CISO:t mikroskoopin alaisina: Valmistautuminen johdon vastuuseen

Uberin entinen CISO, Joe Sullivan, ei selvittänyt nimeään viime kuussa ja aloitti uudelleen keskustelun henkilökohtaisista riskeistä, joita ylempien johtajien kohtaamat kyberturvallisuusrikkomusten vuoksi.

Sullivan oli valittanut lokakuussa 2022 annetusta tuomiosta rikoksen piilottamisesta sen jälkeen, kun hän maksoi kyberrikollisille, jotka hakkeroivat hänen entisen työnantajansa asiakastilejä. Vuoden 2016 hakkerointi vaaransi 57 miljoonan asiakkaan ja 600,000 100,000 Uber-kuljettajan henkilötiedot. Sullivan maksoi rikollisille 2014 XNUMX dollaria yrityksen bugipalkkioohjelmasta ja pakotti heidät allekirjoittamaan salassapitosopimuksen. Hän ei myöskään ilmoittanut liittovaltion kauppakomissiolle, mikä hänet valtuutettiin tekemään vuoden XNUMX sovinnon perusteella erillisen hakkeroinnin jälkeen.

Sullivan, joka oli tuomittu kolmeksi vuodeksi ehdolliseen vankeuteen ja 50,000 2023 dollarin sakkoon tuomiosta toukokuussa XNUMX, oli valittanut päätöksestä. Valituksessa väitettiin, että hän ei ollut tehnyt "harhaanjohtamista" eli rikoksen salaamista valtion viranomaiselta, koska NDA antoi takautuvasti luvan hakkeroimiseen. Tuomioistuin hylkäsi tämän väitteen sekä joitakin menettelyvirheitä koskevia väitteitä.

Tuomioistuimen vankkumattomuus tässä asiassa nostaa jälleen kerran esiin henkilökohtaisen toimeenpanon vastuun kyberturvallisuusloukkauksista ja/tai tapausreaktioiden virheellisestä käsittelystä. Nämä havaitut rikkomukset tulivat eri muodoissa.

Jotkut havaitut CISO-puutteet liittyvät harhaanjohtaviin lausuntoihin. SEC etsi henkilökohtaisesti SolarWindsin CISO Timothy G. Brownia yrityksen vuosien 2019 ja 2020 rikkomusten jälkeen väittäen, että hän antoi vääriä lausuntoja sen kyberturvallisuudesta julkisissa ilmoituksissa, vaikka se oli tietoinen sen heikkouksista. Myöhemmin tuomioistuin hylkäsi Brownia vastaan ​​esitetyt syytökset.

Toiset pyörivät itse kyberturvallisuuden puutteen ympärillä. James Rellasilla, alkoholinjakelupalvelun Drizlyn toimitusjohtajalla, ei ollut kyberturvallisuudesta vastaavaa johtajaa, kun hänen yrityksensä tietomurto paljasti 2.5 miljoonan asiakkaan tiedot. FTC:n 2022 tilata ei vain pitänyt yritystä vastuullisena väitetystä huolimattomuudesta kyberturvallisuuskäyttäytymisestä, vaan hänet henkilökohtaisesti.

Yksi henkilökohtainen rangaistus määrättiin CISO:lle, joka keskittyi petolliseen toimintaan. Jun Ying, entinen CISO, Equifax US Information Solutions, sai neljän kuukauden vankeustuomion käyttäessään optio-oikeuksiaan ennen kuin vuoden 2017 rikkomus yhtiössä paljastui. Ying, joka tiesi rikkomuksesta lunastaessaan optionsa, vältteli yli 117,000 XNUMX dollarin tappioita sisäpiirikaupan kautta. DoJ pakotti hänet maksamaan takaisin tappiot sakon ohella, ja hänet tuomittiin neljän kuukauden vankeusrangaistukseen.

Johdon vastuu Yhdysvaltojen ulkopuolella

Se ei ole vain Yhdysvaltain johtajia, jotka kohtaavat henkilökohtaisen vastuun kyberturvallisuushäiriöiden käsittelystä. Etelä-Korean matkatoimisto Hana Tour Servicen tietosuojavastaava Kim Jin-Hwan oli henkilökohtaisesti sakot 10 miljoonaa Korean wonia laiminlyönnistä vuonna 2017, joka koski 465,000 XNUMX asiakasta.

Säännöt ovat myös keskittyneet johtajien henkilökohtaiseen vastuuseen. EU:n vuosi 2022 NIS2-direktiivi (2022) velvoittaa ylimmän johdon vastuuseen kyberturvallisuusmääräysten noudattamatta jättämisestä, mikä mahdollistaa henkilökohtaisten sanktioiden määräämisen. Näitä ovat esimerkiksi sellaisten johtajien väliaikaiset jäädytykset, joiden katsotaan olevan kyvyttömiä täyttämään kyberturvallisuusvelvoitteitaan.

Toinen EU:n asetus, Digital Operational Resilience Act (DORA), keskittyy varmistamaan, että finanssiorganisaatiot voivat ylläpitää kriittisiä palveluita systeemisten uhkien edessä. Se mahdollistaa jopa miljoonan euron sakot huolimattomille johtajille.

Haasteita CISO:lle

CISO:n ongelma piilee henkilökohtaisen vastuun vaaran aiheuttamassa "jäykistävässä vaikutuksessa", monet varoittivat kirjeissään tuomari William Orrick III:lle, joka johti alkuperäistä Uber-tapausta. Huolenaiheena on, että CISO:t saattavat tuntea olevansa kykenemättömiä tekemään työtään henkilökohtaisen vastuun uhalla.

Tämä huoli on pätevä, kun otetaan huomioon keskimääräisen yrityksen nopeasti kasvava hyökkäyspinta. Yrityksiä kannustetaan pysymään kilpailukykyisinä testaamalla nopeasti kehittyviä teknologioita, mukaan lukien tekoäly, mobiili ja pilvilaskenta. Tämä lisää johdon valvonnan taakkaa. Jos hyvässä uskossa toimiva henkilö on vaarassa joutua henkilökohtaiseen vastuuseen ylivoimaisten kyberuhkien edessä, se voi saada ihmiset luopumaan roolista.

Tässä olevat rankaisevat tapaukset eivät kuitenkaan näytä riippuvan niinkään kyberturvallisuusloukkauksista itsestään, vaan tapausten vastaustietojen käsittelystä ennen ja jälkeen. Sullivania ei rangaistu rikkomisesta. Häntä rangaistiin, koska hän yritti peitellä sitä. Toiset tiesivät haavoittuvuuksistaan ​​vuosia ennen rikkomuksiaan eivätkä ryhtyneet ehkäiseviin toimiin vain vähän tai ei ollenkaan. Ja etusijalla uutiset rikkomisesta oman osakekaupan tarkoituksiin ovat selvästi huono-uskoinen käytäntö.

Kuinka suojella johtajia

Henkilökohtaisen vastuullisuuden riskin kasvaessa vakiintuneita kyberturvallisuus- ja riskienhallintakehyksiä noudattavat yritykset pystyvät suojelemaan itseään – ja ylintä johtoaan – lainsäädännöllisiltä tai oikeudellisilta seurauksilta.

ISO 27001 on olennainen työkalu tässä yhteydessä, koska se on tunnustettu kansainvälinen standardi, joka osoittaa ennakoivaa due diligence -toimintaa. Ohion tietosuojalaki tarjoaa jopa selkeän laillisen suojan kyberturvallisuusohjelmille, jotka ovat kohtuullisesti ISO 27001 -standardin mukaisia.

ISO 27001 tarjoaa joitain ydinkäytäntöjä, jotka voivat auttaa osoittamaan asianmukaista huolellisuutta ja tunnollisuutta kyberturvallisuustoimenpiteitä noudatettaessa. Näitä ovat selkeän, dokumentoidun kyberturvallisuuden hallintokehyksen luominen ylimmän johdon osallistumiseen ja standardeihin perustuvien, dokumentoitujen häiriötilanteiden reagointisuunnitelmien toteuttaminen. Muita toimenpiteitä ovat säännöllinen koulutus, auditoinnit ja jatkuvat parantamisprosessit.

Suosittelemme perusteellisen dokumentaation ylläpitämistä, jotta saadaan näyttöä johdon valvonnasta ja riskienhallinnasta, joka on toteutettu johtoryhmän parhaan kykyjen mukaan.

Sana "tiimi" on kuitenkin ratkaiseva. Ylimmän johdon tulee tukea kyberturvallisuudesta vastaavia kunnolla, ja heihin tulee asettaa kohtuullisia odotuksia. Liian usein CISO:n odotetaan pysäyttävän kaikki hyökkäykset ilman merkittäviä investointeja ja ilman asianmukaista tukea yritykseltä, joka keskittyy kokonaan seuraavan tuotteen levittämiseen ja voiton maksimointiin. Se on sairaus, joka vaatii kulttuurin muutosta.