美国参议院最近提出了一项网络安全披露法案,要求上市公司描述其董事会拥有哪些网络安全专业知识,如果董事会没有网络安全专业知识,则要求上市公司采取哪些措施让其董事会获得一些网络安全专业知识。
“这似乎是一个非常简单而简单的账单,”Chris Wysopal,CTO和Ciso说Veracode.。“除了关于董事会的一些披露,它没有任何繁重的东西。对我来说,它有机会通过。”
该法案完全符合Veracode与纽约证券交易所进行的一些研究。在研究中,令人惊讶的是,90%的公司董事会成员表示,监管机构应该让企业承担违约责任,如果他们对客户数据疏忽或没有合理的安全措施到位。
“但是SEC或FTC没有明确的指导,关于什么是合理的安全做法,”他说。“董事会希望在那里看到更多的清晰度。”
[关于CSO:要求技术行业报告恐怖活动的立法可能会恢复]
公司已经有许多报告和合规要求,影响网络安全的支出。事实上,根据本周发布的庞梅姆研究所的调查,需要遵守隐私或数据安全法规是使用加密技术的最大司机。
已经有许多联邦法律和个人国家披露要求,但由于违规行为即将到来,安全专家预计监督的金额只会继续增加。
以美国证券交易委员会(Securities and Exchange Commission)为例,该委员会最近一直在加强其与网络安全相关的活动。
2011年,证券交易所发出指导,要求公开交易公司报告网络安全风险与其他类型的物质风险。
Deloitte Cyber Risk Services战略和治理的领导者Vikram Bhat
“对于上市公司来说,2011年提供的指导仍然是大多数人仍然是基线的主要关注点,”FIS监管智能中心政府事务董事总经理彼得杜瓦斯表示,FIS全球
例如,公司需要报告其业务或外包功能是否存在网络安全风险,是否发生过对公司有影响的安全事件,甚至长期未被发现的攻击的潜在风险。
但是指导留下了对解释的很多。
美国律师事务所(at)的律师萨拉•罗明(Sara Romine)表示,这种做法缺乏明确性Carrington,Coleman,Sloman&Blumenthal,L.L.P.
她说:“我们知道,你不必披露公司的漏洞,这样你就可以向黑客提供公司的漏洞所在。”“但你知道,你必须披露足够多的信息,让投资者了解公司面临的风险的性质。那么你的底线在哪里呢?你需要披露多少?”
如果公司报告了数据泄露,但在其他法规下不需要在其他法规中报告数据泄露。
她说:“我认为SEC会对这个领域更加感兴趣。”“如果违规行为很有可能导致收入减少或对业务产生实质性影响,则需要承担一定的报告义务。”
不过,在过去几年里,SEC已将重点转向华尔街机构。
例如,SEC最近表示,他们将研究券商如何管理第三方风险,比如来自购买的软件或基于云的服务的风险。
Wysopal说:“我们看到这是一个新的趋势,而且是一个重要的趋势。“我们看到越来越多的东西转移到云端,由第三方管理。”
去年2月,仲裁股审查了一个网络安全扫描考试,确定了88%的经纪人经销商和74%的注册投资顾问直接或通过他们的供应商遭遇了Cyberattacks。
秋季,仲裁股宣布,它将第二轮金融服务公司的考试,重点是一些网络安全主题,包括供应商管理。
根据SEC合规检查和检查办公室(Office of Compliance supervision and Examinations)的说法,其他重点领域包括治理和风险评估、访问控制、数据丢失预防、培训和事件响应。
“我们预计过去几年所涵盖的地区的审查,具有评估的新兴的风险领域,”毕马克网络的金融服务领导者Glenn Siriano说kpmg.。
他说,这些新领域包括新兴技术,新的外部威胁向量,对第三方供应商,社交媒体的使用以及管理内幕威胁的深入评估。
此外,美国证券交易委员会的CSO Mahon说,SEC已经超越了进行检查和发布指导的范畴Centurylink。
“他们开始更好地了解这是一个更大的问题,”他说。“他们正试图绕过它,你开始看到更多审计。”
他说,例如,最近针对地区性投资公司RT Jones的执法行动就暴露了客户经纪记录。
在那起案件中,这家经纪公司被罚款7.5万美元,因为在近四年的时间里,该公司没有采取任何书面政策或程序来确保个人身份信息的安全,并保护其免受未经授权的访问。
该律师事务所证券业业务联席主席欧内斯特•巴德韦证实,SEC正在加大执法力度福克斯罗斯柴尔德LLP)
他表示:“针对各种经纪商、投资顾问和基金的执法行动已经有好几次了。”
德勤网络风险服务(Deloitte Cyberrisk Services)的战略和治理实践负责人维克拉姆•巴特(Vikram Bhat)表示,SEC的核心目标是保护散户投资者德勤会计师事务所
“因此,投资公司,资产管理公司可能是一系列可能被审查的人,”他说。
他说,这将是今年可能进行的额外测试的重点。但它不会就此止步。
他说:“最终,这都是在推动提高所有机构的网络安全标准。”
当监管机构和立法者还在为这个问题苦苦挣扎时,政府的第三个分支——司法机构也在加紧工作,而且可能产生更大的影响。
“当你看到董事会因玩忽职守而被起诉时,董事会开始意识到这是他们治理和信托关系的一部分,”CenturyLink的Mahon说。
“在董事会层次之后,事情发生了很大的变化目标违规行为,“全球营销副总裁Torsten George说,产品管理副总裁RiskSense。“这是一个分水岭事件。法院与消费者相传,法院也与消费者相结合温德姆酒店服。它对董事会产生了重大影响。那些董事会突然醒来。“
这篇名为《企业期望政府加强网络安全监管》的文章最初发表于CSO 。