SEC(United States Securities and Exchange Commission����,美國證券交易委員會。1934年根據證券交易法令而成立����,是直屬美國聯邦的獨立準司法機構,負責美國的證券監(jiān)督和管理工作��,是美國證券行業(yè)的最高機構����。證券交易委員會的總部在華盛頓特區(qū)�����,擁有5名經總統(tǒng)提名并由國會通過的委員、5個職能部門和23個辦事處��,大約有4600名員工分布在華盛頓和全國各地的11個地區(qū)辦事處���。SEC具有準立法權��、準司法權��、獨立執(zhí)法權����。)新的網絡披露要求對CISO(Chief information security officer���,首席信息安全官)來說既是負擔也是機遇����,CISO的角色現在比以往任何時候都更具戰(zhàn)略性。
圖源:FEDERICO CAPUTO VIA ALAMY STOCK
為了應對日益復雜的網絡威脅和數據泄露����,美國證券交易委員會通過其新的網絡安全事件披露要求����,在加強企業(yè)問責制方面邁出了關鍵一步。
最近的執(zhí)法行動���,如針對SolarWinds Corporation(于2015年以Project Aurora Parent,Inc.的名義在特拉華州注冊成立�。SolarWinds Corporation的成立目的是收購SolarWinds,Inc.。SolarWinds,Inc.于1999年在俄克拉荷馬州注冊成立,并于2008年在特拉華州重新注冊���。2018年5月��,SolarWinds,Inc.更名為SolarWinds North美國公司�����。SolarWinds是信息技術���,IT,基礎設施管理軟件的領先供應商�����。無論類型、大小或IT基礎設施的復雜性如何����,他們的產品都使世界各地的組織能夠監(jiān)視和管理IT環(huán)境的性能,無論是在企業(yè)內部���、云中還是在混合模型中��。該公司結合了強大����,可擴展�����,負擔得起�,易于使用的產品與高速,低觸點的銷售模式����,以發(fā)展他們的業(yè)務,同時也產生了巨大的現金流���。)首席信息安全官(CISO)的案件����,突顯了美國證券交易委員會對及時準確披露網絡安全事件的重視程度。
這一舉措凸顯了公司治理格局的轉變�,尤其是在數字安全領域。而且����,至關重要的是,這些發(fā)展正在重塑IT領導者的角色�,他們現在必須應對技術挑戰(zhàn)和法規(guī)遵從性的復雜局面。
一�、美國證券交易委員會新的網絡安全披露要求
新規(guī)定�����,包括對S-K條例第106項的修訂����,要求及時報告網絡事件,并明確披露網絡安全戰(zhàn)略和風險管理的年度信息�����,旨在為投資者提供網絡安全風險的透明視角�。
根據新的要求����,IT領導必須在四個工作日內報告重大網絡事件����。他們還必須在年度報告中詳細說明其網絡安全風險管理策略,以概述有關網絡安全風險的公司治理政策��。
實際上���,這意味著:
lIT領導必須進行適當的披露
l他們還必須有適當的控制和程序來上報項目�,并確定何時何地需要披露
這些要求給所有企業(yè)領導層帶來了巨大的責任負擔�����,尤其是CISO和/或首席技術官(CTO)�。
二、CISO面臨更大的監(jiān)管壓力
PWC(PricewaterhouseCoopers Consulting�,普華永道咨詢公司,國際領先的管理咨詢公司之一�����。2002年7月30日�,普華永道咨詢公司被IBM以35億美元的現金和股票形式收購����。)已經負責遏制網絡威脅���,其指出�,CISO現在必須“為其公司提高網絡透明度做好準備”
這些變化顯著地提升了IT領導者的責任�����。根據美國證券交易委員會的要求�,對詳細合規(guī)和高級風險管理的需求重塑了他們的角色,影響了戰(zhàn)略和運營職責����。
但最大的變化也是最明顯的一個:缺乏透明度現在直接與掌舵人有關�����。這轉化為比以往任何時候都更大的壓力和壓力����。
三、SolarWinds案的明確信息
美國證券交易委員會對SolarWinds公司及其CISO���,Timothy G. Brown(蒂莫西·G·布朗)的行動標志著網絡安全監(jiān)管方法的分水嶺時刻��。這起案件突顯了對CISO實施強有力的網絡安全實踐并向投資者提供全面準確的網絡安全風險披露的日益強烈的要求���。
美國證券交易委員會聲稱�,SolarWinds公司和Brown(布朗)歪曲了該公司的網絡安全防御����。在“SUNBURST”網絡攻擊事件(2020年年底,全球領先的網絡安全公司?FireEye?疑遭某?APT?組織的攻擊�����,發(fā)布了關于SolarWinds供應鏈攻擊的通告����,通告中表明基礎網絡管理軟件供應商SolarWinds旗下的Orion網絡監(jiān)控軟件更新服務器遭黑客入侵并植入惡意代碼,并將SolarWinds Orion?軟件更新包中被黑客植入的后門命名為SUNBURST�,與之相關的攻擊事件被稱為?UNC2452。SolarWinds的系統(tǒng)被攻擊之后����,涉及范圍極廣,導致了多個美國聯邦政府機構�����,包括政府部門、關鍵基礎設施以及多家全球500強企業(yè)�,的網絡遭受入侵。該事件堪稱美國歷史上最為嚴重的安全事件�����,盡管已經過去了3年多時間����,其影響依舊十分深遠。據了解���,SolarWinds?供應鏈攻擊事件是一起技術水平極高�����、隱蔽性極強 且經過了長期籌謀的網絡攻擊行動,攻擊者所設計的攻擊思路十分隱蔽巧妙�,在編碼上習慣上仿照了SolarWinds的編碼方式與命名規(guī)范等,成功繞過了復雜測試���、交叉審核���、校驗等多個環(huán)節(jié)�,同時觸發(fā)條件十分苛刻�,有效避免了被沙箱等自動化分析工具檢出。)曝光后��,這種虛假陳述導致該公司股票價值大幅下跌�����。
美國證券交易委員會的進一步審查顯示�,SolarWinds公司的公共網絡安全聲明與其內部風險評估之間存在明顯的不一致,而Brown(布朗)是這些不一致的核心���。有證據表明���,Brown(布朗)意識到這些安全弱點,但沒有采取這些措施加以糾正�。這導致了投資者接收到了該公司網絡安全立場的扭曲描述。
美國證券交易委員會決定施以permanent injunctive relief(永久禁制令)�����、disgorgement(追繳的違法所得)、civil penalties(民事罰款)�,并禁止Brown(布朗)未來擔任委員會或董事等的處罰,這凸顯了CISO現在面臨的責任和個人風險的增加���。SolarWinds案是一個嚴厲的警告����,強調了誠實披露網絡安全的關鍵必要性�,以及不遵守這些標準的嚴重后果。
四�、對IT領導能力的戰(zhàn)略影響
IT領導者必須組建具有技術技能、法規(guī)知識和風險管理專業(yè)知識的團隊��。有競爭力的薪水和靈活的工作時間表對于吸引和留住人才至關重要�����。為了提高運營和生產力��,他們應該鼓勵持續(xù)學習��,并接受數字化轉型�����,包括自動化����、人工智能和云平臺。
認識到對技術工作者的需求和云計算的重要性����,IT領導者可能正在尋找實現人才來源多樣化的方法,考慮他們在哪里可以外包����,并確定在網絡安全等關鍵領域培訓現有員工的方法。平衡的人才管理�����、技能發(fā)展和法規(guī)遵從性方法將幫助IT領導層應對當前的經濟和技術挑戰(zhàn)�。
五、CISO作為數字信托架構師的新機遇
美國證券交易委員會最新的網絡安全事件披露要求改變了IT部門的領導地位����,鞏固了首席信息官和首席信息官在公司治理中的關鍵地位。他們現在遠不僅僅是技術負責人�,現在是數字驅動、監(jiān)管密集的環(huán)境中的戰(zhàn)略遠見者����。
這一轉變預示著IT領導層將迎來一個新機遇的時代�,在這個時代�����,應對復雜的網絡安全挑戰(zhàn)的彈性�、清晰度和靈活性變得至關重要。IT領導者現在是數字信任的架構師�����。他們的戰(zhàn)略決策和積極主動的風險管理對于定義相互關聯的商業(yè)世界中的企業(yè)韌性和誠信至關重要�。
作者:Fran?ois Amigorena(弗朗索瓦·阿米戈萊納)
Fran?ois Amigorena(弗朗索瓦·阿米戈萊納)是IS Decisions的創(chuàng)始人兼首席執(zhí)行官,這是一家全球軟件公司���,專門從事Microsoft Windows和Active Directory環(huán)境的訪問管理和MFA���。在IBM和法國興業(yè)銀行的子公司工作了一段時間后,弗朗索瓦于1989年成為一名企業(yè)家��,從此不再回頭�����。
