CISO'er under mikroskopet: Forberedelse til ledelsesansvar
Indholdsfortegnelse:
Ubers tidligere CISO, Joe Sullivan, undlod at rense sit navn i sidste måned, hvilket genåbnede en diskussion om de personlige risici, som ledende medarbejdere står over for på grund af cybersikkerhedsbrud.
Sullivan havde appelleret en dom fra oktober 2022 for at skjule en forbrydelse, efter at han betalte cyberkriminelle ud, der hackede kundekonti hos sin tidligere arbejdsgiver. Hacket i 2016 kompromitterede de personlige oplysninger fra 57 millioner kunder og 600,000 Uber-chauffører. Sullivan betalte forbryderne $100,000 fra virksomhedens bug bounty-program og fik dem til at underskrive en tavshedspligt. Han undlod også at informere Federal Trade Commission, hvilket han fik mandat til at gøre i henhold til et forlig fra 2014 efter et separat hack.
Sullivan, der var blevet idømt tre års betinget fængsel og en bøde på 50,000 USD for domfældelsen i maj 2023, havde anket kendelsen. Appellen hævdede, at han ikke havde begået "fejlfængsel" - handlingen med at skjule en forbrydelse fra statslige myndigheder - fordi NDA med tilbagevirkende kraft godkendte hacket. Retten afviste dette argument sammen med nogle påstande om procedurefejl.
Rettens standhaftighed i dette spørgsmål rejser endnu en gang spøgelset for personligt ledelsesansvar for brud på cybersikkerheden og/eller forkert håndtering af hændelsesvar. Disse opfattede overtrædelser kom i forskellige former.
Nogle opfattede CISO-mangler drejer sig om vildledende udsagn. SEC forfulgte personligt SolarWinds' CISO Timothy G. Brown efter virksomhedens brud i 2019 og 2020 og argumenterede for, at han kom med falske udtalelser om dets cybersikkerhed i offentlige ansøgninger, selvom det var klar over dets svagheder. En domstol afviste senere sine beskyldninger mod Brown.
Andre kredser om selve manglen på cybersikkerhed. James Rellas, administrerende direktør for alkoholleveringstjenesten Drizly, havde ikke en dedikeret leder med ansvar for cybersikkerhed, da et brud på hans virksomhed afslørede 2.5 millioner kunders oplysninger. FTC's 2022 ordrer holdt ikke kun virksomheden ansvarlig for angiveligt uagtsom cybersikkerhedsadfærd, men ham personligt.
Én personlig straf udmålt mod en CISO fokuseret på svigagtig adfærd. Jun Ying, tidligere CISO hos Equifax US Information Solutions, fik fire måneders fængsel efter at have udnyttet sine aktieoptioner, før et brud på selskabet i 2017 blev afsløret offentligt. Ying, der kendte til bruddet, da han indkasserede sine muligheder, undgik over $117,000 i tab gennem insiderhandel. DoJ tvang ham til at betale tabene tilbage sammen med en bøde, og han blev idømt fire måneders fængsel.
Direktøransvar uden for USA
Det er ikke kun amerikanske ledere, der står over for personligt ansvar for håndtering af cybersikkerhedshændelser. Kim Jin-Hwan, privatlivsansvarlig for det sydkoreanske rejsebureau Hana Tour Service, var personligt bøde 10 millioner koreanske won for uagtsomhed i et brud i 2017, der berørte 465,000 kunder.
Forordninger har også fokuseret på ledernes personlige ansvar. EU's 2022 NIS2-direktivet (2022) pålægger topledelsen at stå til ansvar for manglende overholdelse af cybersikkerhedsreglerne, hvilket giver mulighed for personlige sanktioner mod enkeltpersoner. Disse omfatter midlertidige suspensioner af ledere, der anses for ude af stand til at opfylde deres cybersikkerhedsansvar.
En anden EU-forordning, Digital Operational Resilience Act (DORA), fokuserer på at sikre, at finansielle organisationer kan opretholde kritiske tjenester i lyset af systemiske trusler. Det giver mulighed for bøder på op til en million euro mod uagtsomme ledere.
Udfordringer for CISO'er
Problemet for CISO'er ligger i den 'kølende effekt', som faren for personligt ansvar medfører, advarede mange i breve til dommer William Orrick III, som præsiderede den oprindelige Uber-sag. Bekymringen er, at CISO'er kan føle sig ude af stand til at udføre deres job under truslen om personligt ansvar.
Denne bekymring er gyldig, når man tænker på den hurtigt voksende angrebsflade hos den gennemsnitlige virksomhed. Virksomheder opmuntres til at forblive konkurrencedygtige ved at teste hurtigt udviklende teknologier, herunder kunstig intelligens, mobil og cloud computing. Det øger byrden af det udøvende tilsyn. Hvis en person, der handler i god tro, løber risikoen for personligt ansvar over for overvældende cybertrusler, kan det afskrække folk fra at påtage sig rollen.
De straffehændelser her synes dog ikke at hvile så meget på selve cybersikkerhedsbrudene, men på håndtering af hændelsesreaktionsoplysninger før og efter kendsgerningen. Sullivan blev ikke straffet for bruddet. Han blev straffet, fordi han forsøgte at dække over det. Andre vidste om deres sårbarheder i årevis før deres brud og tog lidt eller ingen forebyggende handling. Og frontløbende nyheder om et brud til dine egne aktiehandelsformål er helt klart en ond tro praksis.
Sådan beskytter du ledere
Efterhånden som risikoen for personlig ansvarlighed vokser, vil virksomheder, der følger veletablerede cybersikkerheds- og risikostyringsrammer, være i stand til at beskytte sig selv – og deres øverste ledelse – mod regulatoriske eller juridiske konsekvenser.
ISO 27001 er et væsentligt værktøj i denne sammenhæng, fordi det er en anerkendt international standard, der demonstrerer proaktiv due diligence. Ohios databeskyttelseslov tilbyder endda eksplicit juridisk sikker havn for cybersikkerhedsprogrammer, der med rimelighed overholder ISO 27001.
ISO 27001 tilbyder nogle kernepraksis, der kan hjælpe med at demonstrere due diligence og samvittighedsfuldhed, når du følger cybersikkerhedsforanstaltninger. Disse omfatter etablering af en klar, dokumenteret cybersikkerhedsstyringsramme med involvering af topledelsen og implementering af standardbaserede, dokumenterede hændelsesresponsplaner. Andre tiltag omfatter løbende træning, audits og løbende forbedringsprocesser.
Det anbefales at vedligeholde grundig dokumentation for at fremlægge dokumentation for executive tilsyn og risikostyring, udført efter det bedste af et ledelsesteams evner.
Ordet 'hold' er dog afgørende. Seniorledere bør støtte dem, der er ansvarlige for cybersikkerhed, og der bør stilles rimelige forventninger til dem. Alt for ofte forventes CISO'er at stoppe alle angreb uden nogen væsentlig investering og uden ordentlig støtte fra en virksomhed, der udelukkende fokuserer på at skubbe det næste produkt ud og maksimere profit. Det er et utilpashed, der kræver kulturel forandring.
