Режимы обязательной отчетности появятся во многих странах в ближайшие несколько лет, независимо от того, поддержат ли бизнес эту идею или нет. Хотя детали различаются, эти требования предназначены для повышения осведомленности правительства о масштабах, масштабах и интенсивности злонамеренной киберактивности в их странах. Экономическое обоснование такой отчетности с точки зрения правительства ясно; ни одно правительство в настоящее время не располагает информацией об инцидентах, необходимой ему для защиты своей национальной безопасности, экономического процветания или общественного здравоохранения и безопасности в киберпространстве. Однако для компаний часто неясно, что они получают от этих режимов. Но если правила будут установлены должным образом, предприятия могут получить явные выгоды. Поэтому бизнес-сообщество должно воспользоваться этой возможностью, чтобы преобразовать эти режимы отчетности в структуру, которая будет приносить пользу не только правительству и обществу, но и отдельным предприятиям одновременно.
За последние несколько лет многие страны, включая США, Австралию и Индию, ввели обязательные требования к отчетности о киберинцидентах. Европейский Союз недавно расширил свои обязательные требования к отчетности в своей Директиве по сетевой и информационной безопасности 2.0. В то время как общие требования действуют в США и ЕС, конкретные правила и руководства по применению этих законов все еще разрабатываются. В США Агентство кибербезопасности и безопасности инфраструктуры Министерства внутренней безопасности разрабатывает постановления, необходимые для вступления закона в силу; этот процесс продлится до середины 2025 года. В соответствии с директивным процессом ЕС каждое государство-член должно принять законы для его реализации, и в этом случае у них есть на это время до октября 2024 года. Другие страны рассматривают аналогичные законы.
Хотя детали различаются, эти требования предназначены для повышения осведомленности правительства о масштабах, масштабах и интенсивности злонамеренной киберактивности в их странах. С точки зрения правительства, экономическое обоснование такой отчетности очевидно: в настоящее время ни одно правительство не располагает информацией об инцидентах, необходимой ему для защиты своей национальной безопасности, экономического процветания или общественного здравоохранения и безопасности в киберпространстве. Однако часто неясно, что компании получают от этих режимов. На самом деле, многие предприятия обеспокоены потенциальной нагрузкой или другими негативными последствиями, которые могут возникнуть в результате сообщения о кибер-инциденте.
Эти опасения имеют смысл. Вопросы об ответственности или нормативных штрафах занимают важное место в дискуссиях о сообщениях о киберинцидентах. Большинство предприятий, естественно, скептически относятся к правительственным распоряжениям, особенно с точки зрения того, как они будут применяться, когда организация находится в плохой ситуации. Однако, как и в случае с физическими преступлениями, увеличение числа сообщений о киберинцидентах также может помочь бизнесу.
Плюсы обязательной отчетности об инцидентах для бизнеса
Наиболее очевидным преимуществом режима отчетности является прямая помощь в реагировании на инциденты. Правительства не могут помочь компаниям, если они не знают об инциденте. Вопреки распространенному мнению, даже правительство США имеет мало информации об инцидентах, затрагивающих большинство компаний частного сектора. Таким образом, режимы отчетности создадут возможности для правительств, чтобы помочь компаниям напрямую, например, техническую и экономическую поддержку, которая укрепит реакцию компании на кибер-инцидент. Не все компании будут нуждаться или захотят получить государственную помощь, но многие компании приветствуют техническую или финансовую помощь во время кризиса.
Поскольку обязательные режимы отчетности увеличат как объем, так и своевременность отчетов об инцидентах, у правительств будет больше возможностей предупреждать бизнес о возникающих угрозах или потенциальных проблемах до их возникновения. Спецслужбы используют термин «указания и предупреждения» для этой деятельности, и это позволяет получателям предпринять подготовительные действия до того, как произойдет что-то плохое. Предупреждение организаций, находящихся в аналогичном положении, о конкретных угрозах, которые могут непосредственным образом повлиять на них, может помочь этим компаниям остановить угрозу до того, как она станет инцидентом. Это может предоставить обоснование, необходимое компании для инвестирования ресурсов в устранение давних недостатков или определение приоритетов обновлений. Более того, более целенаправленные и своевременные предупреждения будут пользоваться большим доверием и вниманием руководителей компаний.
В настоящее время понимание воздействия и вреда от злонамеренной киберактивности затруднено из-за неполных и неточных данных. Режимы отчетности потребуют от компаний сообщать об ущербе и вреде, который они понесли в результате киберинцидента, включая упущенную выгоду, выплаты выкупа, кражу интеллектуальной собственности или компрометацию личной информации. Агрегируя этот тип данных с течением времени, правительства смогут лучше количественно оценить воздействие злонамеренной киберактивности. Эти данные будут способствовать широкому спектру оценок, от анализа затрат и выгод на уровне отдельных фирм до принятия решений о соотношении рисков и выгод на национальном уровне. Это может помочь информировать страховой рынок и улучшить усилия по расстановке приоритетов для достижения лучших результатов.
Правительства также могли бы использовать представленные данные для лучшего понимания угрозы и выявления тенденций или изменений в окружающей среде. В настоящее время у нас нет хорошего базового показателя киберинцидентов в экосистеме. Например, то, увеличилось или уменьшилось количество инцидентов с программами-вымогателями в 2022 году по сравнению с 2021 годом, зависит от организации, составившей отчет. В отличие от многих других криминальных и экономических статистических данных, у нас нет достоверного источника. Обязательная отчетность об инцидентах будет генерировать статистически значимую информацию о тенденциях, которая может лучше информировать о политических решениях. Полученные данные помогут определить, оказывают ли политики ожидаемый эффект, или показать, как развиваются тенденции злонамеренной киберактивности. Компании также могут использовать эти данные для принятия решений с учетом рисков или долгосрочных инвестиций, точно так же, как они используют другие государственные источники данных.
Стоимость обязательной отчетности об инцидентах для бизнеса
Показатели отчетности в рамках существующих добровольных режимов, как правило, очень низки. Например, по оценкам Федерального бюро расследований США, менее 20% жертв банды вымогателей Hive сообщили об атаке правительству США. Очевидно, что предприятия видят множество недостатков в сообщении об инцидентах, иначе они делали бы это чаще. Эти опасения обычно связаны с потенциальными нормативными или юридическими действиями, ущербом для бренда или репутации или судебными разбирательствами, а также с отсутствием предполагаемой пользы от отчетности.
Конечно, обязательные требования снимают многие опасения, потому что у предприятий не будет выбора. Интересно, однако, что многие законы об отчетности пытаются смягчить некоторые из этих опасений. Например, в США Закон об отчетах о кибер-инцидентах для критически важной инфраструктуры (CIRCIA) прямо запрещает регулирующим органам использовать информацию, сообщаемую в соответствии с законом, в качестве основания для принятия регулирующих мер. Хотя регулирующий орган по-прежнему может инициировать расследование под собственной эгидой, отчетность в соответствии с CIRCIA не может инициировать такие действия. Законы также обычно решают проблемы, связанные с влиянием киберинцидента на бренд и репутацию, требуя от принимающего агентства защиты сообщаемой информации от раскрытия. Таким образом, эти режимы не требуют публичного раскрытия информации, в отличие от уведомлений о нарушениях; раскрытие только для некоторых государственных учреждений. Несмотря на то, что инцидент может по-прежнему стать достоянием общественности из-за влияния на деловые операции компании, такое раскрытие не будет связано с отчетностью в соответствии с настоящим уставом. (В США Комиссия по ценным бумагам и биржам также предложила правило, которое требует от публично торгуемых компаний публично раскрывать информацию о киберинцидентах, но это предложенное правило получило значительный отпор. Такое раскрытие информации будет служить другой цели, чем обсуждаемые режимы отчетности. в этой статье.)
Несмотря на эти меры по смягчению последствий, режимы отчетности будут сопряжены с реальными издержками для бизнеса. Сообщение об инцидентах требует усилий. Кто-то в компании должен найти время, чтобы написать отчет и выяснить, кому его отправить. Затем компания должна решить любые вопросы, которые возникают у принимающего агентства. Если организация находится в эпицентре киберинцидента, который соответствует критериям отчетности, то, по определению, организация находится в крайнем положении. Выделение времени на отчетность неизбежно отнимает время у реагирования на кризис.
Организации также могут столкнуться с многочисленными требованиями к отчетности от разных государственных органов или могут подчиняться режимам отчетности в разных странах. Отсутствие согласования может чрезвычайно затруднить эффективное и своевременное соблюдение; на самом деле, в некоторых случаях коллизия законов может сделать невозможным для компании соблюдение обоих требований. Если правительствам не удастся согласовать свои требования к отчетности между агентствами или юрисдикциями, это может привести к значительным затратам для бизнеса и — в самых крайних случаях — принести больше вреда, чем пользы.
Разработка правильной основы для обязательной отчетности о киберинцидентах
В целом, несмотря на то, что у компаний есть обоснованные опасения по поводу обязательной отчетности об инцидентах, преимущества могут перевесить недостатки. Возможность получать непосредственную помощь и целенаправленное предупреждение в сочетании со способностью принимать более обоснованные решения на индивидуальном, организационном и общественном уровне могут окупить дополнительные расходы, связанные с режимами обязательной отчетности, — если эти режимы разработаны правильно.
Таким образом, бизнес-сообщество должно взаимодействовать с правительствами, когда они разрабатывают эти режимы отчетности, чтобы гарантировать, что они достигнут поставленных целей. Предприятия могут участвовать в процессе разработки правил, чтобы внести свой вклад. Они могут работать с группами по защите интересов, чтобы сообщить о своих взглядах и опасениях. Деловое сообщество должно потребовать от правительств совместной работы по согласованию требований к отчетности в разных юрисдикциях. Он должен просить правительства придерживаться определенных принципов при разработке этих режимов, таких как максимальное упрощение использования систем отчетности или предоставление обновленных отчетов после того, как инцидент станет более понятным. Чтобы обеспечить отправную точку для этих дискуссий, Альянс киберугроз, Институт безопасности и технологий и шесть других организаций недавно опубликовали основу для эффективной разработки таких структур. Глобальную версию системы отчетности о киберинцидентах можно найти здесь.
Режимы обязательной отчетности появятся в большинстве юрисдикций в ближайшие несколько лет, независимо от того, поддержат ли бизнес эту идею или нет. Если такие режимы будут установлены должным образом, то предприятия могут получить явные выгоды. Достижение этого состояния, конечно, не предрешено; Теоретически правительства могут ввести требования к отчетности, которые приносят больше вреда, чем пользы, или создать столько противоречащих друг другу режимов отчетности, что предприятия физически не смогут соблюдать их все. Поэтому бизнес-сообщество должно воспользоваться этой возможностью, чтобы преобразовать эти режимы отчетности в структуру, которая будет приносить пользу не только правительству и обществу, но и отдельным предприятиям одновременно.
2023-04-19 12:15:02
1681964983
#Сообщение #кибератаках #скоро #станет #обязательным #Готова #ли #ваша #компания
