A Securities and Exchange Commission (SEC) dos EUA adotou novas regras de divulgação de incidentes de segurança cibernética para empresas públicas, mas existe a preocupação de que as novas regras possam realmente ajudar os cibercriminosos.
As empresas de capital aberto serão obrigadas a divulgar violações de segurança que tenham um impacto material dentro de quatro dias úteis e fornecer regularmente informações sobre seus processos e práticas de gerenciamento de risco.
Embora alguns tenham aplaudido a iniciativa da SEC, outros estão preocupados com o fato de que os requisitos de divulgação possam realmente ajudar os cibercriminosos, fornecendo-lhes informações que eles poderiam usar para hacking e extorsão.
Os profissionais do setor comentaram vários aspectos das novas regras de divulgação, incluindo benefícios, possíveis problemas e desafios para as organizações afetadas.
Gareth Lindahl-Wise, CISO, Continuação:
“É improvável que um invasor competente aprenda muito sobre o controle e a perspectiva das ‘próximas etapas’ dos arquivamentos propostos da empresa afetada que eles ainda não saibam. Isso pode levar os menos qualificados em reconhecimento ao que funcionou ou pode funcionar – embora esperemos que a empresa tenha tomado medidas para mitigar esses riscos até então.
O mais provável é a capacidade de aprender (ou pelo menos inferir) o impacto que o ataque está causando. Isso pode estender os prazos para os ataques de extorsão aos quais estamos acostumados (como ransomware, DDoS ou ameaças de divulgação de dados), pois as divulgações precisam informar sobre a materialidade do ataque. Isso seria como jogar pôquer e o outro cara ter que mostrar suas cartas.
O impacto mais tangível na segurança pode muito bem ser o tempo e o foco que esse nível de reporte tirará das equipes de segurança sitiadas, em um ambiente onde as forças de mercado impulsionam a validação externa da postura e vários outros atos legislativos já exigem a notificação de incidentes.
Bem intencionado, mas muito amplo e corre o risco de ser contraproducente.”
Tom Eston, vice-presidente de consultoria e cosmos, Bishop Fox:
“Acho que as novas regras são boas para padronizar as divulgações de violações porque, no momento, cabe à empresa decidir quando e se elas querem divulgar uma violação ao público.
Quanto a como isso ajuda os invasores? É especulativo e depende dos motivos de invasores específicos, mas para invasores de ransomware, pode acelerar a pressão e o cronograma para pagar ou ampliar a ‘publicidade’ para o grupo invasor. Como alguns disseram, também é possível que os níveis de detalhes na divulgação também forneçam aos invasores maior alvo e inteligência tática”.
Nakul Goenka, Diretor de Risco, ColorTokens:
“A SEC aprovou novas regras de segurança cibernética, o que é um passo significativo na direção certa. Essas regras de divulgação de violação ajudarão a dar aos CISOs um lugar à mesa. As empresas devem começar a preparar e pensar sobre suas políticas, procedimentos, estrutura organizacional e conjuntos de ferramentas imediatamente.
Embora as regras ofereçam flexibilidade para determinar o que é considerado um incidente ‘material’ e, portanto, reportável, também podemos ver alguns litígios com base em decisões tomadas pelas equipes de gerenciamento. Será interessante ver como essas regras serão realmente implementadas e se os benefícios superarão os custos e os encargos”.
Melissa Bischoping, Diretora, Pesquisa de Segurança de Endpoint, Tanium:
“Durante uma resposta a um incidente, seu foco é priorizado no incidente – escopo, contenção e garantia de que você eliminou completamente um invasor do ambiente. Fatos e evidências podem surgir rapidamente à medida que você trabalha no processo de resposta a incidentes; ao exigir divulgação antecipada, você pode obter divulgação incompleta ou coisas que requerem revisão mais uma vez são descobertas. Essas prováveis correções ou modificações podem corroer a confiança na divulgação inicial.
É a coisa certa para as organizações divulgar as violações, mas, pelo valor de face, forçar uma divulgação pública rápida é uma má ideia. Isso resultará em comportamento reativo do mercado, erosão da confiança e confusão e, em alguns casos, pode até fornecer informações ao invasor sobre sua visibilidade. Mostrar que você sabe que o invasor está no ambiente muito cedo pode fazer com que eles mudem seus TTPs e estratégias de evasão no meio da operação, tornando mais difícil obter evidências e garantir que você corrigiu totalmente. Quaisquer requisitos de divulgação antecipada orientados para a conformidade devem vir com uma análise cuidadosa e consideração do custo para o processo de resposta a incidentes críticos”.
Jennie Wang VonCannon, sócia, Crowell & Moring:
“As tão esperadas regras de segurança cibernética da SEC foram finalizadas em 26 de julho de 2023 e os resultados são substancialmente os mesmos da versão proposta das regras que foram emitidas em março de 2022. As três principais conclusões são:
Materialidade é o nome do jogo. As empresas devem divulgar “incidentes materiais de segurança cibernética” no Item 1.05 (novo) do Formulário 8-K (não novo) e divulgar “aspectos materiais” da natureza, escopo, tempo e impacto do incidente na empresa. A questão principal é o que é “material” e, como se trata de uma nova regra, não há muitas orientações sobre isso no contexto da segurança cibernética.
No entanto, a Suprema Corte ponderou sobre o que isso significa para os registrantes quando se trata de demonstrações financeiras, sustentando que um erro é “material” se houver “uma probabilidade substancial de que o . . . fato teria sido visto pelo investidor razoável como tendo alterado significativamente a ‘combinação total’ de informações disponibilizadas.” TSC Industries v. Northway, Inc., 426 US 438, 449 (1976); veja também Basic, Inc. v. Levinson, 485 US 224 (1988) (determinações de materialidade requerem “avaliações delicadas das inferências que um ‘acionista razoável’ tiraria de um determinado conjunto de fatos e a importância dessas inferências para ele . . . .”) (citando TSC Industries, 426 US em 450).
[…]
Embora as regras de segurança cibernética da SEC se apliquem apenas a empresas de capital aberto, a promulgação dessas regras terá o efeito prático de estabelecer o padrão para o que é razoável para todas as empresas – públicas e privadas – quando se trata de preparação para incidentes de segurança cibernética, resposta, e divulgação às partes interessadas (que incluem clientes afetados, acionistas e agências governamentais).”
Richard Suls, consultor de segurança e gerenciamento de riscos, WithSecure:
“Como pesquisador de segurança focado em segurança cibernética e proteção de dados confidenciais, acredito que a decisão da SEC de exigir que empresas de capital aberto divulguem ataques cibernéticos dentro de 4 dias após a identificação de um impacto “material” em suas finanças é um passo significativo no caminho certo direção. Essa mudança de regra representa uma grande mudança na forma como as violações cibernéticas são tratadas e divulgadas, e traz vários benefícios potenciais para os investidores e para o cenário geral de segurança.
Em primeiro lugar, a divulgação obrigatória de ataques cibernéticos dentro de um prazo específico aumentará a transparência e a responsabilidade. Ao impor um prazo estrito, as empresas não podem atrasar ou ocultar informações sobre incidentes cibernéticos, garantindo que investidores e partes interessadas sejam prontamente informados sobre possíveis implicações financeiras resultantes de violações. Isso ajudará a evitar a manipulação de dados financeiros e a retenção de informações cruciais que possam afetar as decisões dos investidores.
Em segundo lugar, a nova regra pode funcionar como um forte incentivo para que as empresas invistam mais recursos em medidas de cibersegurança e capacidades de resposta a incidentes. Diante da perspectiva de divulgar um ataque cibernético e seu impacto financeiro, as empresas tendem a priorizar a segurança cibernética como um aspecto central de sua estratégia de negócios. Isso pode levar ao aumento dos gastos com tecnologias avançadas de segurança, inteligência de ameaças, treinamento de funcionários e avaliações proativas de riscos, fortalecendo a resiliência geral do setor corporativo contra ameaças cibernéticas.
Ademais, a exigência de divulgação de impactos “materiais” pode levar a uma melhor compreensão das verdadeiras consequências financeiras dos ataques cibernéticos. Ao compartilhar essas informações, as empresas podem aprender com as experiências umas das outras, facilitando o desenvolvimento de melhores práticas em todo o setor em resposta e mitigação de incidentes. Essa abordagem colaborativa pode levar a um cenário de segurança mais robusto e adaptável, tornando mais difícil para os agentes de ameaças explorar vulnerabilidades comuns em várias organizações.”
Richard Bird, CSO, IA rastreável:
“Em vez de exibir a coragem e a coordenação necessárias para criar algo tão crucial quanto uma lei nacional de privacidade de dados, mais uma vez, agências como a SEC estão pressionando por notificações de violação mais rápidas na esperança de que o povo americano pense que o governo está atendendo à necessidade de segurança cibernética mais forte. Mas os avisos de violação não são segurança – e nunca serão.
A SEC prova mais uma vez que nossas agências federais só podem ver a segurança com um espelho retrovisor. Os avisos de violação são um resultado, não uma proteção. A enorme resistência de nosso governo federal em impor princípios básicos de segurança como requisito para fazer negócios em nosso país é indesculpável. É hora de tratar a segurança cibernética como uma medida proativa, e não como uma reflexão tardia.”
Darren Williams, CEO, Fundador, Blackfog:
“Esses novos regulamentos devem mudar drasticamente a maneira como as empresas relatam violações, pois agora são requisitos obrigatórios. O BlackFog rastreou a proporção de ransomware relatado para não relatado desde janeiro de 2023 e normalmente viu uma proporção de 10:1 de ataques não relatados para relatados. Esperamos ver isso cair drasticamente com essas regras de relatórios obrigatórios.
Exfiltração de dados é a tática preferida de praticamente todos os ransomware hoje (89%) e algo que quase todas as empresas negligenciaram. Consequentemente, os ataques estão em alta e as organizações não acompanharam os novos métodos para prevenir esses ataques. Esperamos que essas regras interrompam a tendência geral de tentar ocultar qualquer ataque por medo de retaliação, bem como interromper os pagamentos de ransomware a cibercriminosos no processo.”
James McQuiggan, defensor da conscientização de segurança, KnowBe4:
“O novo requisito estabelecido pela SEC exigindo que as organizações relatem ataques cibernéticos ou incidentes dentro de quatro dias parece agressivo, mas fica em um prazo mais flexível do que em outros países. Na UE, Reino Unido, Canadá, África do Sul e Austrália, as empresas têm 72 horas para relatar um incidente cibernético. Em outros países como China e Cingapura, são 24 horas. A Índia deve relatar a violação dentro de 6 horas.
De qualquer forma, as organizações devem ter planos de resposta a incidentes repetíveis e bem documentados com planos de comunicação, procedimentos e requisitos sobre quem é trazido para o incidente e quando. Parte desta documentação precisará envolver quando informar à SEC se eles forem negociados publicamente. As organizações devem manter-se atualizadas sobre as leis e regulamentos locais de segurança cibernética para garantir a conformidade e promover uma cultura de resposta e relatórios de incidentes imediatos.”
Mike Britton, CISO, Segurança Anormal:
“O aumento das divulgações e maior transparência é bom para todos os envolvidos com a segurança cibernética. Mas existem algumas incertezas sobre até que ponto essas regras cibernéticas da SEC irão realmente resolver ou expor incidentes de segurança.
Por um lado, a regra pressupõe que as organizações violadas estão cientes de um comprometimento material e que denunciá-lo dentro dos quatro dias estipulados a partir da descoberta é oportuno o suficiente. Mas com muita frequência, as organizações experimentam violações onde um invasor já estava dentro de sua rede corporativa – às vezes por semanas ou meses – antes de identificar o ataque. O ataque da SolarWinds é um excelente exemplo disso, mas também vimos isso acontecer com o hack nas contas de e-mail do governo dos EUA por meio de uma vulnerabilidade da Microsoft, onde os invasores espreitavam essas contas por até um mês antes que os clientes notassem atividade anômala de e-mail. .
Em segundo lugar, as divulgações obrigatórias são exigidas apenas se a violação tiver um impacto “material” nas operações, receitas ou preço das ações. Mas sem uma definição concreta sobre o que é considerado “material”, isso pode parecer um tanto arbitrário e pode fazer com que algumas violações materiais não sejam relatadas. Ademais, em muitos casos, uma organização não saberá a extensão de seus danos materiais até muito mais tarde.
Há uma dúvida sobre se a barra deve ser abaixada. Por exemplo, deve-se justificar a divulgação de qualquer tipo de violação, mesmo que seja um ataque BEC que resulte em perdas financeiras relativamente menores, como milhares de dólares, ou se houver incidentes repetidos. Uma única violação de material é pior do que ataques que são menos dispendiosos, mas mais frequentes? As organizações têm o dever de ser transparentes com seus clientes e investidores, então em que ponto traçamos o limite?”