В 2023 году Комиссия по ценным бумагам и биржам (SEC) ввела новые правила раскрытия информации о кибербезопасности. Эти правила требуют раскрытия «значительных» угроз и инцидентов, связанных с нарушениями безопасности, в течение четырех дней с момента их возникновения, а также ежегодного отчета об управлении рисками кибербезопасности, стратегии и управлении.
Введение новых требований SEC в области кибербезопасности представляет собой важнейшую веху в продолжающейся борьбе с киберугрозами. В результате киберпреступность остается одним из самых больших рисков для американских компаний. Кроме того, в том же году почти семь из 10 предприятий в США подверглись атакам программ-вымогателей в течение предыдущих 12 месяцев.
Кибератаки представляют собой значительные риски для компаний, особенно с точки зрения финансового ущерба. По оценкам, к 2024 году киберпреступность будет стоить только Соединенным Штатам более 452 миллиардов долларов. Кроме того, потеря конфиденциальных данных является следствием кибератак. В 2023 году США заняли третье место в мире по проценту компаний, сообщивших об утрате конфиденциальной информации.
Кроме того, в 2022 году около 422 миллионов человек в стране пострадали от инцидентов компрометации данных, что составило в общей сложности 1802 инцидента. США считаются одной из стран с самой высокой плотностью утечек данных. Помимо финансовых последствий и потери данных, компании также опасаются репутационного ущерба, значительных простоев и потенциальной потери существующих клиентов, и все это может повлиять на оценку компании и общий статус.
Содержание
- 1 Повышение осведомленности
- 2 Большой разрыв
- 3 1. Консолидируйте данные о рисках кибербезопасности.
- 4 2. Получите навыки количественной оценки киберрисков.
- 5 3. Оптимизируйте процессы управления инцидентами
- 6 4. Улучшите свою кибербезопасность и управление киберрисками.
- 7 5. Защитите свои отношения с третьими лицами
- 8 6. Улучшите культуру киберрисков в своих командах.
Повышение осведомленности
Согласно недавнему отчету Infatica, провайдера на рынке прокси-услуг, на фоне растущих рисков и новых правил SEC компании укрепляют свою защиту. По данным компании, спрос на поиск прокси-сервисов за последний год вырос на 106,5%. Причиной этой тенденции является способность прокси-серверов имитировать атаки кибербезопасности. Таким образом, компании могут использовать эту технологию для проверки своей защиты.
Растущий интерес к прокси-серверам не ограничивается поиском улучшенных мер безопасности. Число поисковых запросов по запросу «бесплатный веб-прокси-сервер» увеличилось на 5 042,9%, что указывает на широкий поиск доступных решений, обеспечивающих анонимность. Между тем, спрос на «список прокси-серверов» и «анонимный прокси-сервер» также значительно увеличился на 80,6% и 414,3% соответственно, что подчеркивает важность надежных и конфиденциальных онлайн-операций.
Хотя правила кибербезопасности SEC в первую очередь нацелены на публичные компании, многие из этих фирм полагаются на более мелких сторонних поставщиков программного обеспечения и цепочек поставок. Кибератака на любом этапе этой цепочки может иметь серьезные последствия. По этой причине негосударственные учреждения также вынуждены усиливать меры защиты.
Большой разрыв
По мере того, как компании расширяют свою деятельность, остаются очевидными значительные пробелы. Потрясающие 81% руководителей служб безопасности признают влияние новых правил на их организации. Однако только 54% выражают уверенность в способности своей организации эффективно соблюдать требования. Удивительно, но только 2% руководителей службы безопасности инициировали процесс соблюдения новых правил. Около 33% все еще находятся на ранних стадиях, а впечатляющие 68% чувствуют себя подавленными новыми требованиями к раскрытию информации.
Среди множества проблем выделяется определение существенности инцидентов кибербезопасности: 49% респондентов отметили их сложность. Кроме того, 47% изо всех сил пытаются улучшить свои процессы раскрытия информации, что еще больше усложняет усилия по обеспечению соблюдения требований.
Вот несколько советов о том, как подготовиться к соблюдению правил кибербезопасности SEC:
1. Консолидируйте данные о рисках кибербезопасности.
Поскольку новые правила требуют раскрытия информации об инцидентах после их обнаружения и предоставления подробной ежеквартальной и годовой отчетности о стратегии кибербезопасности, организации должны уделять приоритетное внимание централизации оценок рисков кибербезопасности и данных об инцидентах. Консолидация этих данных в едином репозитории, а не их разбросание по программам электронных таблиц или потеря в почтовых ящиках электронной почты, увеличивает вероятность соблюдения сроков SEC и сокращает время, затрачиваемое на сбор информации от различных отделов и заинтересованных сторон для раскрытия инцидентов.
2. Получите навыки количественной оценки киберрисков.
Традиционно организации используют качественные методы, такие как списки заказов или красно-желто-зеленые диаграммы серьезности, чтобы оценить значимость инцидентов кибербезопасности или других рискованных событий. Хотя Комиссия по ценным бумагам и биржам рекомендует учитывать эти оценки для определения существенности инцидента, количественная оценка киберриска дает более детальное представление о финансовых последствиях инцидента. Понимание количественного финансового воздействия киберрисков позволяет организациям предпринять необходимые шаги для смягчения дорогостоящих рисков или, в идеале, их полного предотвращения. Такой подход сокращает общий объем требуемого раскрытия информации.
3. Оптимизируйте процессы управления инцидентами
Сейчас подходящее время для проведения всестороннего анализа процессов управления инцидентами в вашей организации, чтобы убедиться, что они способны обнаруживать, устранять и сообщать об инцидентах кибербезопасности. Оптимизация и совершенствование этих процессов облегчает перехват киберрисков до того, как они перерастут в серьезные проблемы, и позволяет при необходимости быстро сообщать о них.
4. Улучшите свою кибербезопасность и управление киберрисками.
Чтобы обеспечить соблюдение новых правил SEC, вы должны адекватно информировать свой совет директоров о методах управления рисками кибербезопасности вашей организации. Внедрение надежных процессов отчетности и коммуникации имеет важное значение для регулярного информирования руководства о усилиях по управлению киберрисками и любых инцидентах, происходящих внутри организации. Кроме того, важно сформулировать, как эти инциденты могут повлиять или уже влияют на стратегию и финансы организации.
5. Защитите свои отношения с третьими лицами
Обновленные правила подчеркивают важность оценки киберрисков за пределами вашей организации. Соблюдение требований к отчетности по оценке киберрисков третьих сторон и выбор поставщиков услуг безопасности подчеркивает необходимость создания эффективной программы управления рисками третьих сторон. Фактически, атаки на цепочки поставок, нацеленные на более мелких подрядчиков и поставщиков, часто являются одной из основных причин инцидентов кибербезопасности в крупных организациях.
6. Улучшите культуру киберрисков в своих командах.
Цифровая трансформация существенно повлияла практически на каждый бизнес, особенно в годы после пандемии COVID-19, которая ускорила переход работы и жизни в онлайн. В результате резко возросло количество сотрудников, подключающихся к корпоративным сетям из разных мест и устройств, что значительно расширило наши возможности для кибератак. Этот сдвиг подчеркивает исключительную важность формирования культуры осведомленности о рисках кибербезопасности, где кибербезопасность рассматривается как ответственность каждого, а не только как компетенция команды информационной безопасности. Чем больше информации организация сможет повысить среди своих членов об угрозе киберрисков, тем сильнее будет ее общая позиция в области кибербезопасности, тем самым сокращая время, необходимое для раскрытия инцидентов в SEC.
Хотя правила SEC создают проблемы, они также открывают возможности. Соблюдение требований может снизить корпоративную кибербезопасность, повысить доверие инвесторов, привлечь капиталовложения и способствовать долгосрочной устойчивости компании.
Мы перечислили лучшие инструменты мониторинга сети.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно принадлежат TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
