Eines der schwierigsten Probleme bei der Cybersicherheit von Unternehmen, mit dem sich die US-Börsenaufsichtsbehörde SEC offen auseinandersetzt, ist die Frage, wann ein Unternehmen eine Datenschutzverletzung melden sollte.
Der einfachste Teil lautet: „Wie lange, nachdem das Unternehmen Kenntnis von dem Verstoß erlangt hat, sollte es die Offenlegung offenlegen?“ Verschiedene Compliance-Regime haben unterschiedliche Zahlen, aber sie liegen relativ nahe beieinander, von den 72 Stunden der DSGVO bis zu den ersten vier Tagen der SEC.
Der schwierige Teil besteht darin, zu definieren, wann ein Unternehmen wirklich „weiß“, dass etwas passiert ist. Wann genau haben Walmart oder ExxonMobil davon erfahren? (Wenn die Formulierung lauten würde: „Wenn der CFO des Unternehmens davon überzeugt ist, dass eine Datenschutzverletzung vorliegt“, wäre das viel einfacher.)
Um dieses Problem des Bewusstseins zu verstehen, müssen wir es zunächst in zwei verschiedene Elemente zerlegen:
Beginnen wir mit dem ersten Element. Mit Ausnahme offensichtlicher Angriffe, wie etwa eines Ransomware-Angriffs mit Hacktest, erfolgen die meisten Angriffe schleichend. Jemand im SOC stellt eine Anomalie oder etwas Verdächtiges fest. Reicht es, zu informieren? Mit ziemlicher Sicherheit nicht. Dann mischt sich jemand weiter oben im SOC ein.
Wenn die Dinge weiterhin schlecht aussehen, wird dies dem CISO oder CSO gemeldet. Dieser Anführer könnte sagen: „Du hast mich betrogen. Ich muss dies sofort dem CIO, CFO und möglicherweise dem CEO melden. Wenn ja, haben Sie die Offenlegungsphase noch nicht erreicht. Diese anderen Führungskräfte müssen zu Wort kommen.
Der CISO/CSO wird jedoch höchstwahrscheinlich mit etwas antworten wie: „Sie haben noch nicht alles herausgefunden.“ Es wird immer eines von Hunderten verschiedenen Dingen sein. Schauen Sie sich einige Backups an, führen Sie Vergleiche durch und suchen Sie im Darknet nach Bestätigungen. Untersuchen Sie weiter.
Startet die Uhr schon? Auch hier wahrscheinlich nicht. Ein Unternehmen kann nicht alle Cybersicherheitsuntersuchungen melden. Der Beweisbedarf, der zur Rechtfertigung einer öffentlichen Offenlegung erforderlich ist, ist hoch. Bedauern Sie schließlich den armen Manager, der einen Verstoß meldet, der sich später als unbedeutend herausstellt.
Ein weiterer Faktor: Die meisten Cyberdiebe und Cyberterroristen sind hervorragend darin, ihre Spuren zu verbergen und trügerische Spuren zu hinterlassen. Das Affektieren mit Protokollen ist weit verbreitet, was bedeutet, dass die IT-Sicherheit zumindest zunächst nur Protokollen vertrauen kann. Denken Sie daran, wie oft sich der erste forensische Bericht erheblich vom zweiten forensischen Bericht unterscheidet. Es braucht einfach Zeit, selbst für erfahrene forensische Ermittler, die Wahrheit aus den Täuschungen herauszufiltern, die die Angreifer hinterlassen.
Was die zweite Frage angeht: Wer entscheidet, wer im Falle einer Datenschutzverletzung die endgültige Entscheidung treffen soll? Das Argument kann für den besten Cybersicherheitsexperten (vermutlich den CISO/CSO) oder die verantwortlichsten Personen im Unternehmen (CEO oder Vorstand) angeführt werden, aber für einige Unternehmen kann der Chief Risk Officer ein guter Kandidat sein.
Wählt jedes Unternehmen für sich selbst? Sollten die Regulierungsbehörden entscheiden? Oder sollten die Aufsichtsbehörden jedes Unternehmen selbst entscheiden lassen, wer die Kontaktperson sein wird, und diesen Titel den Aufsichtsbehörden melden?
Jim Taylor, Produktmanager beim Cybersicherheitsanbieter SecurID, sagt, dass der Auslöser direkt im SOC erfolgen sollte. „Die Tatsache, dass etwas gegen Ihren Zaun stößt, ist kein Auslöser. Vielleicht ist es der leitende Analyst, vielleicht ist es der Leiter des SOC“, sagte Taylor. „Es muss einen Fehler geben, eine Verantwortung für diese Dinge.“
Aber zu früh eine Entscheidung treffen zu müssen, kann problematisch sein. Wenn Sie einen Verstoß frühzeitig melden, geraten Sie in Schwierigkeiten. Wenn Sie einen Verstoß zu spät melden, geraten Sie in Schwierigkeiten. „Du bist verdammt, wenn du es tust, und verdammt, wenn du es nicht tust“, sagte Taylor.
Die Wahrheit ist, das ist schwer und sollte es auch sein. Jeder Verstoß ist anders, jedes Unternehmen ist anders und starr definierte Regeln verursachen wahrscheinlich mehr Probleme als sie lösen.
„Die Art des Verstoßes ist ein wichtiger Faktor, um zu wissen, wann er offengelegt werden muss“, sagte Alex Lisle, CTO bei Krytowire, einem anderen Cybersicherheitsunternehmen. „Wenn Sie lange genug darüber nachdenken, ein Forensik-Team zu engagieren, sollten Sie ernsthaft darüber nachdenken, es zu melden.“
In der alten Fernsehsendung „Scrubs“ gab es eine tolle Zeile, in der ein Arzt, der ein Testlabor leitet, jemanden fragt, der den Test wiederholen möchte: „Glauben Sie, dass ich falsch lag, oder hoffen Sie, dass ich falsch lag?“ . Diese Aussage kann oft ins Spiel kommen, wenn mehrere Personen versuchen herauszufinden, ob das Unternehmen wirklich gehackt wurde. Weiß das Team irgendwie, dass sie ins Visier genommen wurden, und hofft, dass weitere Untersuchungen dies widerlegen werden? Oder weiß das Team es wirklich nicht?
Hier sollte ein ausgewiesener Sachbearbeiter für die Feststellung von Verstößen eingreifen, der auf Erfahrung und, ganz ehrlich, starker Intuition basiert. Einige Teile der Cybersicherheit sind reine Wissenschaft. Eine zu frühe Entscheidung darüber, ob die Daten tatsächlich betroffen sind, gelingt oft nicht.
Copyright © 2022 IDG Communications, Inc.