Was du wissen musst
- Verstöße gegen die Cybersicherheit scheinen durch die jüngsten Verstöße gegen MGM, Ardent Hospital, Xfinity und Insomniac noch häufiger vorzukommen.
- Cyberkriminelle haben einen Anreiz, diese Unternehmen weiterhin anzugreifen. Unternehmen brauchen einen größeren Anreiz, den Schutz zu verbessern, anstatt die Behebung eines Verstoßes zu planen.
- Am 15. Dezember traten neue SEC-Regeln in Kraft, die jedes börsennotierte Unternehmen dazu verpflichten, einen Cybervorfall innerhalb von vier Tagen offenzulegen.
- Auch andere staatliche Vorschriften zwingen Unternehmen dazu, einen Grundstandard für die Einhaltung der Cybersicherheit einzuhalten, in der Hoffnung, unser Land und unsere Verbündeten zu schützen.
Es scheint, dass keine Woche vergehen kann, ohne von einem aufsehenerregenden massiven Verstoß gegen die Cybersicherheit zu hören. Das Gesprächsthema in der Gaming-Welt ist derzeit der jüngste Ransomware-Angriff auf Insomniac durch die Ransomware-Gruppe Rhysida. Zu den größeren Verstößen der letzten 30 Tage gehört jedoch der Verstoß gegen das Ardent Hospital, der 30 Krankenhäuser in 4 Bundesstaaten betraf. Xfinity bestätigte einen Verstoß in der letzten Woche und gab bekannt, dass die Daten von 36 Millionen Kunden beeinträchtigt/gestohlen wurden.
Es muss sich etwas ändern, und kürzlich forderte sogar Satya Nadella, CEO von Microsoft, eine stärkere Regulierung der Cybersicherheit. Werfen wir einen Blick auf einige der jüngsten Änderungen der Cybersicherheitsvorschriften in den USA und ob sie dazu beitragen können, Unternehmen vor Cyberangriffen zu schützen.
Warum erlässt die US-Regierung mehr Vorschriften für die Cybersicherheit?
Wie bereits erwähnt, gab es in letzter Zeit so viele schwerwiegende Verstöße gegen die Cybersicherheit, dass es schwierig ist, sie alle aufzuzählen. Es wurde auch viel darüber geredet, dass vermeintliche Reporter oder journalistische Medien nicht über Leaks diskutieren wollten, die auf eine Datenpanne zurückzuführen waren, insbesondere im Fall der geleakten bevorstehenden Spiele von Insomniac. Einige der von diesen Medien vorgebrachten Argumente waren, dass wir als Cybersicherheitsexperte an den menschlichen Faktor denken sollten. Das stört mich, weil sie in der Cybersicherheitsabteilung nicht an den menschlichen Faktor denken.
Die meisten Menschen, die in einem großen Unternehmen gearbeitet haben, wissen, dass die Abteilungen für Informationstechnologie und Cybersicherheit am stärksten unterfinanziert sind. Leider scheinen Unternehmen erst nach einem Verstoß in angemessene Cybersicherheit investieren zu wollen.
Cybersicherheitsunternehmen verfügt über viele großartige Statistiken und Forschungsergebnisse zur globalen Cybersicherheitslandschaft. Das Team von Cybersecurity Ventures hat ein Video veröffentlicht, in dem die geschätzten Schadenskosten durch Cyberkriminalität im Jahr 2023 erörtert werden.
Da die meisten Unternehmen zu Recht beschlossen haben, kein Lösegeld zu zahlen, könnten die einzigen verbleibenden Auswirkungen einer laxen Cybersicherheit ein finanzieller Verlust aufgrund der Offenlegung ihrer Pläne sein. Ich glaube nicht, dass es Cyberkriminellen erlaubt sein sollte, diese Unternehmen anzugreifen und ungeschoren davonzukommen, aber ich denke auch, dass Unternehmen mehr Angst vor einer Verletzung ihrer Daten haben sollten und auf der Grundlage dieser Angst in die Einstellung und Finanzierung von mehr Cybersicherheitspersonal investieren sollten um ihr Unternehmen zu schützen. Wenn Unternehmen beim Schutz ihrer Daten nachlässig vorgehen, einen Datenschutzverstoß erleiden und sich dann relativ wenig negativ auf das Unternehmensergebnis auswirken, werden diese Unternehmen ihre Cybersicherheitsabteilungen weiterhin unterfinanzieren.
Hoffentlich wird dies jedoch durch einige dieser Vorschriften verhindert. Durch die Verpflichtung öffentlicher Unternehmen, Cybersicherheitsvorfälle innerhalb von vier Tagen offenzulegen, und durch die Einführung verbindlicher Mindeststandards für Cybersicherheit für nahezu jeden Wirtschaftssektor sollte die Wahrscheinlichkeit geringer sein, dass ein Unternehmen aufgrund von Fahrlässigkeit Sicherheitsverletzungen erlitten hat, was sowohl für Unternehmen als auch für die Unternehmen das beste Szenario darstellt Professionelle Cybersicherheitsbranche.
Derzeit stellen viele börsennotierte Unternehmen ihren Anlegern Offenlegungen zur Cybersicherheit zur Verfügung. Ich denke jedoch, dass sowohl Unternehmen als auch Investoren davon profitieren würden, wenn diese Offenlegung konsistenter, vergleichbarer und entscheidungsnützlicher erfolgen würde. Indem sie dazu beitragen, dass Unternehmen wesentliche Cybersicherheitsinformationen offenlegen, werden die heutigen Regeln Investoren, Unternehmen und den sie verbindenden Märkten zugute kommen.“
SEC-Vorsitzender Gary Gensler
Welche Vorschriften hat die US-Regierung eingeführt, um die Cybersicherheit zu verbessern?
Am 26. Juli 2023 veröffentlichte die SEC a Pressemitteilung dass neue Regeln in Kraft treten würden, die alle börsennotierten Unternehmen dazu zwingen würden, Cybersicherheitsvorfälle innerhalb von vier Tagen, nachdem das Unternehmen den Vorfall bemerkt hat, offenzulegen. Am 15. Dezember 2023 traten diese neuen Regeln in Kraft, allerdings ohne großes Aufsehen.
Am 26. Juli 2023 veröffentlichte die SEC einen Bericht, in dem die Öffentlichkeit von einem Datenverstoß durch eine Ransomware-Gruppe erfährt, jedoch stattdessen vom Unternehmen selbst davon erfährt. Unternehmen haben einen großen Anreiz, das Problem zu ignorieren und nicht darüber zu berichten, da es sich negativ auf die Aktienkurse auswirken kann. Mit dieser neuen Regelung müssen Unternehmen jedoch ihre Incident-Response-Teams verstärken, damit sie effektiv auf Cybersicherheitsvorfälle reagieren, diese beheben, eine Erkennung durchführen können, um herauszufinden, welche Daten betroffen waren, und alles in einem neuen Protokoll festhalten können Punkt 1.05 des Formulars 8-K innerhalb von nur vier Tagen nach Entdeckung des Vorfalls.
Die neuen Regeln erfordern, dass Registranten im neuen Punkt 1.05 des Formulars 8-K jeden Cybersicherheitsvorfall offenlegen, den sie als wesentlich erachten, und die wesentlichen Aspekte der Art, des Umfangs und des Zeitpunkts des Vorfalls sowie seine wesentlichen Auswirkungen oder angemessenen Angaben beschreiben wahrscheinlich wesentliche Auswirkungen auf den Registranten. Ein Artikel 1.05-Formular 8-K ist in der Regel vier Werktage, nachdem ein Registrant feststellt, dass ein Cybersicherheitsvorfall wesentlich ist, fällig. Die Offenlegung kann sich verzögern, wenn der Generalstaatsanwalt der Vereinigten Staaten feststellt, dass eine sofortige Offenlegung ein erhebliches Risiko für die nationale oder öffentliche Sicherheit darstellen würde, und der Kommission diese Feststellung schriftlich mitteilt.
US SEC
Diese neue Regel kommt nach einem Executive Order vom Mai 2021 was die staatliche Aufsicht über die Cybersicherheit erheblich verstärkte. Mehrere Behörden haben ihre eigenen Vorschriften erlassen, wie z Neue Anforderungen der Transportation Security Administration (TSA).Die Erwerbsverordnung des Department of Homeland Security (DHS).Die Gesetz zur Meldung von Cyber-Vorfällen für kritische Infrastrukturen von 2022 (CIRCIA)und das Cybersicherheit der Umweltschutzbehörde für den Wassersektor.
Die Cybersecurity and Infrastructure Security Agency hat darauf hingewiesen 16 kritische Infrastruktursektoren die der Presidential Policy Directive 21 (PPD-21) folgen müssen: Sicherheit und Widerstandsfähigkeit kritischer Infrastrukturen, die „eine nationale Politik zur Stärkung und Aufrechterhaltung sicherer, funktionierender und belastbarer kritischer Infrastruktur vorantreibt“.
Um die Berichterstattung und Compliance zu verbessern, hat die Regierung Whistleblower-Schutzmaßnahmen eingeführt.
„Wenn Sie in einem dieser kritischen Infrastruktursektoren arbeiten und das Gefühl haben, dass gegen Sie Vergeltungsmaßnahmen ergriffen wurden, weil Sie Ihrem Arbeitgeber oder den Aufsichtsbehörden gegenüber kritische Infrastrukturen Bedenken geäußert haben, können Sie sich an die US-Arbeitsschutzbehörde (OSHA) wenden Das Whistleblower Protection Program setzt über 20 Anti-Repressalien-Gesetze durch, die Ihre Meldung schützen können.“
CISA.gov
Dieser Whistleblower-Schutz wird auch für unkritische Branchen immer relevanter. Pro JDSupra.com „Im Oktober 2022 wurde Penn State von einem ehemaligen Chief Information Officer (CIO) verklagt, weil es angeblich versäumt hatte, CUI wie vertraglich vorgeschrieben zu schützen, und wissentlich falsche Sicherheits-Compliance-Berichte vorgelegt hatte.“
Dies ist die Art von Aktivität, die gestoppt werden muss. Unternehmen werden ihre Cybersicherheitsabteilungen unterfinanzieren, was bei den wenigen Cybersicherheitsanalysten, die sie beschäftigt haben, zu Burnout und unerfüllten Erwartungen führt, und wenn das Unternehmen einen absoluten Mindeststandard nicht erfüllt, fälschen sie einfach Compliance-Berichte und geben an, dass sie die Standards einhalten.
Heute haben wir bekannt gegeben, dass sieben Whistleblowern Gelder in Höhe von insgesamt mehr als 28 Millionen US-Dollar zugesprochen wurden, deren Informationen und Unterstützung zu einer erfolgreichen Durchsetzungsmaßnahme der SEC geführt haben.https://t.co/5yUT09r3yX22. Dezember 2023
Warum sind Cybersicherheitsvorschriften wichtig und wie helfen sie der Cybersicherheitsbranche?
Wenn das Konzept hier etwas schwer zu verstehen ist, stellen Sie es sich wie eine NFL-Fußballmannschaft vor.
- Der Eigentümer des NFL-Teams ist die oberste Führungsebene eines Unternehmens.
- Der Cheftrainer ist der Chief Information Security Officer, und seine Mitarbeiter sind die anderen Cybersicherheitsmitarbeiter der Abteilung.
- Manchmal verfügt ein Cheftrainer über alle Mittel, Talente und Einrichtungen, die der Eigentümer bereitstellen kann, und verliert trotzdem das Spiel.
- Aber normalerweise kämpft der Cheftrainer mit der Verantwortung darüber, welche Draft-Picks er wählen soll, welche Talente er tauschen soll, und erhält nicht die Unterstützung, die er braucht.
- Wenn der Cheftrainer in diesem Fall eine verlorene Saison hat, wird er in der Regel dafür verantwortlich gemacht und zusammen mit den meisten seines Trainerstabs entlassen.
Das Gleiche gilt für die Cybersicherheit. Die meisten Leute in der Branche wissen, dass bei einem Verstoß in einem Unternehmen in der Regel der CISO und das obere Cybersicherheitsmanagement in die Knie gezwungen werden, die Führungsebene ist jedoch normalerweise immun gegenüber jeglichen Auswirkungen.
Hoffentlich werden Unternehmen mit verbesserten Vorschriften und Aufsicht erkennen, dass das Risiko und die Kosten einer Unterfinanzierung und einer unzureichenden Unterstützung der Cybersicherheitsabteilung höher sind als der Aufbau einer effizienten, gut gepflegten Cybersicherheitsabteilung, die flexibel, ordnungsgemäß geschult und auf die ständigen Veränderungen vorbereitet ist Angriffe von Feinden der USA und ihrer Verbündeten.
Die Regierung ist in letzter Zeit tatsächlich so weit gegangen fahrlässige Einzelpersonen und Unternehmen verklagen, die zu einem massiven Verstoß geführt haben Dies ermöglichte böswilligen Akteuren den Zugriff auf US-Regierungsbehörden und wirkte sich direkt auf die nationale Sicherheit aus.
Laut SEC haben SolarWinds und sein damaliger Vizepräsident für Sicherheit, Tim Brown, Investoren und Kunden „durch falsche Angaben, Auslassungen und Machenschaften“ betrogen, die sowohl die „schlechten Cybersicherheitspraktiken des Unternehmens als auch seine erhöhten – und zunehmenden – Cybersicherheitsrisiken“ verschleierten.
Frank Bajak VIA Fortune
Dies ist eine beispiellose Maßnahme der Regierung und macht Unternehmen im ganzen Land darauf aufmerksam. Normalerweise bin ich grundsätzlich kein Fan staatlicher Regulierung, aber im Hinblick auf die Cybersicherheit scheint sie fast genauso wichtig zu sein wie die Gesetze, die die Notwendigkeit einer Kfz-Versicherung regeln. Wenn es kein Gesetz gäbe, das eine Kfz-Versicherung vorschreibt, würden viele Menschen darauf verzichten, mit dem Gedanken, dass sie einfach vorsichtig fahren und keinen Unfall erleiden würden.
Das Gleiche scheint auch für hochrangige Führungskräfte zu gelten, die diese riesigen Konzerne leiten, denn sie denken, sie könnten einfach eine Cybersicherheitsabteilung mit Klebeband zusammenkleben, sie ohne entsprechende Ressourcen zurücklassen und in der Lage sein, Cybersicherheitsangriffen auszuweichen, oder wenn sie es tun Wenn es zu einem Verstoß kommt, kümmern sie sich lediglich um die Folgen und die Wiederherstellung. Es ist ein trauriger Zustand der Welt, dass die Öffentlichkeit gegenüber Datenschutzverletzungen stark desensibilisiert ist. Mittlerweile sind die privaten Daten der meisten Menschen, einschließlich Name, Geburtsdatum und Sozialversicherungsnummer, so oft gestohlen worden, dass wir alle seit Jahren eine kostenlose Bonitätsüberwachung erhalten (jedes Mal, wenn Ihre Daten gestohlen werden, erhalten Sie … erhalten Sie eine kostenlose Bonitätsüberwachung).
Vor diesem Hintergrund bin ich froh, dass die Regierung die Cybersicherheit ernst nimmt. Täuschen Sie sich nicht, Krieg kann durch die Einsen und Nullen geführt werden, die unsere gesamte Technologie antreiben, und alles ist miteinander verbunden. Unternehmen müssen sich selbst, ihre Mitarbeiter und Kunden schützen. Klar, vielleicht hat der Verlust von 63 Millionen Kundendatensätzen durch Xfinity bei einem Verstoß keinen direkten Einfluss auf die nationale Sicherheit, aber was wäre, wenn einer dieser Xfinity-Kunden ein NSA-Analyst wäre und Angreifer aufgrund der gängigen Praxis der Wiederverwendung von Passwörtern für andere auf die Konten des Analysten zugreifen könnten? Systeme? Solche Hypothesen sind nicht ausgeschlossen, insbesondere wenn nationalstaatliche Akteure involviert sind.
Möchten Sie in die Cybersicherheit einsteigen? Sehen Sie sich unseren Leitfaden „Erste Schritte in der Cybersicherheit“ an.
Was halten Sie davon, dass die Regierung daran arbeitet, die Vorschriften für Unternehmen zu verschärfen, um die Cybersicherheit insgesamt zu verbessern? Glauben Sie, dass es dazu beitragen kann, die Zahl der Verstöße, von denen wir in den Nachrichten hören, zu reduzieren? Lass es uns in den Kommentaren wissen.