‘Mudança de jogo’: as regras da SEC sobre divulgação cibernética aumentariam o planejamento e os gastos de segurança

Novas regras propostas pela Securities and Trade Fee (SEC) dos EUA que forçariam a divulgação imediata dos principais ataques cibernéticos espera-se que impulsionem uma melhoria dramática na postura de segurança entre as empresas dos EUA, disseram executivos da indústria cibernética à VentureBeat.

As regras propostas da SEC incluem a exigência de que empresas de capital aberto divulguem detalhes sobre um “incidente subject material de segurança cibernética” – como uma violação grave de dados, ataque de ransomware, roubo de dados ou exposição acidental de dados confidenciais – em um arquivamento público. E sob a regra proposta, a divulgação precisaria ser feita em apenas quatro dias úteis após a empresa determinar que o incidente foi “subject material”, disse a SEC.

Embora o primary motivo da SEC seja fornecer aos investidores mais informações sobre o risco cibernético das corporações, o aumento do planejamento e dos gastos em segurança por muitas empresas dos EUA são resultados prováveis, disseram executivos cibernéticos.

“A verdade é que a conformidade é de longe o maior impulsionador da segurança cibernética do que o desejo de ser mais seguro”, disse Stel Valavanis, fundador e CEO da empresa de serviços de segurança gerenciada OnShore Safety.

‘Eles vão gastar mais dinheiro’

O regulamento proposto pela SEC não especifica um aprimoramento necessário da postura de segurança das corporações, por si só – mas “a visibilidade que requer terá esse efeito”, disse Valavanis.

Em outras palavras, “sim, eles gastarão mais dinheiro para evitar ter que divulgar uma violação”, disse ele. “Mas eles também farão as coisas de uma maneira mais inteligente que lhes permita ter os dados e o processo para avaliar com mais precisão uma violação e relatar o impacto. Para mim, isso é um divisor de águas.”

Karthik Kannan, CEO da empresa de detecção de ameaças cibernéticas Anvilogic, concordou, dizendo que “regulamentos e conformidade impulsionam uma melhor postura – o que, por sua vez, sempre se traduz em mais investimento”.

Especificamente, a nova regra sobre a divulgação de incidentes “materiais” de segurança cibernética exigiria o arquivamento de um Formulário 8-Okay alterado com a SEC.

Outras regras propostas pela SEC exigiriam que empresas de capital aberto fornecessem informações atualizadas sobre incidentes de segurança cibernética que haviam sido divulgados anteriormente – bem como exigiriam a divulgação de uma série de incidentes cibernéticos anteriores que, “no agregado”, foram encontrados para somar ter um efeito subject material sobre a empresa.

Melhorar a transparência

Em uma notícia liberaçãoo presidente da SEC, Gary Gensler, chamou a segurança cibernética de “um risco emergente com o qual os emissores públicos devem enfrentar cada vez mais”.

“Os investidores querem saber mais sobre como os emissores estão gerenciando esses riscos crescentes”, disse Gensler – observando que, embora algumas empresas de capital aberto já divulguem essas informações aos investidores, “empresas e investidores se beneficiariam” da divulgação consistente e comparável de incidentes cibernéticos.

A SEC disse que o período de comentários sobre as novas regras será de 60 dias, ou até 9 de maio.

As regras propostas são uma “boa jogada” da SEC, uma vez que as regras atuais “permitiram essencialmente que as empresas divulgassem essas informações críticas” por conta própria, disse Ray Kelly, membro da NTT Utility Safety.

Isso, é claro, significou que muitos incidentes não foram divulgados imediatamente – ou de todo.

“Embora não possamos determinar o número de incidentes materiais de segurança cibernética que não estão sendo divulgados ou não estão sendo divulgados em pace hábil, a equipe observou certos incidentes de segurança cibernética que foram relatados na mídia, mas que não foram divulgados nos registros de um registrante. ”, disse a SEC em um documento sobre a regra proposta.

Incidente ‘Subject material’

Em termos do que constitui um incidente de segurança cibernética “subject material”, a SEC citou vários casos anteriores. Do documento da SEC sobre as regras propostas:

A informação é relevante se “há uma probabilidade substancial de que um acionista razoável a considere importante” ao tomar uma decisão de investimento, ou se ela “alterou significativamente o ‘combine general’ de informações disponibilizadas”.

No documento, a SEC forneceu vários exemplos de incidentes de segurança cibernética que podem se encaixar nos critérios de serem “materiais”:

• Um incidente não autorizado que comprometeu a confidencialidade, integridade ou disponibilidade de um ativo de informação (dados, sistema ou rede); ou violou as políticas ou procedimentos de segurança do registrante. Os incidentes podem resultar da exposição acidental de dados ou de um ataque deliberado para roubar ou alterar dados;
• Um incidente não autorizado que causou degradação, interrupção, perda de controle, dano ou perda de sistemas de tecnologia operacional;
• Um incidente em que uma parte não autorizada acessou, ou uma parte excedeu o acesso autorizado, e alterou ou roubou informações comerciais confidenciais, informações de identificação pessoal, propriedade intelectual ou informações que resultaram ou podem resultar em perda ou responsabilidade pelo registrante;
• Um incidente em que um agente mal-intencionado se ofereceu para vender ou ameaçou divulgar publicamente dados confidenciais da empresa; ou
• Um incidente em que um agente mal-intencionado exigiu pagamento para restaurar dados da empresa que foram roubados ou alterados.

As alterações de regras propostas são um passo importante para aumentar a transparência e a responsabilidade na segurança cibernética, disse Jasmine Henry, diretora de segurança de campo da empresa de soluções de gerenciamento e governança de ativos cibernéticos JupiterOne.

“É um reconhecimento público de que a segurança é um direito básico e que as organizações têm uma responsabilidade ética para com seus acionistas de gerenciar proativamente o risco cibernético”, disse Henry.

Recuperação de incidentes

Em specific, Henry disse que está encorajada pela atenção da SEC para a recuperação de incidentes cibernéticos na proposta de regras. Como parte do regulamento, a SEC exigiria a divulgação de se as empresas montaram planos para continuidade de negócios, contingência e recuperação no caso de ocorrer um grande incidente de segurança cibernética.

“Aplicar mudanças significativas é a parte mais importante do aprendizado de um incidente de segurança cibernética”, disse Henry.

No que diz respeito à resposta a incidentes (IR), as organizações precisarão aumentar seus planos de IR se as regras da SEC acabarem sendo adotadas, de acordo com Joseph Carson, cientista-chefe de segurança da empresa de gerenciamento de acesso privilegiado Delinea.

Atualmente, quatro dias após a descoberta de uma violação de dados, muitas organizações “ainda estão tentando identificar o impacto”, disse Carson.

Assim, muitas equipes de segurança precisariam mudar para uma posição de “pronta para IR” se as regras da SEC fossem adotadas, disse ele.

Brian Fox, CTO da empresa de segurança de aplicativos Sonatype, disse que questiona se um requisito de divulgação de quatro dias é a quantidade certa de pace.

Curto demais?

Em ataques graves, as empresas ainda estão geralmente no modo de triagem e resposta nesse ponto – onde detalhes suficientes ainda não são conhecidos, disse Fox. Isso poderia levar a informações incorretas, disse ele.

Em geral, porém, “mais transparência levará a mais responsabilidade e investimento em proteções adequadas dentro das organizações”, disse Fox.

Se as regras forem adotadas e as empresas acabarem em uma “corrida para validar sua postura”, muitos perceberão que “suas soluções de segurança estão com baixo desempenho”, disse Davis McCarthy, primary pesquisador de segurança da empresa de serviços de segurança de rede nativa em nuvem Valtix.

“As empresas vão querer descarregar seus riscos”, disse McCarthy, o que pode acelerar ainda mais a mudança para plataformas em nuvem que assumem a responsabilidade de proteger a infraestrutura de {hardware}.

Outro componente notável das regras propostas é uma seção que exigiria a divulgação de qualquer membro do conselho que tenha experiência em segurança cibernética. Isso potencialmente destacaria se o conselho de uma empresa “tem as pessoas certas para fazer o trabalho”, disse McCarthy.

‘Estava na hora’

Em suma, a adoção dessas regras deve ter um efeito positivo na segurança cibernética como um todo, disseram os executivos.

Sem dúvida, “o aumento dos relatórios sobre a postura cibernética e o que as empresas estão usando para gerenciamento de risco impulsionarão investimentos adicionais nessa área”, disse Padraic O’Reilly, cofundador da empresa de gerenciamento de risco cibernético CyberSaint.

E “já technology hora”, disse Alberto Yepez, cofundador e diretor administrativo da empresa de risco Forgepoint Capital – dadas as muitas indicações de que a postura geral de segurança entre as empresas está indo na direção errada.

Por exemplo, 83% das organizações experimentaram um ataque de phishing baseado em electronic mail bem-sucedido em 2021, contra 57% no ano anterior, de acordo com Ponto de prova. Enquanto isso, vazamentos de dados relacionados ao ransomware aumentaram 82% em 2021 em comparação com 2020, mostram os dados da CrowdStrike.

Felizmente, com os novos requisitos de divulgação de ataques cibernéticos propostos pela SEC, “este é o começo de um tsunami de mudanças na governança corporativa”, disse Yepez.