Im Jahr 2023 werden die Aufsichtsbehörden einen „Meldehandschuh“ hinwerfen und börsennotierte Unternehmen dazu verpflichten, Cyberangriffe in Rekordzeit offenzulegen. Diese grundlegende Gesetzesänderung wird nicht nur die Notwendigkeit eines angemessenen Schutzes vor Angriffen verstärken, sondern Unternehmen dazu verpflichten, einen Vorfall innerhalb von 72 Stunden zu identifizieren und ihren Aktionären und der Cybersecurity Infrastructure Security Agency (CISA) zu melden.
Aufsichtsbehörden haben zur Kenntnis genommen, dass Unternehmen einen aussichtslosen Kampf gegen ausländische und inländische Cyberkriminalität führen, und durch die Einführung strengerer Cybersicherheitsvorschriften konzentrieren sie sich darauf, sicherzustellen, dass Unternehmen Cyberangriffe als zunehmend systemische Bedrohung behandeln.
Mit Cyberkriminalität wird dies voraussichtlich der Fall sein die Welt bis 2025 jährlich 10,5 Billionen US-Dollar kosten, wird jetzt die Bedeutung der Sicherung kritischer Infrastrukturen wie z wie Energie, Transport und Finanzdienstleistungen, entscheidend für eine funktionierende Gesellschaft und eine starke Wirtschaft. Die Aufsichtsbehörden versuchen auch, das Risiko für die Interessengruppen eines Unternehmens zu verringern. Mit den Worten des SEC-Vorsitzenden Gary Gensler: „Investoren suchen nach konsistenten, vergleichbaren und entscheidungsnützlichen Offenlegungen, damit sie ihr Geld in Unternehmen investieren können, die ihren Bedürfnissen entsprechen.“
Eine willkommene Gesetzesänderung?
Am 9. März 2022 veröffentlichte die Securities and Exchange Commission (SEC) einen Vorschlag mit dem Titel Cybersecurity Risk Management, Strategy, Governance and Incident Disclosure. Diese Gesetzgebung sieht vor, dass börsennotierte Unternehmen „wesentliche“ Cybersicherheitsvorfälle innerhalb von 72 Stunden auf einem Formular 8-K an Investoren melden müssen. Dies folgt auf einen Abwärtstrend bei der Offenlegung von Cyber-Vorfällen in den Formularen 8-K und 10-K im Jahr 2020 und 2021, trotz einer Rekordzahl von Cyberangriffen.
Die Gesetzgebung würde Unternehmen außerdem dazu verpflichten, CISA gegenüber offenzulegen, ob Cybersicherheit Teil der Geschäftsstrategie, Kapitalallokation und Finanzplanung einer Organisation ist. Die enthaltenen Cyber-Governance-Maßnahmen würden auch eine regelmäßige Berichterstattung über die Überwachung des Cybersicherheitsrisikos durch den Vorstand sowie über alle aktiven Unternehmensleiter mit vorheriger Cybersicherheitsexpertise vorschreiben, um die Art dieser Erfahrung zu beschreiben.
Die weit verbreiteten Regeln zielen auf eine Zunahme ab Transparenz für Investoren und Interessengruppen, die es ihnen ermöglicht, fundierte Entscheidungen über ihr Eigenkapital und ihre Daten zu treffen und ihr Verständnis dafür zu verbessern, wie Unternehmen ihre Cyberrisiken handhaben. Organisationen drohen hohe Bußgelder, wenn sie die SEC-Vorschriften nicht einhalten, was bedeutet, dass ein angemessener Cybersicherheitsschutz und Risikomanagement heute wichtiger denn je sind.
Ein Best-Practice-Sicherheitsprogramm im Jahr 2023 muss über die Kapazität zum Testen verfügen, Bewertung und Berichterstattung über die Effektivität seiner Operationen sowie kontinuierliche Verbesserungen, um die Leistung aufrechtzuerhalten, wenn neue Bedrohungen auftauchen.
Technologischer Fortschritt
Cybersicherheit als ein Die Bedürfnisse von Unternehmen sind weder neu noch revolutionär, aber wenn sich die Art der Bedrohungen für Unternehmen ändert, müssen sich auch ihre Abwehrmaßnahmen ändern. Die Aktivitäten der Nationalstaaten im Jahr 2022 führten dazu, dass globale kritische nationale Infrastrukturen angegriffen wurden, während der Krieg in Russland andauerte.
Analysen des Cybersicherheitsriesen Mandiant ergaben, dass Angriffe auf Softwarelieferketten auf ukrainische Regierungsbehörden abzielten und Malware-Angriffe polnische Institutionen in einer konzertierten Aktion trafen Unternehmen und nationalstaatliche Infrastruktur zu immobilisieren und zu schwächen. Organisationen stehen jetzt an vorderster Front eines Cyberkriegs, der Sektoren und geografische Grenzen überschreitet, wobei Goldman Sachs voraussagt, dass ein russischer Angriff auf die US-Infrastruktur die Wirtschaft bis zu 1 Billion US-Dollar.
Um die erhöhte Bedrohung zu bekämpfen, suchen Unternehmen nach Kampfbereitschaft für ihre Systeme und Cyber-Teams. Militärischer Schutz wie Cyber Ranges bietet eine originalgetreue, realistische Nachbildung virtueller Umgebungen, die Teams und Tools bis zum Ausfall umfassend testen. Durch die Simulation verschiedener Sicherheitsszenarien haben Cyber Ranges das Potenzial, Angriffe aus drei Jahren in 24 Stunden Testzeit zu komprimieren.
Indem sie über Endgeräte-Überwachungstools und theoretische Planung hinausgehen, können Teams Verbindungen knüpfen und sich stärken Arbeitsspeicher, der zum erfolgreichen Schutz der strategischen Vermögenswerte von Organisationen erforderlich ist. Entscheidend ist, dass die Ableitung von kennzahlengesteuerten Berichten auch dazu beitragen kann, die Anforderungen der Gesetzgeber zu erfüllen und die Fragen der Vorstandsmitglieder zu beantworten, wie z. B. „Wie bereit ist unser Unternehmen, Informationen offenzulegen?“, „Haben wir eine Lückenbewertung durchgeführt?“. , und’Welche Cyber-Risikopraktiken müssen sich ändern und gleich bleiben?’
Obwohl die materiellen Bedrohungen, die von nationalstaatlich unterstützten Gruppen in den letzten 12 Monaten ausgingen, viele Organisationen auf das systemische Risiko aufmerksam gemacht haben, das Angriffe gegen kritische Infrastruktur darstellen, können wir in unserem Krieg gegen Angreifer nicht selbstgefällig sein. Die Vorbereitung von Organisationen auf den anhaltenden Cyberkrieg sowie die neue Regulierung der SEC wird im kommenden Jahr jeden CEO beschäftigen, und die darin enthaltenen Lösungen werden entscheidend sein, um Risiken zu mindern.
Unternehmen müssen sich verändern Art und Weise, wie sie ihre Cyberexposition auf einen ergebnisorientierten Ansatz ausrichten. Weg von der Kontrollkästchen-Mentalität der Berichterstattung und den verschiedenen Tests, die sie bestanden haben, hin zu der Inspiration des Vertrauens in die Kohärenz der Interaktion ihres Systems, hin zur totalen Überzeugung von einem quantifizierten und bewerteten Cybersicherheitsprogramm, das als Ganzes funktioniert, wird eine Schlüsselmetrik sein, auf der der Erfolg basiert.
Bildnachweis: Alexander Supertramp/Shutterstock
James Gerber ist Chief Financial Officer des globalen Cybersicherheitsunternehmens SimSpace. Mit Fachkenntnissen sowohl im Engineering-als auch im C-Suite-Bereich hat Jamie über 30 Jahre Erfahrung in der Prognose von Risiken und der Festlegung von Strategien für einige der weltweit größten Bau-und Transportunternehmen gesammelt. Jamie hatte zuvor Positionen als CFO bei IronNet, Worldstrides und der Pension Benefit Guarantee Corporation (PBGC) inne. Während seiner Tätigkeit bei PBGC, einem milliardenschweren Rentenversicherer, konzentrierte sich Jamie auf die Gestaltung der Politik durch die Identifizierung systemischer Risiken, die Erschließung der Anforderungen von Versicherern und Prüfungsausschüssen und die Leitung des Anlageportfolios, als es von 32 Milliarden US-Dollar auf wuchs über 50 Milliarden $.