סיסוס תחת המיקרוסקופ מתכונן לאחריות מנהלים

CISOs תחת המיקרוסקופ: הכנה לאחריות מנהלים

CISO לשעבר של אובר, ג'ו סאליבן, לא הצליח לנקות את שמו בחודש שעבר, ופתח מחדש דיון על הסיכונים האישיים שעומדים בפני מנהלים בכירים בגלל הפרות אבטחת סייבר.

סאליבן ערער על הרשעה באוקטובר 2022 בהסתרת עבירה פלילית לאחר ששילם פושעי סייבר שפרצו לחשבונות לקוחות אצל מעסיקו לשעבר. הפריצה משנת 2016 סכנה את המידע האישי של 57 מיליון לקוחות ו-600,000 נהגי אובר. סאליבן שילם לפושעים 100,000 דולר מתוכנית הבאונטי של החברה וגרם להם לחתום על הסכם סודיות. הוא גם לא הצליח ליידע את ועדת הסחר הפדרלית, דבר שהוא קיבל על פי הסדר מ-2014 בעקבות פריצה נפרדת.

סאליבן, שנידון לשלוש שנות מאסר על תנאי וקנס של 50,000 דולר בגין ההרשעה במאי 2023, ערער על פסק הדין. בערעור נטען כי הוא לא ביצע 'כליאה שגויה' - מעשה של הסתרת עבירה פלילית מרשות ממשלתית - משום שה-NDA אישר רטרואקטיבית את הפריצה. בית המשפט דחה טענה זו, יחד עם כמה טענות בדבר טעויות פרוצדורליות.

עמידתו האיתנה של בית המשפט בנושא זה מעלה שוב את רוח הרפאים של אחריות מנהלים אישית בגין הפרות אבטחת סייבר ו/או טיפול שגוי בתגובה לאירועים. העבירות הנתפסות הללו באו בצורות שונות.

כמה חסרונות נתפסים של CISO סובבים סביב הצהרות מטעות. ה-SEC רדף באופן אישי את CISO של SolarWinds, Timothy G. Brown, לאחר ההפרות של החברה ב-2019 ו-2020, בטענה שהוא הצהיר הצהרות כוזבות לגבי אבטחת הסייבר שלה בהגשות פומביות למרות שהיא מודעת לחולשותיה. מאוחר יותר דחה בית משפט את טענותיו נגד בראון.

אחרים סובבים סביב היעדר אבטחת סייבר עצמה. לג'יימס רלס, מנכ"ל שירות משלוחי האלכוהול דריזלי, לא היה מנהל מסור שאחראי על אבטחת סייבר כאשר פרצה בחברה שלו חשפה 2.5 מיליון מידע של לקוחות. 2022 של ה-FTC להזמין לא רק את החברה אחראית על התנהגויות רשלניות של אבטחת סייבר, אלא אותו אישית.

עונש אישי אחד שהוטל נגד CISO התמקד בהתנהגות הונאה. ג'ון יינג, לשעבר CISO ב-Equifax US Information Solutions, קיבל ארבעה חודשי מאסר לאחר מימוש אופציות המניות שלו לפני שהפרה של 2017 בחברה נחשפה בפומבי. יינג, שידע על ההפרה כאשר הרוויח את האופציות שלו, התחמק מהפסדים של יותר מ-117,000 דולר באמצעות סחר פנימי. משרד המשפטים אילץ אותו להחזיר את ההפסדים, יחד עם קנס, והוא נידון לארבעה חודשי מאסר.

אחריות מנהלים מחוץ לארה"ב

לא רק בכירים בארה"ב עומדים בפני אחריות אישית לטיפול בתקריות אבטחת סייבר. קים ג'ין-הוואן, קצין הפרטיות של סוכנות הנסיעות הדרום קוריאנית Hana Tour Service, היה באופן אישי קנס 10 מיליון וון קוריאני בגין רשלנות בהפרה של 2017 שהשפיעה על 465,000 לקוחות.

התקנות גם מיקדו את העדשה באחריות האישית של המנהלים. 2022 של האיחוד האירופי הוראה 2 ש"ח (2022) מחייבת אחריות של ההנהלה הבכירה על אי ציות לתקנות אבטחת סייבר, מה שמאפשר סנקציות אישיות נגד אנשים. אלה כוללים השעיות זמניות של מנהלים הנחשבים שאינם מסוגלים למלא את אחריותם בתחום אבטחת הסייבר.

תקנה נוספת של האיחוד האירופי, חוק החוסן התפעולי הדיגיטלי (DORA), מתמקדת בהבטחה שארגונים פיננסיים יכולים לשמור על שירותים קריטיים מול איומים מערכתיים. היא מאפשרת קנסות של עד מיליון יורו על מנהלים רשלניים.

אתגרים עבור CISOs

הבעיה של CISOs נעוצה ב"אפקט המצמרר" שהסכנה של אחריות אישית נושאת, הזהירו רבים במכתבים לשופט ויליאם אוריק השלישי, שניהל את התיק המקורי של אובר. הדאגה היא ש-CISOs עלולים להרגיש שאינם מסוגלים לבצע את עבודתם תחת איום של אחריות אישית.

החשש הזה תקף כשחושבים על משטח ההתקפה הגדל במהירות של תאגיד ממוצע. חברות מעודדות להישאר תחרותיות על ידי בדיקת טכנולוגיות המתפתחות במהירות, כולל AI, מחשוב נייד ומחשוב ענן. זה מגדיל את נטל הפיקוח המנהלי. אם אדם שפועל בתום לב מסתכן באחריות אישית לנוכח איומי סייבר מכריעים, זה עלול להרתיע אנשים מלקבל על עצמו את התפקיד.

עם זאת, נראה כי אירועי הענישה כאן נשענים לא כל כך על הפרות אבטחת הסייבר עצמן אלא על טיפול במידע על תגובה לאירועים לפני ואחרי מעשה. סאליבן לא נענש על ההפרה. הוא נענש כי ניסה להסתיר את זה. אחרים ידעו על הפגיעות שלהם במשך שנים לפני הפרותיהם ונקטו מעט בפעולות מניעה. וחדשות חזיתיות על הפרה למטרות מסחר במניות שלך הן ללא ספק נוהג בחוסר תום לב.

כיצד להגן על מנהלים

ככל שהסיכון באחריות אישית יגדל, חברות העוקבות אחר מסגרות מבוססות של אבטחת סייבר וניהול סיכונים יוכלו להגן על עצמן - ועל ההנהלה הבכירה שלהן - מפני השלכות רגולטוריות או משפטיות.

ISO 27001 הוא כלי חיוני בהקשר זה מכיוון שהוא תקן בינלאומי מוכר המוכיח גילוי נאות יזום. חוק הגנת הנתונים של אוהיו אפילו מציע נמל בטוח משפטי מפורש לתוכניות אבטחת סייבר התואמות באופן סביר ל-ISO 27001.

ISO 27001 מציע כמה פרקטיקות ליבה שיכולות לעזור להפגין גילוי נאות ומצפוני בעת ביצוע צעדי אבטחת סייבר. אלה כוללים הקמת מסגרת ממשל ברורה מתועדת של אבטחת סייבר עם מעורבות ההנהלה הבכירה ויישום תוכניות תגובה לאירועים מבוססי תקנים ומתועדים. אמצעים נוספים כוללים ביצוע הכשרה קבועה, ביקורת ותהליכי שיפור מתמידים.

מומלץ לשמור על תיעוד יסודי כדי לספק ראיות לפיקוח מנהלים וניהול סיכונים, המבוצעים על פי מיטב יכולות צוות ההנהלה.

עם זאת, המילה 'צוות' היא קריטית. מנהלים בכירים צריכים לתמוך כראוי באחראים על אבטחת סייבר, ויש להציב מהם ציפיות סבירות. לעתים קרובות מדי, CISOs צפויים לעצור את כל ההתקפות ללא השקעה משמעותית, וללא תמיכה מתאימה מעסק שמתמקד כולו בדחיפת המוצר הבא ומקסום הרווח. זה חולה שדורש שינוי תרבותי.

מְחַבֵּר

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס ​​האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.

צפה בכל הפוסטים של דני ברדבורי

פוסטים קשורים

SOC 2 כבר כאן! חזקו את האבטחה שלכם ובנו את אמון הלקוחות עם פתרון התאימות החזק שלנו היום!