ในปี 2566 หน่วยงานกำกับดูแลจะยกเลิก’การรายงานอันตราย’และกำหนดให้บริษัทจดทะเบียนเปิดเผยการโจมตีทางไซเบอร์ในเวลาที่บันทึกไว้ การเปลี่ยนแปลงทางกฎหมายนี้จะไม่เพียงเพิ่มความจำเป็นในการป้องกันการโจมตีอย่างเพียงพอ แต่ยังกำหนดให้บริษัทต่าง ๆ ต้องระบุและรายงานเหตุการณ์ต่อผู้ถือหุ้นและหน่วยงานรักษาความปลอดภัยโครงสร้างพื้นฐานความปลอดภัยทางไซเบอร์ (CISA) ภายใน 72 ชั่วโมง
หน่วยงานกำกับดูแล ได้รับทราบว่าธุรกิจต่างๆ กำลังต่อสู้กับความสูญเสียจากอาชญากรไซเบอร์ทั้งในประเทศและต่างประเทศ และด้วยการแนะนำกฎระเบียบด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดมากขึ้น พวกเขามุ่งเน้นเพื่อให้แน่ใจว่าบริษัทต่างๆ ปฏิบัติต่อการโจมตีทางไซเบอร์เป็นภัยคุกคามที่เป็นระบบมากขึ้น
ด้วยการคาดการณ์ว่าอาชญากรรมทางไซเบอร์จะ สร้างความเสียหายให้กับโลก 10.5 ล้านล้านดอลลาร์ต่อปีภายในปี 2025 ขณะนี้แสงสว่างกำลังส่องให้เห็นถึงความสำคัญของการรักษาความปลอดภัยโครงสร้างพื้นฐานที่สำคัญ เช่น ทั้งด้านพลังงาน การขนส่ง และบริการทางการเงิน ซึ่งมีส่วนสำคัญต่อสังคมที่ใช้งานได้และเศรษฐกิจที่เข้มแข็ง หน่วยงานกำกับดูแลยังพยายามที่จะลดความเสี่ยงให้กับผู้มีส่วนได้ส่วนเสียของธุรกิจ ในคำพูดของประธาน SEC Gary Gensler”นักลงทุนกำลังมองหาการเปิดเผยข้อมูลที่สอดคล้องกัน เปรียบเทียบได้ และมีประโยชน์ในการตัดสินใจ เพื่อให้พวกเขาสามารถลงทุนในบริษัทที่ตรงกับความต้องการของพวกเขา”
ยินดีต้อนรับการเปลี่ยนแปลงทางกฎหมายหรือไม่
เมื่อวันที่ 9 มีนาคม 2022 สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ได้เผยแพร่ข้อเสนอชื่อ Cybersecurity Risk Management, Strategy, Governance and Incident Disclosure กฎหมายฉบับนี้กำหนดให้บริษัทจดทะเบียนต้องรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์”ที่สำคัญ”ในแบบฟอร์ม 8-K ต่อนักลงทุนภายใน 72 ชั่วโมง สิ่งนี้เกิดขึ้นหลังจากการเปิดเผยข้อมูลเหตุการณ์ทางไซเบอร์ในแบบฟอร์ม 8-K และ 10-K ที่มีแนวโน้มลดลง ในปี 2020 และปี 2021 แม้จะมีการโจมตีทางไซเบอร์เป็นประวัติการณ์ก็ตาม
กฎหมายยังกำหนดให้บริษัทต่างๆ ต้องเปิดเผยต่อ CISA ว่าความปลอดภัยทางไซเบอร์เป็นส่วนหนึ่งของกลยุทธ์ทางธุรกิจ การจัดสรรเงินทุน และการวางแผนทางการเงินขององค์กรหรือไม่ มาตรการกำกับดูแลทางไซเบอร์ที่รวมอยู่ด้วยจะกำหนดให้มีการรายงานเป็นระยะเกี่ยวกับการกำกับดูแลความเสี่ยงด้านความปลอดภัยทางไซเบอร์ของคณะกรรมการ ตลอดจนกรรมการบริษัทที่ใช้งานอยู่ซึ่งมีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์มาก่อนเพื่ออธิบายลักษณะของประสบการณ์นั้น
กฎที่แพร่หลายมีจุดมุ่งหมายเพื่อเพิ่ม ความโปร่งใสสำหรับนักลงทุนและผู้มีส่วนได้ส่วนเสีย ช่วยให้พวกเขาสามารถตัดสินใจอย่างรอบรู้เกี่ยวกับส่วนได้ส่วนเสียและข้อมูล และปรับปรุงความเข้าใจเกี่ยวกับวิธีการที่บริษัทต่างๆ จัดการกับความเสี่ยงทางไซเบอร์ องค์กรต่างๆ จะต้องเผชิญกับค่าปรับจำนวนมากหากไม่ปฏิบัติตามกฎระเบียบของ SEC ซึ่งหมายความว่าการป้องกันความปลอดภัยทางไซเบอร์ที่เพียงพอและการจัดการความเสี่ยงมีความสำคัญมากกว่าที่เคย
โปรแกรมความปลอดภัยแนวปฏิบัติที่ดีที่สุดในปี 2023 จะต้องมีความสามารถในการทดสอบ ประเมินและรายงานประสิทธิผลของการดำเนินงาน ตลอดจนปรับใช้การปรับปรุงอย่างต่อเนื่องเพื่อรักษาประสิทธิภาพเมื่อมีภัยคุกคามใหม่ๆ เกิดขึ้น
ความก้าวหน้าทางเทคโนโลยี
ความปลอดภัยทางไซเบอร์ในฐานะ ความต้องการทางธุรกิจไม่ใช่เรื่องใหม่หรือปฏิวัติวงการ แต่เมื่อประเภทของภัยคุกคามที่ธุรกิจเผชิญอยู่เปลี่ยนไป การป้องกันก็เช่นกัน กิจกรรมของรัฐในปี 2565 พบว่าโครงสร้างพื้นฐานระดับชาติที่สำคัญทั่วโลกถูกโจมตี ในขณะที่สงครามของรัสเซียยังดำเนินต่อไป
การวิเคราะห์จากบริษัทยักษ์ใหญ่ด้านความปลอดภัยทางไซเบอร์ Mandiant พบว่าการโจมตีห่วงโซ่อุปทานของซอฟต์แวร์มีเป้าหมายที่หน่วยงานรัฐบาลของยูเครน และการโจมตีด้วยมัลแวร์โจมตีสถาบันในโปแลนด์ด้วยความพยายามร่วมกัน เพื่อทำให้ธุรกิจและโครงสร้างพื้นฐานของประเทศอ่อนแอลง ขณะนี้องค์กรต่าง ๆ อยู่ในแนวหน้าของสงครามไซเบอร์ที่อยู่เหนือภาคส่วนและขอบเขตทางภูมิศาสตร์ โดย Goldman Sachs ทำนายว่าการโจมตีของรัสเซียต่อโครงสร้างพื้นฐานของสหรัฐอาจทำให้เศรษฐกิจเสียหาย สูงถึง 1 ล้านล้านดอลลาร์.
เพื่อต่อสู้กับภัยคุกคามที่ทวีความรุนแรงขึ้น ธุรกิจต่าง ๆ กำลังมองหาความพร้อมในการต่อสู้สำหรับระบบและทีมไซเบอร์ของตน การป้องกันระดับการทหาร เช่น ขอบเขตทางไซเบอร์ จำลองสภาพแวดล้อมเสมือนที่มีความเที่ยงตรงสูงและเหมือนจริง ซึ่งจะทดสอบทีมและเครื่องมืออย่างละเอียดจนกว่าจะเกิดความล้มเหลว ด้วยการจำลองสถานการณ์การรักษาความปลอดภัยที่แตกต่างกัน ช่วงทางไซเบอร์มีศักยภาพที่จะบีบอัดการโจมตีมูลค่าสามปีให้อยู่ในการทดสอบ 24 ชั่วโมง
นอกเหนือจากเครื่องมือตรวจสอบจุดสิ้นสุดและการวางแผนเชิงทฤษฎี ทีมสามารถสร้างพันธะและพัฒนากล้ามเนื้อได้ หน่วยความจำที่จำเป็นในการปกป้องสินทรัพย์เชิงกลยุทธ์ขององค์กรให้ประสบความสำเร็จ ที่สำคัญ การได้รับรายงานที่อิงตามเมตริกยังสามารถเป็นเครื่องมือในการตอบสนองความต้องการของหน่วยงานด้านกฎหมายและตอบคำถามของสมาชิกในคณะกรรมการ เช่น’บริษัทของเราพร้อมแค่ไหนในการเปิดเผยข้อมูล”เราได้ทำการประเมินช่องว่างหรือไม่’และ’แนวปฏิบัติเกี่ยวกับความเสี่ยงทางไซเบอร์แบบใดที่ต้องเปลี่ยนแปลงและคงเดิม’
แม้ว่าภัยคุกคามทางวัตถุที่เกิดจากกลุ่มรัฐที่ได้รับการสนับสนุนจากประเทศในช่วง 12 เดือนที่ผ่านมาได้ปลุกให้หลายองค์กรตื่นตัวต่อความเสี่ยงเชิงระบบที่จะโจมตีต่อวิกฤต โครงสร้างพื้นฐาน เราไม่สามารถนิ่งนอนใจในการทำสงครามกับผู้โจมตี การเตรียมองค์กรให้พร้อมสำหรับสงครามไซเบอร์อย่างต่อเนื่อง เช่นเดียวกับกฎระเบียบใหม่ของ SEC จะอยู่ในใจของ CEO ทุกคนในปีต่อๆ ไป และโซลูชันดังกล่าวจะมีความสำคัญอย่างยิ่งในการลดความเสี่ยง
บริษัทต่าง ๆ จะต้องปรับเปลี่ยน วิธีที่พวกเขาตีกรอบการเปิดรับทางไซเบอร์ให้เป็นแนวทางที่อิงตามผลลัพธ์ ย้ายออกจากกล่องกาเครื่องหมายความคิดของความคุ้มครองและการทดสอบต่างๆ ที่พวกเขาได้ผ่าน ไปสู่แรงบันดาลใจของความมั่นใจในความสอดคล้องกันของการทำงานร่วมกันของระบบของพวกเขา ไปสู่ผลรวมของความเชื่อมั่นในโปรแกรมความปลอดภัยทางไซเบอร์เชิงปริมาณและเกณฑ์มาตรฐานที่ดำเนินการโดยรวม จะเป็นมาตรวัดหลักที่ใช้วัดความสำเร็จ
เครดิตรูปภาพ: Alexander Supertramp/Shutterstock
James Gerber เป็นประธานเจ้าหน้าที่ฝ่ายการเงินของบริษัท Global Cybersecurity SimSpace ด้วยความเชี่ยวชาญทั้งด้านวิศวกรรมและด้าน c-suite เจมี่สั่งสมประสบการณ์กว่า 30 ปีในการคาดการณ์ความเสี่ยงและกำหนดกลยุทธ์ของธุรกิจก่อสร้างและขนส่งที่ใหญ่ที่สุดในโลกบางแห่ง Jamie เคยดำรงตำแหน่ง CFO ที่ IronNet, Worldstrides และ Pension Benefit Guarantee Corporation (PBGC) ในระหว่างที่เขาดำรงตำแหน่งที่ PBGC ซึ่งเป็นบริษัทประกันเงินบำนาญมูลค่าหลายพันล้านดอลลาร์ เจมี่มุ่งเน้นไปที่การกำหนดนโยบายผ่านการระบุความเสี่ยงที่เป็นระบบ ใช้ประโยชน์จากความต้องการของบริษัทประกันและคณะกรรมการตรวจสอบ ในขณะที่ควบคุมพอร์ตการลงทุนที่เติบโตจาก 32 พันล้านดอลลาร์เป็น มากกว่า 5 หมื่นล้านดอลลาร์