Eines der schwierigsten Probleme in der Cybersicherheit von Unternehmen, mit dem die US-Börsenaufsichtsbehörde SEC offen ringt, lautet: Wann sollte ein Unternehmen eine Datenschutzverletzung melden?
Der einfachste Teil lautet: „Wie lange, nachdem das Unternehmen von der Verletzung Kenntnis erlangt hat, sollte es es offenlegen?“ Verschiedene Compliance-Regelungen haben unterschiedliche Zahlen, aber sie liegen relativ nahe beieinander, von 72 Stunden der DSGVO bis zu den ersten vier Tagen der SEC.
Der schwierige Teil besteht darin, zu definieren, wann eine Unternehmenseinheit tatsächlich „weiß“, dass etwas passiert ist. Wann genau wussten Walmart oder ExxonMobil etwas? (Wenn die Sprache sagen würde „wenn der CFO des Unternehmens davon überzeugt ist, dass eine Datenschutzverletzung aufgetreten ist“, wäre es viel einfacher.)
Um dieses Problem des Bewusstseins zu verstehen, müssen wir es zunächst in zwei verschiedene Elemente zerlegen:
Beginnen wir mit dem ersten Element. Mit Ausnahme von offensichtlichen Angriffen, wie z. B. einem Ransomware-Angriff, bei dem ein durchdringungsgetestetes Lösegeld erhalten wurde, erfolgen die meisten Angriffe schrittweise. Jemand im SOC erkennt eine Anomalie oder etwas Verdächtiges. Reicht eine Meldung? Mit ziemlicher Sicherheit nicht. Dann mischt sich jemand weiter oben im SOC ein.
Wenn die Dinge immer noch schlecht aussehen, wird dies dem CISO oder CSO gemeldet. Dieser Anführer könnte sagen: „Du hast mich verraten. Ich muss dies sofort dem CIO, CFO und möglicherweise dem CEO melden. Wenn ja, haben Sie die Offenlegungsphase noch nicht erreicht. Diese anderen Führer sollten sich einbringen.
Der CISO/CSO wird jedoch höchstwahrscheinlich antworten, indem er etwas sagt wie: „Sie haben noch nicht alles herausgefunden. Es wird immer eines von hundert verschiedenen Dingen sein. Sehen Sie sich einige Backups an, vergleichen Sie, suchen Sie im Dark Web nach Bestätigungen. Forschen Sie weiter.
Startet die Uhr schon? Wieder wahrscheinlich nicht. Ein Unternehmen kann nicht alle Cybersicherheitsuntersuchungen melden. Das Beweisniveau, das erforderlich ist, um die Offenlegung zu rechtfertigen, ist hoch. Schande über die arme Führungskraft, die einen Verstoß meldet, der sich als nichts herausstellt.
Ein weiterer Faktor: Die meisten Cyberdiebe und Cyberterroristen sind hervorragend darin, ihre Spuren zu verwischen und irreführende Hinweise zu hinterlassen. Mono mit Protokollen ist weit verbreitet, was bedeutet, dass die IT-Sicherheit bisher zumindest anfänglich nur Protokollen vertrauen kann. Denken Sie daran, wie oft sich der erste forensische Bericht erheblich vom zweiten forensischen Bericht unterscheidet. Es braucht nur Zeit, selbst für erfahrene forensische Ermittler, um die Wahrheit von dem zu trennen, was irreführende Angreifer hinterlassen.
Zweitens: Wer entscheidet, wer im Falle einer Datenschutzverletzung die endgültige Entscheidung treffen soll? Man kann sich für den besten Cybersicherheitsexperten (vermutlich den CISO/CSO) oder die verantwortungsvollsten Personen im Unternehmen (CEO oder Vorstand) aussprechen, aber für einige Unternehmen kann der Chief Risk Officer ein guter Kandidat sein.
Entscheidet jedes Unternehmen für sich? Sollten Regulierungsbehörden entscheiden? Oder sollten die Aufsichtsbehörden jedes Unternehmen selbst entscheiden lassen, wer die Kontaktperson sein wird, und diesen Titel den Aufsichtsbehörden melden?
Laut Jim Taylor, Produktmanager beim Cybersicherheitsanbieter SecurID, sollte der Auslöser direkt im SOC erfolgen. „Die Tatsache, dass etwas Ihren Zaun trifft, ist kein Auslöser. Vielleicht ist er der leitende Analyst, vielleicht ist er der Leiter des SOC“, sagte Taylor. „Es muss eine Schuld geben, eine Verantwortung für diese Dinge.“
Aber zu früh eine Entscheidung treffen zu müssen, kann problematisch sein. Melden Sie einen Verstoß vorzeitig und Sie sind in Schwierigkeiten. Melden Sie einen Verstoß zu spät und Sie werden in Schwierigkeiten geraten. „Du bist verdammt, wenn du es tust, und verdammt, wenn du es nicht tust“, sagte Taylor.
Die Wahrheit ist, dass dies schwierig ist und es sein sollte. Jeder Verstoß ist anders, jedes Unternehmen ist anders, und starre Definitionsregeln schaffen wahrscheinlich mehr Probleme, als sie lösen.
„Die Art der Verletzung ist ein wichtiger Faktor, um zu wissen, wann sie offengelegt werden muss“, sagte Alex Lisle, CTO von Krytowire, einem anderen Cybersicherheitsunternehmen. „Wenn Sie genug darüber nachdenken, um ein Forensik-Team einzustellen, sollten Sie ernsthaft darüber nachdenken, es zu melden.“
In der alten TV-Show „Scrubs“ gab es eine tolle Zeile, in der ein Arzt, der für ein Testlabor verantwortlich ist, jemanden fragt, der den Test noch einmal machen möchte: „Glauben Sie, ich habe mich geirrt, oder hoffen Sie, dass ich mich geirrt habe?“ . Diese Linie kann oft ins Spiel kommen, wenn verschiedene Personen versuchen festzustellen, ob das Unternehmen wirklich angegriffen wurde. Weiß das Team irgendwie, dass sie angegriffen wurden und hofft, dass weitere Ermittlungen dies widerlegen werden? Oder weiß es das Team wirklich nicht?
An dieser Stelle sollte ein designierter Noncompliance-Ermittlungsbeauftragter eingreifen, basierend auf Erfahrung und, ehrlich gesagt, starker Intuition. Einige Teile der Cybersicherheit sind reine Wissenschaft. Sehr früh zu entscheiden, ob Daten tatsächlich betroffen sind, ist es oft nicht.
Copyright © 2022 IDG Communications, Inc.
