从另一个角度审视网络安全的问责制
- 网络安全事件不仅仅是可用性问题
- 恶意行为者正在利用法律程序来谋取利益
- 网络安全处理不当的个人责任变得越来越普遍
网络安全事件曾经被视为轻微破坏,现已演变成具有深远影响的重大威胁。最初被视为暂时的挫折,但它们对业务运营的影响被低估了。
随着时间的推移,人们越来越意识到其财务影响,例如支付赎金和监管罚款。
当网络安全失败的法律责任延伸到刑事责任时,这种观念的转变进一步加剧,从而显着改变了格局并提高了网络安全管理的风险。
历史背景:“办公室糟糕的一天”
从历史上看,网络安全事件被视为“办公室的糟糕日子”,会扰乱业务,但不会造成持久损害。这种观点导致网络空间的数字领域与现实世界的后果之间脱节。
组织专注于短期恢复,往往忽视长期网络安全战略的需要。这种方法导致事件重复发生,每次都被视为孤立事件,而不是系统漏洞的症状。
现状:从操作危险到刑事责任
Vastaamo 芬兰前首席执行官的案件就体现了将网络安全故障视为刑事指控的潜在理由的转变。在大规模数据泄露导致敏感患者数据受损后,前首席执行官被指控并被判处(缓刑)监禁。
此次泄露暴露了数万名患者的个人详细信息和治疗记录,其中一些记录发布在暗网上。法院认定,这位前首席执行官没有对患者数据进行加密,未能遵守 GDPR 的要求,多年来一直意识到网络安全漏洞,并试图隐瞒违规行为,导致他承担刑事责任。
网络犯罪分子的新策略:利用法律制度
网络犯罪分子变得越来越狡猾,利用法律系统来增强他们的攻击。
勒索软件团伙 ALPHV/BlackCat 向美国证券交易委员会 (SEC) 投诉其受害者 MeridianLink,因为该团伙未能报告由 ALPHV/BlackCat 自身造成的重大数据泄露事件。
这种利用法律要求对受害者进行强制网络安全事件披露的创新策略凸显了一种令人担忧的趋势,即网络犯罪分子利用法律漏洞加大对目标的压力,重新定义数字勒索的规则。
作为参考,据报道,这与拉斯维加斯赌场黑客事件(9 月份的米高梅和凯撒事件)幕后黑手是同一个威胁行为者。
虽然 SEC 没有对威胁行为者的报告采取行动,部分原因是最近的裁决尚未生效(新的报告时间表已获得 SEC 批准,但仅在 12 月中旬生效)。
这引起了人们对威胁行为者利用的漏洞的担忧,同时也引起了对监管机构效率的担忧,投诉背后似乎有事实材料,应该导致监管机构采取行动。
在一些意想不到的事态发展中,所有这些事件都可能导致(强制性)报告的减少,因为首席执行官/首席信息官/首席信息安全官会权衡潜在的法律责任与根本不报告的潜在风险。
这些也与一个单独的问题紧密相关,即首次访问后未检测到违规的时间(根据 IBM 2022 年的一份报告,估计该数字为270 天以上)。
如果允许这种法律漏洞继续存在,那么这段未被发现的时间足以对未报告的违规行为进行投诉,而且投诉将是准确的。
案例研究:SolarWinds 和加强法律审查
SolarWinds 案是加强网络安全法律审查的一个典型例子。SEC 指控 SolarWinds 及其首席信息安全官隐瞒不良的网络安全实践和风险,这是 SEC 首次针对个人提出网络安全执法索赔。
诉状称,从 2018 年 IPO 到至少 2020 年 12 月,SolarWinds 就其网络安全实践发表了误导性的公开声明,未能披露已知的漏洞和违规行为,也没有保持足够的控制来保护其关键资产。
该案例强调了对准确的网络安全风险披露的期望以及高管和安全官员的个人责任。
网络安全责任的新时代
网络安全事件从操作危害到刑事责任的演变,标志着企业及其领导者处理网络安全的方式发生了重大变化。
这是向组织及其高管发出的明确信息,要求优先考虑强有力的网络安全措施、遵守监管要求并在网络安全实践中保持透明。
如果不这样做,可能会导致严重的法律和财务后果,不仅对组织,而且对掌舵者个人也会造成影响。
随着网络安全威胁形势的不断发展,应对这些威胁的战略也必须不断发展,强调预防、透明度和问责制。
也许这最终将网络安全问题推到了各行业的最前沿。