In der Vergangenheit In diesem Jahr wurde der frühere Sicherheitschef von Uber vor einem Bundesgericht wegen missbräuchlicher Handhabung einer Datenschutzverletzung verurteilt, eine Bundesaufsichtsbehörde beschuldigt den Sicherheitschef von SolarWinds, Investoren vor seinem eigenen Cyberangriff angeblich irregeführt zu haben, und neue Vorschriften, die Unternehmen dazu zwingen, wesentlich bedeutsame Daten öffentlich offenzulegen Verstöße innerhalb von vier Werktagen.
Es scheint, als wäre es noch nie so riskant gewesen, in der Cybersicherheit zu arbeiten.
Aber ein Fazit eines Panels auf der ShmooCon-Hackerkonferenz am Sonntag in Washington D.C. ist, dass diejenigen, die sich mit Cybersicherheit befassen, sich den Herausforderungen nicht entziehen sollten.
Jetzt im vorletzten Jahr bringt die ShmooCon Hacker, Forscher, Regierungsbeamte und Führungskräfte im Bereich Cybersicherheit zusammen, um einige der dringendsten Probleme zu diskutieren, mit denen die Sicherheitsgemeinschaft konfrontiert ist. Ein gemeinsames Thema unter den Teilnehmern in diesem Jahr ist die zunehmend riskante Natur der Arbeit in der Cybersicherheitsbranche selbst. Der Infosec-Gemeinschaft sind rechtliche Risiken nicht fremd – möglicherweise ein inhärentes Nebenprodukt der Arbeit in diesem Bereich –, aber sie wird sich zunehmend der zunehmenden rechtlichen Aufsicht und der Konsequenzen bewusst, die mit der Arbeit einhergehen.
Angeführt wurde die Diskussion von der Startup-Anwältin Elizabeth Wharton, der ehemaligen SEC-Staatsanwältin Danette Edwards und der Tech-Investorin Cyndi Gula, die ihre Sichtweisen und Prognosen in einem Panel darlegten, in dem untersucht wurde, wie sich die Cyber-Haftpflichtsituation von der Junior-Einstiegsposition bis hin zur Führungsposition verändert Suite.
Im vergangenen Jahr wurden die neuen Cyber-Reporting-Regeln der SEC eingeführt, die Unternehmen nun dazu verpflichten, „wesentliche“ Sicherheitsvorfälle innerhalb von vier Arbeitstagen in öffentlichen 8-K-Einreichungen offenzulegen. Die Regeln traten im Dezember in Kraft und haben bereits dazu geführt, dass eine Reihe von Unternehmen bei der SEC neue Offenlegungen von Datenschutzverletzungen einreichen, während die Unternehmen herausfinden, was „wesentliche“ Auswirkungen bedeuten. Es gab auch den ersten Fall, in dem eine Ransomware-Bande die Regeln nutzte, um genau das Unternehmen, das sie gehackt hatte, dafür zu kritisieren, dass es keine Meldungen bei den Aufsichtsbehörden eingereicht hatte.
„Wir werden viele erste 8-K-Berichte sehen und dann wahrscheinlich mehrere Berichte, die über dieselben Cyber-Hacks berichten“, sagte Edwards, jetzt Verteidiger und Partner bei der Anwaltskanzlei Katten, auf der ShmooCon.
Wharton, Gründer von Silver Key Strategies und zuvor Mitglied des Teams zur Reaktion auf Ransomware-Vorfälle in Atlanta, sagte, dass sich Cybervorfälle stündlich ändern können und spätere Offenlegungen erfordern können.
„Wenn Sie sich mit einem Vorfall befassen und nach vier Tagen immer noch knietief in der Reaktion stecken, haben Sie festgestellt: ‚Oh, hör mal, unser Müllcontainer brennt!‘ Aber man hat noch nicht einmal herausgefunden, welche Materialien unbedingt im Müllcontainer sind, wenn er brennt – und man muss mit der Berichterstattung beginnen“, sagte Wharton. „Da wir wissen, dass die Dinge auf und ab gehen, müssen öffentliche Unternehmen auf den neuesten Stand kommen [those disclosures].“
Die Kehrseite der mit der Fernarbeit verbundenen Transparenz besteht darin, dass mehr Dinge als je zuvor aufgeschrieben, aufgezeichnet oder auf andere Weise gespeichert und dokumentiert werden. Das kann für Ermittler ein Segen sein und für Unternehmen Kopfzerbrechen bereiten.
„Ich gehe davon aus, dass jede E-Mail entweder von Ihrer Mutter oder in einer eidesstattlichen Erklärung oder … in einer SEC-Beschwerde gelesen wird, und das verschiebt das Gerede über Wasserkühler“, sagte Wharton. „Da wir nicht unbedingt in Büros sind, muss sichergestellt werden, dass Sie es nicht unbedingt schriftlich formulieren und der Kontext in dem Meme verloren geht, das Sie Ihren Kollegen schicken, weil Sie es urkomisch fanden.“
„Und die Aufsichtsbehörden haben nicht immer einen großartigen Sinn für Humor“, sagte Edwards.
„Kultur ist ein wesentlicher Bestandteil einer Organisation – insbesondere in dem, was wir tun –, weil wir großes Vertrauen haben“, sagte Gula, geschäftsführender Gesellschafter bei Gula Tech Adventures. „Unternehmen werden Schwierigkeiten haben, diese Kultur einzuführen, da alles, was sie tun, auf dem Prüfstand steht.“
Neue Meldevorschriften zur Cybersicherheit rücken nicht nur Unternehmen und ihre Datenvorfälle ins Rampenlicht der Öffentlichkeit, sondern auch die jüngsten Durchsetzungsmaßnahmen des Bundes zeigen, dass Cybersicherheitsverantwortliche ebenfalls einen Teil der Verantwortung tragen.
Im Oktober erhob die SEC Anklage gegen SolarWinds-CISO Timothy Brown, weil er vor einem Cyberangriff russischer Spione im Jahr 2019 Investoren über die Sicherheit des Unternehmens getäuscht haben soll. Ein Großteil der Vorwürfe der SEC stammen aus Kommentaren, die Brown angeblich intern geteilt hat.
„Wir haben auch gehört, dass viele Leute das nicht wollen [to be CISO] „Wegen dieses Versehens und wegen all dieser Fallen, von denen Sie nicht einmal wissen, dass sie der Zeit voraus sind“, sagte Gula, der Vorstandsmitglied mehrerer Startups ist. „Bitte verlassen Sie diese Position nicht. Bitte treten Sie ein und tun Sie das.“
Auf diesen Rat hin sagte Gula, dass auch die Dokumentation hilfreich sein kann. Wenn Führungskräfte Änderungen vornehmen, Fehler beheben oder Cybersicherheitsschulungen verbessern müssen, aber Pläne oder Budgets abgelehnt werden, fragen Sie: „Kann ich das schriftlich bekommen?“ Fügte hinzu: „Was auch immer Sie tun können, um das Auge Saurons von Ihnen zu entfernen, damit Sie weiterhin den Ring ins Feuer werfen können, um alles zu löschen, was Sie tun müssen – das ist wichtig.“
Zack Whittaker berichtet von der ShmooCon in Washington DC.