Uno dei problemi più difficili della sicurezza informatica aziendale, con cui la US Securities and Exchange Commission sta apertamente lottando, è quando un'azienda dovrebbe segnalare una violazione dei dati?
La parte più semplice è: "quanto tempo dopo che l'azienda viene a conoscenza della violazione dovrebbe renderla pubblica?" Diversi regimi di conformità hanno numeri diversi, ma sono relativamente vicini, dalle 72 ore del GDPR ai primi quattro giorni della SEC.
La parte difficile è definire quando un'entità aziendale effettivamente "sa" che è successo qualcosa. Quando esattamente Walmart o ExxonMobil sapevano qualcosa? (Se il linguaggio dicesse "quando il direttore finanziario dell'azienda è convinto che si sia verificata una violazione dei dati", sarebbe molto più semplice.)
Per comprendere questo problema della coscienza, dobbiamo prima scomporlo in due elementi distinti:
Partiamo dal primo elemento. Con l'eccezione di attacchi evidenti, come un attacco ransomware in cui è stato ricevuto un riscatto sottoposto a test di penetrazione, la maggior parte degli attacchi si verifica gradualmente. Qualcuno nel SOC rileva un'anomalia o qualcosa di sospetto. Basta denunciare? Quasi certamente no. Poi viene coinvolto qualcuno più in alto nel SOC.
Se le cose continuano a peggiorare, ciò viene segnalato al CISO o al CSO. Questo leader potrebbe dire: "Mi hai tradito. Devo segnalarlo immediatamente al CIO, al CFO e possibilmente al CEO. In tal caso, non hai ancora raggiunto la fase di divulgazione. Questi altri leader dovrebbero pesare.
Tuttavia, molto probabilmente il CISO/CSO risponderà dicendo qualcosa del tipo: “Non hai ancora capito tutto. Sarà sempre una delle centinaia di cose diverse. Guarda alcuni backup, fai confronti, controlla il dark web per qualche conferma. Continua a ricercare.
L'orologio parte già? Ancora una volta, probabilmente no. Un'azienda non può segnalare tutte le indagini sulla sicurezza informatica. Il livello di prova richiesto per giustificare la divulgazione al pubblico è elevato. In fondo, vergogna per il povero dirigente che denuncia una violazione che si rivela nulla.
Un altro fattore: la maggior parte dei ladri informatici e dei cyberterroristi sono bravi a nascondere le proprie tracce e lasciare indizi fuorvianti. Mono con i registri è comune, il che significa che la sicurezza IT può solo fidarsi dei registri finora, almeno inizialmente. Ricorda quante volte il primo rapporto forense differisce in modo significativo dal secondo rapporto forense. Ci vuole solo tempo, anche per investigatori forensi esperti, per separare la verità da tutto ciò che gli aggressori fuorvianti si lasciano alle spalle.
Quanto al secondo, chi decide chi dovrebbe prendere la decisione finale in caso di violazione dei dati? Si può argomentare a favore del miglior esperto di sicurezza informatica (presumibilmente il CISO/CSO) o delle persone più responsabili dell'azienda (CEO o consiglio di amministrazione), ma per alcune aziende il Chief Risk Officer può essere un buon candidato.
Ogni azienda sceglie da sé? Le autorità di regolamentazione dovrebbero decidere? Oppure le autorità di regolamentazione dovrebbero lasciare che ciascuna società decida da sé chi sarà la persona di contatto e riferire tale titolo alle autorità di regolamentazione?
Jim Taylor, product manager presso il fornitore di sicurezza informatica SecurID, afferma che l'attivazione dovrebbe avvenire direttamente nel SOC. “Solo perché qualcosa colpisce la tua recinzione non è un fattore scatenante. Forse è l'analista capo, forse è il leader del SOC", ha detto Taylor. "Ci deve essere senso di colpa, responsabilità per queste cose."
Ma dover prendere una decisione troppo presto può essere problematico. Segnala una violazione prematuramente e sarai nei guai. Segnala una violazione troppo tardi e sarai nei guai. "Sei dannato se lo fai e dannato se non lo fai", ha detto Taylor.
La verità è che questo è difficile e dovrebbe esserlo. Ogni violazione è diversa, ogni azienda è diversa ed è probabile che regole di definizione rigide creino più problemi di quanti ne risolvano.
“La natura del modo in cui si è verificata la violazione è un fattore importante per sapere quando rivelarla”, ha affermato Alex Lisle, CTO di Krytowire, un’altra società di sicurezza informatica. "Se ci pensi abbastanza da assumere una squadra forense, allora dovresti prendere seriamente in considerazione l'idea di denunciarlo."
C'era una battuta bellissima nel vecchio programma televisivo "Scrubs", in cui un medico responsabile di un laboratorio di test chiede a qualcuno che vuole rifare il test: "Pensi che mi sbagliassi o speri che mi sbagliassi?". Questa linea può spesso entrare in gioco quando più persone cercano di determinare se l'azienda è stata effettivamente attaccata. La squadra sa in qualche modo di essere stata attaccata e spera che ulteriori indagini possano smentirlo? Oppure la squadra davvero non lo sa?
È qui che dovrebbe intervenire un funzionario designato per la determinazione della non conformità, basato sull'esperienza e, onestamente, su una forte intuizione. Alcune parti della sicurezza informatica sono pura scienza. Prendere una decisione molto presto se i dati siano stati effettivamente interessati spesso non lo è.
Copyright © 2022 IDG Communications, Inc.