CISO's onder die mikroskoop: Voorbereiding vir uitvoerende aanspreeklikheid
INHOUDSOPGAWE:
Uber se voormalige CISO, Joe Sullivan, het nie verlede maand sy naam skoongemaak nie, wat 'n bespreking heropen oor die persoonlike risiko's wat senior bestuurders in die gesig staar oor kuberveiligheidsoortredings.
Sullivan het 'n skuldigbevinding in Oktober 2022 geappelleer vir die wegsteek van 'n misdryf nadat hy kubermisdadigers afbetaal het wat klanterekeninge by sy voormalige werkgewer gekap het. Die 2016-hack het die persoonlike inligting van 57 miljoen kliënte en 600,000 100,000 Uber-bestuurders in gevaar gestel. Sullivan het die misdadigers $2014 XNUMX betaal uit die maatskappy se bug-bounty-program en hulle 'n nie-openbaarmakingsooreenkoms laat onderteken. Hy het ook versuim om die Federale Handelskommissie in te lig, wat hy ingevolge 'n XNUMX-skikking opdrag gegee het om te doen na 'n aparte hack.
Sullivan, wat in Mei 50,000 tot drie jaar proeftydperk en 'n boete van $2023 XNUMX vir die skuldigbevinding gevonnis is, het teen uitspraak geappelleer. Die appèl het aangevoer dat hy nie 'wangevangenis' gepleeg het nie – die daad om 'n misdryf vir regeringsowerheid te verberg – omdat die NDA die inbraak terugwerkend gemagtig het. Die hof het dié argument verwerp, tesame met sommige bewerings van prosedurele foute.
Die hof se standvastigheid oor hierdie kwessie laat weereens die spook van persoonlike uitvoerende aanspreeklikheid vir kuberveiligheidsoortredings en/of wanhantering van insidentreaksie laat ontstaan. Hierdie waargenome oortredings het in verskillende vorme gekom.
Sommige vermeende CISO-tekortkominge draai om misleidende stellings. Die SEC het SolarWinds se CISO Timothy G. Brown persoonlik agtervolg ná die maatskappy se 2019 en 2020 oortredings, met die argument dat hy vals verklarings oor sy kuberveiligheid in openbare indienings gemaak het, al was hy bewus van die swakhede daarvan. 'n Hof het later sy aantygings teen Brown verwerp.
Ander draai om die gebrek aan kuberveiligheid self. James Rellas, uitvoerende hoof van alkoholafleweringsdiens Drizly, het nie 'n toegewyde bestuurder gehad wat vir kuberveiligheid verantwoordelik was toe 'n oortreding by sy maatskappy 2.5 miljoen kliënte se inligting blootgelê het nie. Die FTC se 2022 einde nie net die maatskappy aanspreeklik gehou vir beweerde nalatige kuberveiligheidsgedrag nie, maar hom persoonlik.
Een persoonlike straf teen 'n CISO wat op bedrieglike gedrag gefokus is. Jun Ying, voormalige CISO by Equifax US Information Solutions, vier maande tronkstraf gekry nadat hy sy aandeelopsies uitgeoefen het voordat 'n 2017-oortreding by die maatskappy in die openbaar bekend gemaak is. Ying, wat geweet het van die oortreding toe hy sy opsies gebruik het, het meer as $117,000 XNUMX aan verliese ontduik deur binnehandel. Die DoJ het hom gedwing om die verliese terug te betaal, saam met 'n boete, en hy is tot 'n tronkstraf van vier maande gevonnis.
Bestuursaanspreeklikheid buite die VSA
Dit is nie net Amerikaanse bestuurders wat persoonlike aanspreeklikheid in die gesig staar vir die hantering van kuberveiligheidsvoorvalle nie. Kim Jin-Hwan, privaatheidsbeampte van die Suid-Koreaanse reisagentskap Hana Tour Service, was persoonlik beboet 10 miljoen Koreaanse Won vir nalatigheid in 'n 2017-oortreding wat 465,000 XNUMX kliënte geraak het.
Regulasies het ook die lens op bestuurders se persoonlike aanspreeklikheid gefokus. Die EU se 2022 NIS2-richtlijn (2022) mandaat topbestuur aanspreeklikheid vir nie-nakoming van kubersekuriteit regulasies, wat voorsiening maak vir persoonlike sanksies teen individue. Dit sluit in tydelike skorsing van bestuurders wat geag word nie in staat is om hul kuberveiligheidsverantwoordelikhede na te kom nie.
Nog 'n EU-regulasie, die Digital Operational Resilience Act (DORA), fokus daarop om te verseker dat finansiële organisasies kritieke dienste kan handhaaf in die lig van sistemiese bedreigings. Dit maak voorsiening vir boetes van tot een miljoen euro teen nalatige bestuurders.
Uitdagings vir CISO's
Die probleem vir CISO's lê in die 'verkoelende effek' wat die gevaar van persoonlike aanspreeklikheid inhou, het baie gewaarsku in briewe aan regter William Orrick III, wat die oorspronklike Uber-saak voorgesit het. Die bekommernis is dat CISO's dalk nie in staat is om hul werk te doen nie onder die bedreiging van persoonlike aanspreeklikheid.
Hierdie kommer is geldig as u die vinnig groeiende aanvalsoppervlak van die gemiddelde korporasie in ag neem. Maatskappye word aangemoedig om mededingend te bly deur vinnig ontwikkelende tegnologieë, insluitend KI, mobiele en wolkrekenaars, uit te toets. Dit verhoog die las van uitvoerende toesig. As 'n individu wat in goeie trou optree die risiko loop van persoonlike aanspreeklikheid in die lig van oorweldigende kuberbedreigings, kan dit mense ontmoedig om die rol op te neem.
Dit lyk egter of die strafvoorvalle hier nie soseer op die kuberveiligheidsoortredings self berus nie, maar op die hantering van voorvalreaksie-inligting voor en na die feit. Sullivan is nie vir die oortreding gestraf nie. Hy is gestraf omdat hy dit probeer toesmeer het. Ander het jare lank voor hul oortredings geweet van hul kwesbaarhede en het min tot geen voorkomende stappe gedoen nie. En voorste nuus van 'n oortreding vir jou eie aandeleverhandelingsdoeleindes is duidelik 'n slegte geloof-praktyk.
Hoe om bestuurders te beskerm
Namate die risiko van persoonlike aanspreeklikheid toeneem, sal maatskappye wat goed gevestigde kuberveiligheid- en risikobestuursraamwerke volg, hulself—en hul senior bestuur—teen regulatoriese of wetlike gevolge kan beskerm.
ISO 27001 is 'n noodsaaklike hulpmiddel in hierdie konteks, want dit is 'n erkende internasionale standaard wat proaktiewe omsigtigheid toon. Ohio se Data Protection Act bied selfs eksplisiete wettige veilige hawe vir kuberveiligheidsprogramme wat redelikerwys aan ISO 27001 voldoen.
ISO 27001 bied 'n paar kernpraktyke wat kan help om omsigtigheid en pligsgetrouheid te demonstreer wanneer kuberveiligheidsmaatreëls gevolg word. Dit sluit in die vestiging van 'n duidelike, gedokumenteerde kuberveiligheidsbestuursraamwerk met topbestuursbetrokkenheid en die implementering van standaardgebaseerde, gedokumenteerde insidentreaksieplanne. Ander maatreëls sluit in die uitvoer van gereelde opleiding, oudits en voortdurende verbeteringsprosesse.
Die handhawing van deeglike dokumentasie word aanbeveel om bewys te lewer van uitvoerende toesig en risikobestuur, uitgevoer na die beste van 'n bestuurspan se vermoëns.
Die woord 'span' is egter deurslaggewend. Senior bestuurders moet diegene in beheer van kuberveiligheid behoorlik ondersteun, en redelike verwagtinge moet op hulle geplaas word. Al te dikwels word daar van CISO's verwag om alle aanvalle te stop met geen noemenswaardige belegging nie, en sonder behoorlike ondersteuning van 'n besigheid wat geheel en al daarop gefokus is om die volgende produk uit te stoot en wins te maksimeer. Dit is 'n malaise wat kulturele verandering vereis.
