2023 年,監管機構將發起“報告挑戰”,並要求上市公司在創紀錄的時間內披露網絡攻擊事件。這一立法巨變不僅會加強對充分保護免受攻擊的需求,而且會要求公司在 72 小時內識別並向其股東和網絡安全基礎設施安全局 (CISA) 報告事件。
監管機構已經註意到,企業正在與國內外網絡犯罪打一場必敗仗,通過引入更嚴格的網絡安全法規,他們的重點是確保企業將網絡攻擊視為越來越系統性的威脅。
隨著網絡犯罪預計將到 2025 年每年花費 10.5 萬億美元,現在人們開始意識到保護關鍵基礎設施安全的重要性,例如作為能源、交通和金融服務,對一個運轉良好的社會和強大的經濟至關重要。監管機構還尋求降低企業利益相關者的風險。用 SEC 主席 Gary Gensler 的話來說,“投資者正在尋找一致的、可比較的和對決策有用的信息披露,這樣他們就可以將資金投入滿足他們需求的公司”。
一個受歡迎的立法變化?
2022 年 3 月 9 日,美國證券交易委員會 (SEC) 發布了一項名為網絡安全風險管理、戰略、治理和事件披露的提案。根據這項立法,上市公司必須在 72 小時內通過 8-K 表格向投資者報告“重大”網絡安全事件。這是在 2020 年 8-K 和 10-K 表格網絡事件披露呈下降趨勢之後發生的和 2021,儘管網絡攻擊數量創歷史新高。
立法將進一步要求公司向 CISA 披露網絡安全是否是組織業務戰略、資本分配和財務規劃的一部分。所包含的網絡治理措施還將要求定期報告董事會對網絡安全風險的監督,以及任何具有網絡安全專業知識的現任公司董事來描述這種經驗的性質。
普遍的規則旨在增加投資者和利益相關者的透明度,使他們能夠就其股權和數據做出明智的決策,並提高他們對公司如何管理其網絡風險敞口的理解。如果組織不遵守 SEC 的規定,他們將面臨巨額罰款,這意味著充分的網絡安全保護和風險管理現在比以往任何時候都更加重要。
2023 年的最佳實踐安全計劃必須具備測試、評估和報告其運營的有效性,並在出現新威脅時採取持續改進以維持績效。
技術進步
網絡安全作為業務需求既不是新的也不是革命性的,但隨著企業面臨的威脅類型發生變化,其防禦措施也必鬚髮生變化。隨著俄羅斯戰爭的持續,民族國家在 2022 年的活動見證了全球關鍵的國家基礎設施受到攻擊。
網絡安全巨頭 Mandiant 的分析發現,軟件供應鏈攻擊針對的是烏克蘭政府機構,惡意軟件攻擊則共同襲擊了波蘭機構固定和削弱企業和民族國家的基礎設施。組織現在處於跨越行業和地理界限的網絡戰爭的前線,高盛預測俄羅斯對美國基礎設施的攻擊可能會使經濟付出代價 高達 1 萬億美元.
為了應對日益嚴重的威脅,企業正在為其係統和網絡團隊尋求戰備狀態。諸如網絡靶場之類的軍事級保護提供了虛擬環境的高保真、逼真的複製品,可以全面測試團隊和工具,直到出現故障。通過模擬不同的安全場景,網絡靶場有可能將三年的攻擊壓縮到 24 小時的測試中。
通過超越端點監控工具和理論規劃,團隊可以建立聯繫並發展實力成功保護組織戰略資產所需的內存。至關重要的是,指標驅動報告的推導也有助於滿足立法機構的要求和回答董事會成員的問題,例如“我們公司披露信息的準備情況如何?”、“我們是否進行了差距評估?” ,以及“哪些網絡風險實踐必須改變並保持不變?”
儘管在過去 12 個月中由民族國家支持的團體構成的物質威脅已經使許多組織意識到針對關鍵攻擊的系統性風險基礎設施構成威脅,我們不能在與攻擊者的戰爭中自滿。讓組織為持續的網絡戰以及美國證券交易委員會的新法規做好準備,將是未來一年每位首席執行官的想法,其中的解決方案對於減輕風險至關重要。
公司必須轉變他們將網絡風險置於基於結果的方法中的方式。從覆蓋範圍的勾選框心態和他們通過的各種測試,轉向對系統交互凝聚力的信心的激發,到對作為一個整體運行的量化和基準網絡安全計劃的整體信念,將成為成功的關鍵指標。
圖片來源: Alexander Supertramp/Shutterstock
James Gerber 是全球網絡安全公司的首席財務官