چالش‌ها و راهکارهای افشای حوادث امنیتی زیر نظر SEC: نقش Bitwarden در مدیریت ریسک امنیت سایبری

در ژوئیه 2023، کمیسیون بورس و اوراق بهادار (SEC) قوانینی را تصویب کرد که شرکت‌ها را ملزم می‌کرد تا «حوادث امنیت سایبری مادی» را ظرف چهار روز پس از کشف حادثه افشا کنند و یک به‌روزرسانی سالانه درباره «مدیریت، استراتژی و حاکمیت ریسک امنیت سایبری» ارائه کنند.

این قوانین که به طور رسمی در 5 سپتامبر 2023 اجرایی شدند، بر شرکت های سهامی عام تأثیر می گذارند و همانطور که توسط Cybersecurity Dive اشاره شده است، “برای اطمینان از اینکه سرمایه گذاران و سایر اعضای عمومی در مورد این رویدادها به موقع و سازگارتر مطلع می شوند، طراحی شده اند. ” ما این قوانین را در زیر گسترش می‌دهیم و همچنین بینش‌هایی درباره نحوه محافظت بهتر از داده‌های حساس (نکته: از یک نرم افزار مدیریت رمز عبور استفاده کنید!) در برابر حوادث امنیتی سایبری ارائه می‌کنیم.

چه کسی تحت تأثیر قرار می گیرد؟

شرکت های سهامی عام و “ناشران خصوصی خارجی” ملزم به رعایت قوانین جدید هستند.

قوانین دقیق چیست؟

قوانین جدید که مستقیماً از وب سایت SEC استخراج شده است – خلاصه ای بسیار ساده تر از ورودی رسمی ثبت فدرال – در زیر آمده است:

• ثبت‌کننده‌ها موظفند در مورد جدید 1.05 فرم 8-K هرگونه حادثه امنیت سایبری را که تشخیص می‌دهند که با اهمیت است فاش کنند و جنبه‌های مادی ماهیت، دامنه، و زمان حادثه و همچنین تأثیر مادی یا تأثیر مادی احتمالی منطقی آن را بر روی ثبت نام کننده شرح دهند.

• فرم 8-K مورد 1.05 معمولاً چهار روز کاری پس از اینکه یک ثبت‌کننده تشخیص دهد که یک حادثه امنیت سایبری با اهمیت است، سررسید می‌شود.

• قوانین جدید همچنین مقررات S-K 106 را اضافه می‌کند که ثبت‌کنندگان را ملزم می‌کند تا در صورت وجود، فرآیندهای خود را برای ارزیابی، شناسایی و مدیریت خطرات مادی ناشی از تهدیدات امنیت سایبری، و همچنین اثرات مادی یا اثرات مادی احتمالی منطقی خطرات ناشی از امنیت سایبری شرح دهند. تهدیدات و حوادث قبلی امنیت سایبری.

• بند 106 همچنین ثبت‌کنندگان را ملزم می‌کند که نظارت هیئت مدیره بر خطرات ناشی از تهدیدات امنیت سایبری و نقش و تخصص مدیریت در ارزیابی و مدیریت خطرات با اهمیت تهدیدات امنیت سایبری را شرح دهند. این افشاها در گزارش سالانه یک ثبت‌کننده در فرم 10-K مورد نیاز است.

• این قوانین مستلزم افشای قابل مقایسه توسط ناشران خصوصی خارجی در فرم 6-K برای حوادث امنیت سایبری با اهمیت و در فرم 20-F برای مدیریت ریسک امنیت سایبری، استراتژی و حاکمیت است.

چه زمانی این قوانین اجرایی می شوند؟

در حالی که به‌روزرسانی‌های مربوط به مدیریت ریسک امنیت سایبری در تاریخ 5 سپتامبر اجرایی شد، SC Media خاطرنشان می‌کند که بخش گزارش‌دهی رویداد تا 18 دسامبر 2023 برای شرکت‌های بزرگ‌تر سهامی عام فعال نمی‌شود. کسب و کارهای کوچکتر موظفند 180 روز پس از مهلت 18 دسامبر گزارش حوادث را آغاز کنند.

چه چیزی “موارد اصلی” را تشکیل می دهد؟

مقاله اخیر وال استریت ژورنال به موارد زیر اشاره می کند:

کمیسیون بورس و اوراق بهادار به شرکت‌ها اختیار داد تا تعیین کنند که آیا هک تا زمانی که این تعریف با قانون‌های موردی و قوانین وضع شده در دهه 1930 مطابقت داشته باشد یا خیر.

به این معنا که اگر یک فرد معقول هنگام تصمیم گیری برای سرمایه گذاری آن را مهم بداند، یا اینکه به طور قابل توجهی بر اطلاعات موجود در دسترس عموم در مورد یک شرکت تأثیر بگذارد، اطلاعات مهم است. هر گونه شبهه باید به نفع سرمایه گذار برطرف شود.»

در بیانیه مطبوعاتی رسمی خود در مورد قوانین، گری جنسلر، رئیس SEC، شرکتی را که کارخانه ای را در آتش سوزی از دست داده، با از دست دادن میلیون ها فایل در یک حادثه امنیت سایبری مقایسه کرد و خاطرنشان کرد که هر دو وضعیت به طور قابل قبولی برای سرمایه گذاران “موارد اصلی” هستند. اما همانطور که در همان مقاله وال استریت ژورنال بررسی شد، سؤالات مادیت می توانند پیچیده و مادی بودن مبهم باشند. تشخیص تأثیر فنی تخلفات و همچنین تعیین تأثیر مالی به زمان نیاز دارد. به گفته وال استریت ژورنال، نکته اصلی اهمیت این است که SEC از سرمایه گذاران می خواهد بدانند که آیا یک حادثه سایبری بر سلامت مالی و عملکرد شرکت تأثیر گذاشته است یا خیر.

جلوگیری از نقض مواد

توقف همه حوادث امنیت سایبری غیرممکن است. اما، اقداماتی وجود دارد که شرکت ها می توانند برای محافظت بهتر از داده های خود در برابر تهدیدات داخلی و خارجی انجام دهند. یکی از تاثیرگذارترین و موثرترین آنها استقرار یک نرم افزار مدیریت رمز عبور در سطح سازمانی است. اجرای سیاست های رمز عبور قوی برای کارکنان به شرکت ها اجازه می دهد تا اولین خط دفاعی را در برابر نقض داده ها ایجاد کنند. شرکت ها با ایجاد، مدیریت و ذخیره گذرواژه های قوی و منحصر به فرد در یک انبار رمزگذاری شده، به کارمندان کمک می کنند تا از گسترش گذرواژه های ضعیف یا استفاده مجدد جلوگیری کنند. این مهم است، زیرا داده ها به نقش اعتبارنامه های ناامن در تسهیل حوادث سایبری اشاره می کنند. بر اساس گزارش Verizon 2023 Data Breach Investigations، اعتبارنامه های سرقت شده در 86 درصد از موارد نقض برنامه های وب، دسترسی اولیه را به خود اختصاص داده اند.

هنگامی که به طور مداوم استفاده می شود، مدیران رمز عبور امنیت و شفافیت را ارائه می دهند. آنها همچنین می توانند به جلوگیری از نقض مواد کمک کنند، و به کسب و کارها قدرت می دهند تا از ارسال پرونده به SEC اجتناب کنند. با ارائه استراتژی برای «مدیریت خطرات مادی ناشی از تهدیدات امنیت سایبری»، آن‌ها همچنین موقعیت کسب و کار را بهتر نشان می‌دهند تا طرح بازی پیشگیری از نقض داده را در اختیار داشته باشند.

با Bitwarden همین حالا شروع کنید.

 شما میتوانید این نسخه آخر این نرم افزار را از مسترلایسنس سفارش دهید.

در صورتی که این مقاله چالش‌ها و راهکارهای افشای حوادث امنیتی زیر نظر SEC: نقش Bitwarden در مدیریت ریسک امنیت سایبری برای شما مفید و آموزنده بود، پیشنهاد می‌شود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.