در سال 2023، کمیسیون بورس و اوراق بهادار (SEC) قوانین جدیدی را برای افشای امنیت سایبری معرفی کرد. این مقررات افشای تهدیدات و حوادث نقض “ماده” را در عرض چهار روز پس از وقوع آنها به همراه گزارش سالانه مدیریت ریسک امنیت سایبری، استراتژی و حاکمیت الزامی می کند.
معرفی الزامات جدید امنیت سایبری SEC نشان دهنده نقطه عطف مهمی در مبارزه مداوم علیه تهدیدات سایبری است. در سال 2023، افسران ارشد امنیت اطلاعات (CISOs) فاش کردند که از هر چهار شرکت در ایالات متحده، سه شرکت در برابر حمله سایبری مادی آسیب پذیر هستند. بنابراین، جرایم سایبری یکی از بزرگترین خطرات پیش روی شرکت های مستقر در ایالات متحده است. علاوه بر این، در همان سال، تقریباً از هر ده سازمان در ایالات متحده، هفت سازمان در دوازده ماه گذشته، حمله باج افزار را تجربه کرده بودند.
حملات سایبری خطرات قابل توجهی را برای کسب و کارها به همراه دارد، در درجه اول از نظر آسیب مالی. پیش بینی می شود در سال 2024، جرایم سایبری به تنهایی بیش از 452 میلیارد دلار برای ایالات متحده هزینه داشته باشد. علاوه بر این، از دست دادن داده های حساس نتیجه پیامد حملات سایبری است. در سال 2023، ایالات متحده رتبه سوم جهانی را در درصد شرکتهایی که از دست دادن اطلاعات حساس را گزارش میکنند، دارد.
علاوه بر این، حوادث به خطر انداختن داده ها در سال 2022 حدود 422 میلیون نفر را در کشور تحت تاثیر قرار داده است که در مجموع 1802 حادثه را شامل می شود. ایالات متحده در میان کشورهایی با تراکم بالای نقض داده ها شناخته شده است. علاوه بر پیامدهای مالی و از دست دادن دادهها، کسبوکارها همچنین مراقب آسیبهای اعتباری، خرابیهای قابل توجه و از دست دادن بالقوه مشتریان فعلی هستند، که همگی میتوانند بر ارزشگذاری و سلامت کلی شرکت تأثیر بگذارند.
بالا بردن هوشیاری
بر اساس گزارش اخیر ارائهدهنده بازار پراکسی Infatica، با توجه به افزایش خطرات و قوانین جدید SEC، شرکتها در حال تقویت دفاع خود هستند. به گفته این شرکت، تقاضا برای خدمات پروکسی در سال گذشته 106.5 درصد افزایش یافته است. دلیل این روند، توانایی پروکسی ها برای تقلید از حملات امنیت سایبری است. بنابراین با استفاده از این فناوری شرکت ها می توانند حفاظت خود را آزمایش کنند.
علاقه فزاینده به سرورهای پروکسی به جستجو برای اقدامات امنیتی بهبود یافته محدود نمی شود. جستجو برای “پراکسی وب رایگان” 5042.9٪ افزایش یافته است که نشان دهنده تقاضای گسترده برای راه حل های مقرون به صرفه است که ناشناس بودن را ارائه می دهند. در همین حال، جستجو برای “فهرست سرور پروکسی” و “سرور پروکسی ناشناس” نیز به ترتیب شاهد رشد قابل توجهی 80.6٪ و 414.3٪ بود که اهمیت عملیات آنلاین قابل اعتماد و محتاطانه را برجسته می کند.
در حالی که قوانین امنیت سایبری SEC اساساً شرکتهای سهامی عام را هدف قرار میدهند، بسیاری از این شرکتها به نرمافزارهای شخص ثالث کوچکتر و فروشندگان زنجیره تامین وابسته هستند. حمله سایبری در هر نقطه از این زنجیره می تواند عواقب قابل توجهی داشته باشد. بنابراین، نهادهای غیر دولتی نیز مجبور به تقویت حمایت های خود هستند.
خانم بزرگ
با افزایش مقیاس کسب و کار، شکاف های قابل توجهی همچنان آشکار است. 81 درصد از رهبران امنیتی تأثیر قوانین جدید را بر تجارت خود می دانند. با این حال، تنها 54 درصد به توانایی سازمان خود برای رعایت مؤثر اطمینان دارند. با کمال تعجب، تنها 2 درصد از رهبران امنیتی روند پایبندی به قوانین جدید را آغاز کرده اند. حدود 33٪ هنوز در مراحل اولیه هستند، در حالی که 68٪ چشمگیر احساس می کنند تحت شرایط افشای جدید غرق شده اند.
در میان چالشهای بیشمار، تعیین اهمیت حوادث امنیت سایبری با 49 درصد از پاسخدهندگان به پیچیدگی آن اشاره میکند. علاوه بر این، 47 درصد با بهبود فرآیندهای افشای خود دست و پنجه نرم می کنند که تلاش های انطباق را پیچیده تر می کند.
در اینجا چند نکته در مورد نحوه آماده شدن برای انطباق با امنیت سایبری SEC وجود دارد:
1. داده های ریسک امنیت سایبری خود را یکپارچه کنید
با مقررات جدیدی که افشای حوادث پس از کشف را الزامی میکند و گزارشهای جامع درباره استراتژی امنیت سایبری به صورت فصلی و سالانه، سازمانها باید ارزیابی متمرکز ریسک امنیت سایبری و دادههای رویداد را اولویتبندی کنند. ادغام این دادهها در یک مخزن، به جای پراکنده شدن در نرمافزار صفحهگسترده یا گم شدن در صندوقهای دریافت ایمیل، احتمال رعایت مهلتهای SEC را افزایش میدهد و زمان صرف شده برای جمعآوری اطلاعات از بخشها و ذینفعان مختلف برای افشای رویداد را کاهش میدهد.
2. به دست آوردن قابلیت هایی برای تعیین کمیت ریسک سایبری
به طور سنتی، سازمانها از روشهای کیفی مانند فهرستهای رتبهبندی یا نمودارهای شدت قرمز-زرد-سبز برای ارزیابی اهمیت حوادث امنیت سایبری یا سایر رویدادهای خطر استفاده میکنند. اگرچه SEC در نظر گرفتن این تخمین ها را برای تعیین اهمیت یک حادثه توصیه می کند، کمی کردن ریسک سایبری تصویر دقیق تری از تأثیر مالی یک حادثه ارائه می دهد. درک تأثیر مالی کمی ریسکهای سایبری به سازمانها این امکان را میدهد تا اقدامات لازم را برای کاهش ریسکهای پرهزینه یا در حالت ایدهآل، پیشگیری از آنها انجام دهند. این رویکرد حجم کلی افشاهای مورد نیاز را کاهش می دهد.
3. فرآیندهای مدیریت حادثه خود را ساده کنید
این زمان خوبی برای بررسی جامع فرآیندهای مدیریت حوادث سازمانتان است تا مطمئن شوید که آنها در شناسایی، رسیدگی و گزارش حوادث امنیت سایبری مهارت دارند. سادهسازی و بهبود این فرآیندها، شناسایی خطرات سایبری را قبل از تبدیل شدن به مشکلات مهم آسانتر میکند و گزارشدهی سریع را در صورت نیاز امکانپذیر میسازد.
4. امنیت سایبری و مدیریت ریسک سایبری خود را بهبود بخشید
اطمینان از انطباق با مقررات جدید SEC شامل اطلاع رسانی کافی به هیئت مدیره خود در مورد شیوه های مدیریت ریسک امنیت سایبری سازمان شما است. اجرای فرآیندهای گزارشدهی و ارتباطی قوی برای بهروزرسانی منظم مدیریت در مورد تلاشهای مدیریت ریسک سایبری و هر حادثهای که شرکت با آن مواجه میشود ضروری است. علاوه بر این، بیان اینکه چگونه این حوادث ممکن است بر استراتژی و امور مالی سازمان تأثیر بگذارد یا در حال حاضر تأثیر می گذارد بسیار مهم است.
5. رابطه خود را با اشخاص ثالث ایمن کنید
مقررات به روز شده بر اهمیت ارزیابی ریسک سایبری فراتر از مرزهای سازمان شما تأکید دارد. انطباق با الزامات گزارش ارزیابی ریسک سایبری شخص ثالث و انتخاب فروشنده امنیتی بر نیاز به ایجاد یک برنامه مدیریت ریسک شخص ثالث موثر تاکید می کند. در واقع، حملات زنجیره تامین که پیمانکاران و تامینکنندگان کوچکتر را هدف قرار میدهند، اغلب در میان علل اصلی حوادث امنیت سایبری در سازمانهای بزرگتر قرار میگیرند.
6. فرهنگ ریسک سایبری را در تیم های خود بهبود بخشید
تحول دیجیتال تقریباً هر سازمانی را به طور قابل توجهی تحت تأثیر قرار داده است، به ویژه در سال های پس از همه گیری COVID-19، که تغییر کار و زندگی آنلاین را تسریع کرده است. در نتیجه، افزایش اتصال کارکنان به شبکههای سازمانی از مکانها و دستگاههای مختلف وجود دارد که سطوح حملات امنیت سایبری ما را به شدت گسترش میدهد. این تغییر بر اهمیت حیاتی پرورش فرهنگ آگاهی از خطرات امنیت سایبری تأکید میکند، جایی که امنیت سایبری به عنوان مسئولیت همه تلقی میشود، نه فقط حوزه اختیارات تیم امنیت اطلاعات. هرچه یک سازمان نسبت به خطرات ناشی از خطرات سایبری آگاهی بیشتری در اعضای خود ایجاد کند، وضعیت کلی امنیت سایبری آن قوی تر خواهد بود و زمان افشای حوادث به SEC کاهش می یابد.
در حالی که مقررات SEC چالش هایی را ایجاد می کند، آنها همچنین فرصت هایی را ارائه می دهند. مطابقت میتواند امنیت سایبری شرکتها را کاهش دهد، اعتماد سرمایهگذاران را افزایش دهد، سرمایهگذاری را جذب کند و به پایداری بلندمدت کسبوکار کمک کند.
ما بهترین ابزارهای نظارت بر شبکه را فهرست کرده ایم.
این مقاله به عنوان بخشی از کانال Expert Insights TechRadarPro ایجاد شده است، جایی که ما بهترین و باهوش ترین ذهن ها در صنعت فناوری امروز را معرفی می کنیم. نظرات بیان شده در اینجا نظرات نویسنده است و لزوماً نظرات TechRadarPro یا Future plc نیست. اگر علاقه مند به مشارکت هستید، اینجا بیشتر بیاموزید: https://www.techradar.com/news/submit-your-story-to-techradar-pro