Ozbiljnost cyber napada

Ozbiljnost cyber napada

23 November 2021 0 Von admin

Trenutna uprava je povećanje transparentnosti kibernetičke sigurnosti učinila prioritetom zbog potencijalnog negativnog utjecaja kibernetičkih prijetnji na nacionalnu sigurnost.


Američka komisija za vrijednosne papire i burze klasificira kibernetičke ranjivosti kao egzistencijalni poslovni rizik. Kao rezultat toga, počela je izdavati novčane kazne tvrtkama za koje smatra da su neadekvatno otkrile prijetnje kibernetičkoj sigurnosti. Ova promjena u politici SEC-a naglašava ozbiljnost kibernetičkih napada za poduzeća.

Zašto DIP izdaje kazne

SEC zahtijeva od poduzeća da otkriju čimbenike rizika javnosti koja ulaže. To štiti ulagače od ulaganja u dionice poduzeća bez pristupa informacijama koje su im potrebne za donošenje informirane odluke o razini rizika. Čimbenici rizika uključuju prirodne katastrofe, konkurentske prijetnje, političke događaje, ekonomske uvjete, trgovinske ratove, pitanja javnog zdravlja i prijetnje kibernetičkoj sigurnosti, kao što je lažiranje ID-a pozivatelja.

Zašto SEC smatra kibernetičke napade faktorom rizika

Kršenja kibernetičke sigurnosti mogu uzrokovati znatnu štetu financijskom stanju tvrtke i dovesti do pada cijene dionice. Tvrtke koje ne uspiju zaštititi podatke o klijentima mogu pretrpjeti gubitak ugleda i suočiti se s tužbama kupaca i dioničara. Osim toga, cyber napadi mogu ometati menadžment, negativno utječući na poslovanje poduzeća.

Što tvrtke mogu učiniti kako bi izbjegle kazne SEC-a

Korporativno vodstvo trebalo bi početi poduzeti korake kako bi osiguralo da njihova tvrtka poštuje preporuke SEC-a o otkrivanju podataka.

1. Formirajte odbor za otkrivanje podataka

Odbor za otkrivanje podataka trebao bi se sastojati od direktora i viših zaposlenika te voditelja informacijske sigurnosti. Odbor bi trebao provoditi tromjesečna istraživanja kako bi procijenio svijest o anomalijama u operativnim, financijskim, pravnim i kibersigurnosnim aspektima poslovanja koje je potrebno otkriti upravnom odboru, vanjskim računovođama, višim rukovoditeljima i SEC-u. Rad ovog odbora podržava certifikate koje su izvršni direktor i financijski direktor dali SEC-u kad god 10 Qs i 10 tisuća kuna su podneseni. Prikupljanje ovih informacija pomaže u smanjenju potencijala za odgovornost u vezi s otkrivanjem podataka.

2. Ugradite vidljivost u imovinu tvrtke

Napravite inventuru kako biste identificirali imovinu tvrtke i koliko je svaka imovina kritična za poslovanje. Koristite alate za upravljanje ranjivostima kako biste pomogli u procjeni cjelokupnog korporativnog i IT okruženja. Ove informacije pomažu vašim sigurnosnim timovima da daju prioritet problemima na temelju toga koji problemi predstavljaju najveću razinu poslovnog rizika.

3. Nemojte predugo čekati da otkrijete

Ponekad su potrebni tjedni ili čak mjeseci da se u potpunosti shvati opseg incidenta kibernetičke sigurnosti. Ne pokušavajte čekati da se sve u potpunosti shvati kako biste otkrili kršenje. Možete ažurirati pojedinosti, financijske učinke i druge posljedice kako dobijete više informacija. Ako dođe do tužbe ili istrage, tko je znao što i kada je znao da bi to moglo biti važno, svakako obavijestite više rukovodstvo i upravni odbor čim se otkrije kršenje te dokumentirajte otkrivanje. Rok za objavljivanje ovisi o slučaju. Je li povreda značajna i koji su primjenjivi propisi SEC 8-K igraju ulogu. Kada se aktiviraju, ovi propisi obično zahtijevaju otkrivanje u roku od četiri dana. Također morate uzeti u obzir sve primjenjive državne ili savezne zakone i sporazume s trećim stranama.

Nagodba o kršenju podataka o Anthem koju je odobrio savezni sudac
Fotografija Davida Rangela na Unsplashu

4. Redovno provjeravajte svoje sustave kibernetičke sigurnosti i unutarnje i vanjske prijetnje

Jedan od aspekata koji kibernetičku sigurnost čini toliko izazovnom je da se tehnologija i kibernetičke prijetnje uvijek mijenjaju. To je stalna utrka između sigurnosnih stručnjaka i kibernetičkih kriminalaca u pronalaženju ili blokiranju novih eksploatacija, što je otežano jer se nova tehnologija i softver gotovo uvijek objavljuju sa sigurnosnim nedostacima. Redovita procjena vaših sigurnosnih sustava te postojećih i potencijalnih prijetnji je ključna. Cybersigurnost nije nešto što možete jednostavno postaviti i zaboraviti. Morate kontinuirano prilagođavati svoje strategije.

Trenutna uprava je povećanje transparentnosti kibernetičke sigurnosti učinila prioritetom zbog potencijalnog negativnog utjecaja kibernetičkih prijetnji na nacionalnu sigurnost. Napadi na ransomware koji su zatvorili glavne industrije i poremetili opskrbne lance vjerojatno će dodatno motivirati SEC i zakonodavce da unesu promjene kako bi od tvrtki zahtijevale da budu budnije i transparentnije u svojim praksama kibernetičke sigurnosti. Tvrtke mogu preduprediti ovaj trend pridržavajući se najboljih praksi kibernetičke sigurnosti i stavljajući prioritet u promptno otkrivanje prijetnji.