرة”. “ستواجه الشركات صعوبة في جلب هذه الثقافة مع الأخذ بعين الاعتبار أن كل ما تفعله سيكون تحت التدقيق”.

لا تضع قواعد الإبلاغ الجديدة عن الأمن السيبراني الشركات وحوادث بياناتها تحت دائرة الضوء العام فحسب، بل تظهر إجراءات الإنفاذ الفيدرالية الأخيرة أن المديرين التنفيذيين للأمن السيبراني يتحملون أيضًا بعض المسؤولية.

في أكتوبر، وجهت هيئة الأوراق المالية والبورصات اتهامات ضد رئيس قسم تكنولوجيا المعلومات في شركة SolarWinds، تيموثي براون، بزعم تضليل المستثمرين بشأن أمن الشركة قبل الهجوم الإلكتروني الذي شنه جواسيس روس على الشركة في عام 2019. وتنبع الكثير من اتهامات هيئة الأوراق المالية والبورصات من التعليقات التي يُزعم أن براون شاركها داخليًا.

“لقد سمعنا أيضًا أن الكثير من الناس لا يريدون [to be CISO] قال جولا، الذي يشغل منصب عضو مجلس إدارة في العديد من الشركات الناشئة: “بسبب هذا الإشراف وبسبب كل هذه الفخاخ التي لا تعرف حتى أنها موجودة مسبقًا”. “من فضلك لا تبتعد عن هذا الموقف. من فضلكم بادروا وافعلوا ذلك.”

وبناءً على هذه النصيحة، قالت جولا إن التوثيق يمكن أن يساعد أيضًا. عندما يضطر المسؤولون التنفيذيون إلى إحداث تغيير، أو تصحيح العيوب، أو تحسين التدريب على الأمن السيبراني ولكن يتم رفض الخطط أو الميزانية، اسأل: “هل يمكنني الحصول على ذلك كتابيًا؟” مضيفًا: “كل ما يمكنك فعله لإبعاد عين ساورون عنك، حتى تتمكن من الاستمرار في رمي الخاتم في النار لإخماد كل ما تريد القيام به – فهذا مهم.”

تقرير زاك ويتاكر من ShmooCon في واشنطن العاصمة.