Onttrekking van Amerikaanse kuberooreenkomste dui op korporatiewe risiko

Onlangse optrede deur die Amerikaanse administrasie maak multilaterale kuberveiligheidskoördinering tussen daardie regering en ander minder onseker in die toekoms. Wat beteken dit vir rade wat sukkel om kuberveiligheids- en nakomingsrisiko's te hanteer?

In Januarie het die Trump-administrasie het die VSA aan 66 internasionale organisasies onttrek. Dit het drie met duidelike kuberveiligheidsmandate ingesluit: die Globale Forum oor Kuberkundigheid, Freedom Online Coalition, en die Europese Sentrum van Uitnemendheid vir die Bekamping van Hibriede Bedreigings.

Hierdie groepe help om kuberbeleid te koördineer, kundigheid te deel en grensoverschrijdende voorvalreaksie te ondersteun. Twee was inisiatiewe wat die VSA help vestig het. Om hulle te verlaat, dui op 'n meer inwaarts gerigte kuberveiligheidshouding en laat vrae ontstaan ​​oor hoeveel internasionale samewerking kuberbestuur sal voortgaan om te ondersteun.

Dit is nie die administrasie se eerste stap wat kuber-samewerking raak nie. Vroeëre besluite het personeelvermindering by CISA gesien en veranderinge aan sommige van sy operasionele prioriteite, wat onvermydelik sy kapasiteit vir internasionale betrokkenheid beïnvloed.

Vir besighede wat regoor die VSA, VK en Europa werksaam is, gaan die kwessie minder oor enige individuele besluit en meer oor wat dit aandui: 'n geleidelike verskuiwing na 'n meer gefragmenteerde, streeksgedrewe kuberveiligheidsomgewing.

Die Uitdaging vir Gekoördineerde Insidentrespons

Multilaterale raamwerke bied die bindweefsel vir die deel van intelligensie tussen nasionale kuberveiligheidsowerhede. Daardie infrastruktuur word veral belangrik tydens grootskaalse voorvalle wat grense oorsteek.

Wanneer krisisse toeslaan, bestuur nasionale CERT's en kuberveiligheidsagentskappe die binnelandse reaksie. Maar komplekse kubervoorvalle raak dikwels verskeie jurisdiksies gelyktydig, wat koördinering op streeks- of internasionale vlak vereis.

Ooreenkomste soos die ENISA-CISA samewerkingsooreenkoms onderteken laat in 2023 is ontwerp om transatlantiese koördinasie tydens groot voorvalle te versterk. Met die veranderende geopolitieke omgewing is die duursaamheid van hierdie reëlings minder onseker.

Groot kubervoorvalle plaas reeds druk op die reaksievermoë van individuele state. Grensoorskrydende gebeurtenisse maak staat op samewerking tussen nasionale owerhede en streeksinstellings.

VK- en EU-organisasies sal waarskynlik 'n groter deel van daardie koördineringsrol oorneem. Die EU-kuberbloudruk, wat verlede Junie aangeneem is, verbeter krisiskoördinering op beide politieke en tegniese vlakke. ENISA het reeds 'n mandaat om reaksies op beduidende grensoverschrijdende voorvalle te ondersteun en te koördineer.

In die VK bestuur die NCSC kruisregeringskoördinering vir groot kubervoorvalle en kan direk met geaffekteerde organisasies saamwerk aan reaksie en kommunikasie.

Die infrastruktuur vir internasionale samewerking bestaan ​​steeds. Die vraag is of dit effektief skaal in 'n meer streeksgefragmenteerde omgewing, veral as die VSA se deelname aan multilaterale koördinering minder sentraal word.

Verwag Regulatoriese Divergensie

Daardie fragmentering geld ook vir regulering. Die kuberregulasies van die VSA, die VK en die EU was nog nooit ten volle in lyn nie. Maar soos geopolitieke prioriteite verskil, kan regulatoriese verwagtinge ook verskil.

Multilaterale forums het voorheen gehelp om daardie verskille uit te stryk deur ruimtes vir koördinering te skep. Sonder daardie belyning sal regulatoriese raamwerke waarskynlik verder uitmekaar dryf, veral rondom tydlyne vir die openbaarmaking van voorvalle, drempels vir kennisgewing van oortredings en wat as 'beduidend' tel.

Die EU het die verste beweeg in die rigting van voorskriftelike, kruissektorale verpligte regulering. NIS 2 dek 18 kritieke sektore en stel 24-uur vroeë waarskuwing en 72-uur voorvalkennisgewing in, met boetes van tot €10 miljoen of 2% van die wêreldwye omset.

Die Amerikaanse regulatoriese omgewing ontwikkel in 'n ander rigting. Die Trump-administrasie se benadering is grootliks deregulerend. Die SEC se reëls vir die openbaarmaking van kuberveiligheid staar politieke teenkanting in die gesig, die Wet op die Verslagdoening van Kubervoorvalle vir Kritieke Infrastruktuur van 2022 (CIRCIA) is vertraag, en daar is geen federale privaatheidswet nie.

Vir multinasionale organisasies is die resultaat 'n meer ingewikkelde nakomingslandskap.

Maatskappye moet dalk parallelle voldoeningsprogramme bou om verskeie jurisdiksies te dek of groter blootstelling aan plaaslike afdwingingsrisiko te aanvaar. Organisasies wat in die VSA, VK en die EU werksaam is, sal toenemend verskillende regulatoriese verwagtinge moet navigeer.

Voorsieningsketting en Derdeparty-risiko

Risikobestuur deur derde partye was reeds 'n voortdurende uitdaging, maar hoe minder nasiestate saamwerk aan beste praktyke en beskermings, hoe meer kompleks word dit.

Die EU-wet op kuberveerkragtigheid sal sagteware-materiaallys (SBOM's) verpligtend maak vir alle produkte met digitale elemente wat in die EU verkoop word. Die Wet op Digitale Operasionele Veerkragtigheid (DORA) voeg nog 'n laag by deur EU-reguleerders direkte toesig te gee oor kritieke IKT-verskaffers, insluitend Amerikaanse wolkmaatskappye wat EU-finansiële instellings bedien.

Die voorgestelde EU-wet op kuberveiligheid 2 gaan verder en stel voorsieningskettingsekuriteitsraamwerke bekend wat spesifiek op verskaffersrisiko van derde lande gemik is.

Intussen is die VSA se benadering enger, en pas SBOM's hoofsaaklik toe op federale verkryging onder EO 14028. Die VK het geen wetgewende ekwivalent nie.

Die resultaat is drie groot markte wat onder toenemend verskillende produksekuriteitsverwagtinge funksioneer.

'n Amerikaanse maatskappy wat sagteware in Europa verkoop, staar voldoeningsverpligtinge op produkvlak in die gesig waarvoor die plaaslike regulatoriese omgewing dit nie voorberei nie. Sonder sterk internasionale koördineringsmeganismes moet besighede self daardie kompleksiteit bestuur.

Waarom dit ISO 27001 meer waardevol maak

Dit alles beteken dat korporatiewe spelboeke opgedateer moet word. Die slim geld wed op jurisdiksie-agnostiese raamwerke. ISO 27001 lyk skielik vooruitsienend, want dit vertaal oor grense heen. Vyf kontroles in die 2022-weergawe spreek spesifiek derdeparty-sekuriteit aan, wat die groeiende belangrikheid van verskafferversekering weerspieël.

Miskien nog belangriker, reguleerders van Singapoer tot Stockholm erken dit. Alhoewel dit nie jurisdiksie-spesifieke voldoeningsvereistes vervang nie, bied dit 'n konsekwente fondament wat organisasies kan gebruik om sekuriteit oor verskeie regulatoriese omgewings te bestuur.

In 'n gefragmenteerde bestuurslandskap word daardie konsekwentheid strategies nuttig.

'n Risiko op Raadsvlak, Nie Net 'n Diplomatieke Een

Vir rade mag die onttrekking aan internasionale kubersamewerkingsraamwerke nie 'n onmiddellike operasionele bedreiging inhou nie. Maar dit dui wel op 'n strukturele verskuiwing in hoe globale kuberveiligheidsbestuur ontwikkel.

Kuber-samewerking tussen regerings het lank gehelp om regulatoriese divergensie te verminder, krisiskoördinering te verbeter en gedeelde verwagtinge rondom sekuriteitspraktyke te skep.

Namate daardie meganismes verswak of ontwikkel, staar besighede groter verantwoordelikheid in die gesig om veerkragtigheid, interoperabiliteit en voorsieningskettingversekering self te handhaaf.

Globale kuberveiligheid stort nie in duie wanneer een belangrike akteur terugtree van multilaterale betrokkenheid nie. Maar dit word wel meer kompleks.

En vir organisasies wat regoor die VSA, VK en Europa werksaam is, is kompleksiteit risiko, een wat toenemend binne die onderneming bestuur moet word eerder as om te aanvaar dat dit deur internasionale koördinering gestabiliseer word.