网络安全事件已经发生了很多年,但是大部分直到过去十年都没有引起公众的注意。最近发生的影响大量普通公民的高调事件使这一问题成为国家讨论以及立法和监管的焦点。我们现在正在进入一个网络安全的新时代——在这个时代,世界各地的政府、监管机构和公司都在努力加强对网络安全事件的监督。
报告、披露和董事会
根据CIRCIA,关键基础设施部门的公司将需要建立和支持在要求的时间框架内(24或72小时,取决于事件)报告事件的能力。报告要求将使其无法在受到攻击时悄悄支付赎金。因此,建立一个统一的网络安全防御和应对战略非常重要。
根据美国证券交易委员会的规定,所有上市公司必须向投资者和股东披露其事件和辩护信息。因此,董事会成员需要了解并能够描述——并可能捍卫——他们公司的网络安全态势。要做到这一点,董事会可能必须比以往更加密切地参与网络安全事务。
展望未来,公司可以从增强网络安全防御和响应态势中受益,同时考虑采取措施为遵守即将出台的法规做好准备。
披露标准和透明度
根据CIRCIA和SEC的规定,美国公司还需要确定如何以及何时在不共享敏感公司信息的情况下合规。在美国证券交易委员会规则制定过程的现阶段,拟议的规则并没有硬性规定网络安全事件的实质性门槛。公司可能需要跨其信息安全和法律部门来建立报告的门槛。理想情况下,他们会考虑报告重大网络事件的潜在需求,但能够避免过度分享披露法规不要求的信息,并管理声誉风险。
同样,随着公司遵守有关网络安全事件响应能力的新报告要求,他们需要管理过度共享其知识产权和网络防御态势的风险。过度报道知识产权风险泄露公司机密可能让竞争对手获得潜在优势;关于网络防御的过度分享可能会给黑客提供利用披露信息危害公司网络的机会。IT和网络安全部门应与公司领导层(尤其是首席风险官(cro)和法律部门)合作,在不使公司面临进一步风险的情况下实现法规遵从性。
合作关系和网络保险
受保组织可以考虑加强与政府和非政府监管组织的合作,以改善其安全状况。网络安全组织可以在他们的公司和当地的CISA联络点之间建立清晰的定期报告。取决于CISA的角色如何演变,与国土安全部(DHS)并肩工作8 可能有助于公司为任何监管问题或随着CISA角色的增强而可能出现的运营问题做好准备。如果CISA新的网络安全事件信息库能够被用于获取威胁情报,那么与CISA的密切联系也可能对企业有利。公司可以与CISA密切联系,以获取事件信息,获得关于网络威胁的持续、最新的更新,以支持对其计划进行必要的调整。
美国公司也可以准备与特定部门的网络安全组织密切合作。CIRCIA的要求和SEC的规则可能会对公司的网络安全态势产生不同的影响,尤其是在关键的基础设施领域。公司可能希望与他们行业的信息共享和分析中心(ISAC)合作9 以确定如何改善他们的内部安全和报告,以遵守这些法律。
最后,美国企业可能还需要为网络保险提供商收取的价格波动做好准备。根据CIRCIA和SEC提供的信息水平,保险提供商可能会掌握更多关于如何为提供给单个公司的保单定价的信息。虽然这可能会提高保险提供商的利润率,但如果保险公司——甚至是行业内的同行——最近受到攻击,它们的保费可能会上升。