SEC’s voorgestelde wijzigingen op het gebied van cyberbeveiliging | Spiceworks

• Vorige maand stelde de Securities and Exchange Commission ingrijpende cyberbeveiligingsvoorschriften voor de financiële sector voor.
• De SEC stelde wijzigingen voor in Regulation S-P, Rule 10, en Regulation Systems Compliance and Integrity (SCI), bedoeld om de reikwijdte van privacygerelateerde governance uit te breiden, de transparantie te vergroten en daarmee indirect de cyberbeveiliging te versterken.

Vorige maand stelde de Securities and Exchange Commission ingrijpende cyberbeveiligingsvoorschriften voor de financiële sector voor om het cyberbeveiligingsrisico tot een minimum te beperken, protocollen voor incidentenbestrijding en openbaarmaking te definiëren, en meer.

Indien aangenomen, zouden makelaars, vermogensbeheerders en iedereen die onder het toepassingsgebied van de nieuw voorgestelde regels valt, zich moeten houden aan een incidentele openbaarmakingstermijn van minder dan 30 dagen in geval van onder meer een datalek.

De SEC heeft met name wijzigingen voorgesteld in Regulation S-P, Rule 10, en Regulation Systems Compliance and Integrity (SCI), bedoeld om de reikwijdte van privacygerelateerde governance uit te breiden, de transparantie te vergroten en daarmee indirect de cyberveiligheid te versterken.

De financiële sector is, net als andere sectoren, in toenemende mate afhankelijk van informatiesystemen voor de dagelijkse activiteiten. Als zodanig kunnen financiële en andere bedrijven in de sector een lucratief doelwit vormen voor dreigers die erop uit zijn de vruchten te plukken van de slechte cyberhygiëne van een bedrijf.

Heeft de financiële sector hervormingen op het gebied van cyberbeveiliging nodig?

Volgens IBM Security X-Force Threat Intelligence Index 2023 was de financiële sector de afgelopen drie jaar (2020 tot en met 2022) de op één na meest geviseerde sector door dreigingsactoren en de drie voorgaande jaren de meest geviseerde. Bovendien hebben toezichthouders financiële ondernemingen in 2021 en 2022 consequent beboet wegens lakse cyberbeveiligingspraktijken.

In 2021 beboette de SEC acht makelaars voor slechte e-mail- en gegevensbeveiligingspraktijken. Het jaar daarop legden de SEC en de Commodity Futures Trading Commission (CFTC) boetes op van meer dan $ 1,71 miljard aan 16 makelaarskantoren op Wall Street.

Verscheidene grote belastingaangiftediensten kwamen ook in opspraak wegens nalatige gegevensbeveiligingspraktijken met betrekking tot financiële gegevens. Kevin Kirkwood, plaatsvervangend CISO bij LogRhythm, vertelde Spiceworks: “Er is een waargenomen zwakte in de financiële sector. Als voorbeeld: eind 2021 legde de SEC acht bedrijven sancties op wegens tekortkomingen met betrekking tot cyberbeveiligingsincidenten en het bijbehorende beheer.”

“Deze wijdverspreide sanctie lijkt zich te richten op het concept dat deze bedrijven gelaagde en verbonden systemen hadden binnen de vier muren van de organisaties. Kortom, een aanvaller (of aanvallers) nam de e-mailaccounts van geselecteerde personen over en gebruikte de in die accounts uitgewisselde informatie om zichzelf te verrijken. Deze inbreuk duurde enkele jaren.

Kortom, ja, de financiële sector heeft hervormingen op het gebied van cyberbeveiliging nodig. Tom Kellermann, SVP van cyberstrategie bij Contrast Security, voegde eraan toe dat hervormingen noodzakelijk zijn, aangezien cybercriminele kartels hun tactieken en strategie voor kwaadaardige campagnes voortdurend ontwikkelen en steeds geraffineerder worden.

Nick Tausek, lead security automation architect bij Swimlane, vertelde Spiceworks: “Ik zou zeggen ja, de financiële sector is toe aan een hervorming van de cyberbeveiliging om de voortdurende evolutie van het internationale cyberdreigingslandschap aan te pakken, financiële entiteiten meer verantwoordelijk te houden voor het melden van cybergebeurtenissen en de gezondheid van het financiële ecosysteem beter te handhaven.”

Zie meer: Hoe krijgt u steun van belanghebbenden voor bewustzijn van cyberbeveiliging?

Wat bracht de SEC ertoe om nu wijzigingen voor te stellen in Reg S-P, Rule 10 en Reg SCI?

Kellermann benadrukte het risico van geopolitieke spanningen en de daaruit voortvloeiende spillover naar cyberspace, wat leidt tot cyberinbraken, als de mogelijke reden waarom de SEC opnieuw nadenkt over de manier waarop financiële organisaties cybersecurity implementeren. “Deze veranderingen hadden al veel eerder moeten plaatsvinden, aangezien cyberbeveiligingstransparantie van fundamenteel belang is voor de economische veiligheid van onze natie”, aldus Kellermann tegen Spiceworks.

Bovendien zou de stap van SEC kunnen worden afgestemd op de in maart uitgebrachte National Cybersecurity Strategy (NCS) van het Witte Huis. De NCS beoogt de beveiliging van kritieke infrastructuur te versterken, partnerschappen te vormen en samenwerking met internationale instanties te stimuleren om webgebaseerde bedreigingen tegen te gaan en investeringen in cyberbeveiliging aan te trekken.

Kirkwood is van mening dat de wijzigingen bedoeld zijn om de cyberbeveiligingsactiviteiten op een laag niveau te brengen. “De regels die worden voorgesteld lijken maatregelen te nemen om een mogelijke explosiestraal van onderling verbonden systemen in te dammen en ervoor te zorgen dat er, minimaal, in een vroeg stadium van de incidentcyclus kennisgeving wordt gedaan,” zei Kirkwood.

Hij voegde eraan toe: “Deze actie is een stap in de goede richting, maar is niet voldoende om een goede cyberhygiëne mogelijk te maken. In feite zou dit in het geval van de acht bovengenoemde bedrijven alleen relevant zijn geweest als er een goed beveiligingsprogramma bestond.”

Kunnen de nieuwe regels een verschil maken?

Nou, ja, als bedrijven cyberincidenten met de vereiste snelheid melden. Als de nieuwe regels worden aangenomen, zou de SEC bijvoorbeeld strengere maatregelen voor incidenten vereisen, een beoordeling van de klant binnen 30 dagen, directe maatregelen van dienstverleners en meer.

“Op voorwaarde dat de regels worden aangenomen, afdwingbaar zijn en gevolgen hebben voor entiteiten die bewijsmateriaal begraven in plaats van het aan de SEC voor te leggen, ja, ik denk dat deze regels een positieve impact kunnen hebben,” zei Tausek. “Enkele van de gebieden die nuttig zullen zijn, zijn het delen van informatie om campagnes en brede, multi-entiteit aanvallen te identificeren en bedrijven verantwoordelijk te houden voor hun gegevensleveringsketens en opslag door derden.”

Aan de andere kant vindt Kirkwood dat de overregulering in de financiële sector moet worden aangepakt. De financiële sector is een overgereguleerde sector omdat er “meer dan een paar instanties zijn die belang hebben bij criminele activiteiten die hopen te profiteren in de sector. Dit veroorzaakt enige verdeeldheid in de hoeveelheid aandacht en focus die een bedrijf kan opbrengen om zichzelf en zijn klanten te beschermen.”

Als zodanig vindt Kirkwood dat bedrijven het NIST Cybersecurity Framework moeten volgen, de controles van NIST 800-53 voor ISO-27001 is de manier om te gaan. Dit vergt echter een aanzienlijke investering.

Zie meer: Vijf cyberbeveiligingssimulaties om het risico van een pijnlijke datalek te verminderen

Wat kan er nog meer worden gedaan?

Kirkwoods oproep tot minder omvat ook het consolideren van het toezicht op cyberbeveiliging bij één toezichthouder. “Er moet één regelgevende instantie worden opgericht voor toezicht op de sector die ervoor zorgt dat het cyberkader en de controles worden belichaamd in een beveiligingsprogramma dat binnen een bedrijf in de sector is opgesteld,” zei Kirkwood.

“Het orgaan moet ook toezicht houden op alle andere potentiële misdrijven (fraude, et al.). De instantie zou zich dan niet alleen moeten richten op de documentatie die nodig is om naleving aan te tonen, maar ook op tests om ervoor te zorgen dat ze echt volgen. Die tests zouden geavanceerde penetratietesten kunnen omvatten die worden uitgevoerd op de systemen die de bedrijven gebruiken.”

Tausek voegde eraan toe dat financiële ondernemingen in de toekomst stresstests zouden moeten invoeren, vergelijkbaar met wat de Europese Centrale Bank vorige maand aankondigde.

Kellermann adviseerde rigoureuze beveiligingstests van applicaties, schonere software bill of materials (SBOM’s) en periodieke bekendmaking van testresultaten door CISO’s aan CEO’s.

Afsluitend

De openbare commentaarperiode voor de voorgestelde wijzigingen loopt tot 5 juni 2023. Financiële instellingen en andere entiteiten die onder het toepassingsgebied van de geplande wijzigingen vallen, kunnen hun feedback aan de SEC voorleggen.

Aangemoedigd door de voorgestelde wijzigingen en de National Cybersecurity Strategy, zouden overheidsinstanties kunnen proberen andere ongereguleerde omgevingen te versterken.

Het is echter cruciaal dat een cyberbeveiligingsprogramma in alle organisaties vorm krijgt. Kirkwood is daar een tikkeltje pessimistisch over. “Ik weet niet of we genoeg aandacht zullen zien voor een uitgebreid beveiligingsprogramma, en het zal meer gaan om het verschuiven van interne processen om aan de nieuwe regels te voldoen.”

Hebt u gedachten over de voorgestelde wijzigingen van de SEC? Deel uw gedachten met ons op LinkedInOpent een nieuw venster , TwitterOpent een nieuw venster of FacebookOpent een nieuw venster . We horen graag van u!