美國證券交換委員會針對公開企業的加密貨幣披露做出了重大決定
美國證券交換委員會(SEC)針對公開企業的加密貨幣披露做出了一項具有裏程碑意義的決定。自 2023 年 12 月 15 日起,公共企業將需要在四天內披露「重大」事件,並公開描述他們如何檢測和解決這些事件,並描述董事會的監督工作。不出所料,對於這一決定的反應各不相同。有些人認為這是在增加透明度和溝通方面的一個重要步驟,但也有人認為這是一種後退的策略。還有一些人認為,這可能會增加企業的風險,而且許多人指出,四天的時間根本不足以確認一次遭受的入侵、理解其影響並協調通知的工作。
新規定的內容
根據 SEC 的說法,這一決定旨在提高加密貨幣監管的透明度,並對董事會和公司高層施加更大的壓力。按照新的規定,公共企業必須:
- 在四個工作日內披露「重大」的加密貨幣事件,並描述其性質、範圍、時間和材料性或可能材料性的影響。
- 披露評估、識別和管理來自加密貨幣威脅的材料風險的流程。
- 描述董事會對加密貨幣威脅風險的監督職能以及管理層在評估和管理材料風險方面的角色和專業知識。
最終的規定將於在聯邦公報上刊登後的 30 天內生效,披露的截止日期則可能是 2023 年 12 月 15 日。
確保材料性,確保披露不僅是噪音
法律團隊需要考慮在各種場景中,甚至是在一天或三天內對供應鏈產生影響的入侵事件是否是「重大」的問題,例如,智慧財產權的盜竊,這可能是「重大」的,但它是否會對國家安全產生影響,是否該延遲通知?國家律師事務所 Baker Donelson 的資料保護、隱私和網路安全團隊主席 Alisa Chestler 指出,「重大性將在很大程度上基於網路和運營情況來定義」。然而無論如何定義「重大性」,最理想的結果是通知不僅能保護投資者和消費者,還能進行集體學習,即公共企業和其他實體能夠獲取可行的經驗教訓。Maurice Uenuma,資料清除平臺 Blancco 的副總裁和總經理表示:「如果這些入侵通知只是成為讓人對不斷發生的入侵事件變得遲鈍的噪音,那麼這一努力將不會產生太多的效益。」Uenuma 曾是 Tripwire 和 The Center for Internet Security 的副總裁。
私人企業也需要注意
專家強調這不僅是公開企業面臨的問題。「非常重要的是,盡管這項法律是針對公開企業的,但它將對所有規模的企業產生影響」,Chestler 指出。她指出,公開企業依賴許多小型軟體和供應鏈公司,而這條鏈上的任何一個環節遭受網路攻擊都可能產生重大影響。她認為,公開企業在合同上需要考慮如何恰當地保護自己。她表示這可能意味著實施供應商管理計劃,而不僅僅是採購計劃和定期協議和合同重新評估。這意味著私營企業應該密切關注發展,以便為他們自己的運營準備增加的審查。
處理和修訂流程
Su mo Logic 的首席安全官兼 IT 高級副總裁 George Gerchow 表示事實上大多數企業當前都沒有足夠的準備來在四天內報告一次重大影響的入侵事件,因此他們將不得不處理和可能修訂如何發現潛在漏洞和入侵事件以及報告機制的方式。他提出了一個問題,即安全團隊如果發現入侵事件,如何向 SEC 報告?由誰負責?是首席訊息安全官(CISO)、總法律顧問、網路安全工作組還是組織內部的其他人?最後他表示:「在董事會中擁有網路安全專業知識至關重要,CISO 們應該開始為董事職位做好準備,企業應該在董事會中安排合格的 CISO」。
讓董事會參與其中
Google Cloud 的辦公室 CSO 和 IT 高級解決方案顧問 David Homovich 強調為了使 CISO 與董事會之間的鴻溝縮小,雙方需要進行雙向的討論。他表示安全領導者應該定期向董事會成員進行簡報,並讓他們有機會提出問題,以幫助他們理解安全管理團隊的優先事項以及這些優先事項如何與業務流程相一致。CISO 應該避免專注於一個具體的網路安全問題或指標,這往往是復雜且難以理解的。相反,他們應該從企業風險管理的整體角度參與,這樣可以將「網路安全風險置於現實世界的背景中」,使網路安全挑戰「更加易於理解和接觸」。例如,場景規劃和事件分析等技術有助於將組織的風險置於現實世界的背景中。「董事會對網路安全的理解比以往任何時候都更加重要」,他指出了零日漏洞、威脅行為者組織、供應鏈受損以及旨在損害企業聲譽的勒索策略的激增。「我們預測,董事會將在組織應對這些趨勢方面發揮重要作用,並應該現在就為未來做好準備」,他補充道。
回答關鍵的網路安全問題
Homovich 指出,大多數大型企業,特別是那些在高度監管行業中的企業,不需要大幅調整董事會監督的方式。相反,小到中型公共企業可能需要進行顯著的調整。他建議 CISO 立即與他們的 C-Suite 同事和董事會成員進行接觸,並提出以下問題:
- 「我們在網路安全方面如何」?也就是說,「企業高層應該對網路安全團隊的人員結構和專業知識有深入理解」。
- 「我們的可恢復性如何」?CISO 應該準備回答有關他們如何保持業務執行的問題,例如勒索軟體攻擊。
- 「我們的風險是什麼」?CISO 應該重新審視他們的管理框架,確保它涵蓋五個關鍵領域:當前威脅;網路安全領導在減輕這些威脅方面的工作解釋;CISO 測試減輕措施的有效性的例子;如果發生這些威脅,將產生的後果;以及公司不打算減輕但將接受的風險。
內部和外部的合作
但合作不僅僅在內部是重要的——安全領導者應該透過 CISO 執行網路安全組織,與外部專家進行充分的合作,例如 CISO 執行網路的主管委員會。Chestler 表示這可以幫助建立友誼,分享最佳實踐,因為它們繼續演變。實際上在當今的威脅環境中,單靠技術是不夠的,聚焦於網路抵禦能力和人員對攻擊的準備程度同樣重要。培訓公司 Immersive Labs 的網路安全副總裁 Max Vetter 表示:「人們需要學會如何在實際事件發生之前一同合作,以減輕攻擊的影響」。他說:「透過以人為中心的網路安全文化和方法,我們能夠充分利用我們的投入,同時可測量地降低風險」。
以上便是對美國證券交換委員會針對公開企業的加密貨幣披露做出的重大決定的詳細報導。此舉旨在增加對加密貨幣監管的透明度,對董事會和公司高層施加更大的壓力。雖然這一決定引起了一些爭議,但透明度和持續的合作對於保護投資者和減輕網路安全風險至關重要,同時也對於塑造未來的網路安全政策和規定提供了關鍵指導。
延伸閱讀
- Ofcom 將推動在新的網路兒童安全守則中,加固年齡取證、篩選和其他 40 項檢查
- Brandywine Realty Trust 表示資料已在勒索軟體攻擊中被竊取
- LockBit 的幕後主謀被起訴:我們從中學到了什麼?
- 女性在 AI 領域的傑出貢獻:Catherine Breslin 協助企業制定 AI 策略
- 替代雲技術蓬勃發展,企業尋求更便宜的 GPU 存取
- 微軟禁止美國警方使用企業 AI 工具進行臉部辨識
- Microsoft 禁止美國警察局使用企業人工智慧工具
- 美國聯合健康集團 CEO 表示:“也許三分之一的美國公民受到最近的駭客攻擊影響”
- 雷蛇納電競面罩違規風波(ChatColor Minute:雷蛇 Zephyr 口罩遇規範之爭)
- Mozilla 發現大多數約會應用並不善於保護使用者資料
