Implikasi Keamanan Nasional dari Aturan Jalan Baru untuk Cyber

PERSPEKTIF AHLI — The Cyber ​​Initiatives Group (diberdayakan oleh The Cipher Brief) mengajukan komentar terkait keamanan nasional untuk mendukung aturan yang diusulkan SEC mengenai Manajemen Risiko Keamanan Siber, Strategi, Tata Kelola, dan Pengungkapan Insiden oleh Perusahaan Publik minggu ini. Pengarsipan resmi ada di bawah ini.

Komentator, dipimpin oleh mantan Penasihat Umum Badan Keamanan Nasional Glenn Gerstell, termasuk Kelly Bissel, Pemimpin Layanan Keamanan Global, Microsoft Corporation, HON. Sue Gordon, mantan Wakil Direktur Utama Intelijen NasionalMatt Hayden, mantan Asisten Sekretaris Keamanan Dalam Negeri untuk Cyber, Infrastruktur, Risiko dan Ketahanan, GEN Michael Hayden (Purn.), mantan Direktur Badan Intelijen Pusat dan Badan Keamanan Nasional, HON. S.Leslie Irlandia, mantan Asisten Menteri Keuangan untuk Intelijen dan AnalisisRichard H. Ledgett, Jr., mantan Wakil Direktur, Badan Keamanan Nasional, RADM Mark Montgomery (Purn.), mantan Direktur Eksekutif Komisi Solarium Cyberspace dan Debora Plunkett, fmantan Direktur Direktorat Penjaminan Informasi Badan Keamanan Nasional.


Bergabunglah dengan Kepala Sekolah CIG selama kami KTT Musim Semi Virtual pada hari Rabu, 25 Meith dan terlibat dengan para pemimpin sektor publik dan swasta dalam berbagai masalah mulai dari potensi operasi siber yang diluncurkan oleh Rusia hingga melindungi infrastruktur penting hingga mengatasi ledakan ransomware dan mengelola penyedia pihak ketiga. Acara ini gratis, acara yang direkam. Pesan kursi Anda sekarang.


Nomor File S7-09-22 – Komentar pada Aturan yang Diusulkan

Yang bertanda tangan di bawah ini menyampaikan komentar ini untuk mendukung tujuan aturan tentang Manajemen Risiko Keamanan Siber, Strategi, Tata Kelola, dan Pengungkapan Insiden oleh Perusahaan Publik yang diusulkan oleh Komisi pada tanggal 9 Maret 2022 (“Aturan yang Diusulkan”).

Yang bertanda tangan di bawah ini adalah Principals of the Cyber ​​Initiatives Group, sebuah komite yang dibentuk dan disponsori oleh The Cipher Brief, sebuah organisasi media swasta yang bekerja sama dengan sektor swasta di Amerika Serikat untuk mempromosikan kesadaran akan keamanan siber dan masalah keamanan nasional. Banyak dari kita saat ini memiliki keterlibatan langsung dalam masalah siber di sektor swasta dan memiliki pengalaman yang signifikan baik dalam aspek kebijakan dan operasional keamanan siber; banyak dari kita telah bertugas di tingkat tertinggi angkatan bersenjata atau komunitas intelijen negara kita, sementara yang lain memiliki peran utama di perusahaan keamanan siber dan penyedia teknologi paling signifikan di negara ini. (Kami menulis dalam kapasitas individu kami dan afiliasi yang disebutkan di bawah ini hanya untuk tujuan identifikasi.)

Tujuan kami dalam mengirimkan komentar ini adalah untuk mendukung tujuan Aturan yang Diusulkan, untuk memberi tahu Komisi bahwa menurut pendapat kami masalah keamanan nasional adalah alasan yang valid dan signifikan untuk pembuatan aturan, dan untuk menggarisbawahi bahwa Aturan yang Diusulkan memiliki potensi untuk tidak menguntungkan hanya investor dan pendaftar tetapi juga, dan dalam pandangan kami yang lebih penting, keamanan nasional kita. Dengan melakukan itu, kami tidak mengomentari ruang lingkup, beban peraturan, atau aspek teknis lainnya dari Aturan yang Diusulkan – karena pihak lain dapat menangani perincian tersebut dengan lebih tepat. Namun, kami berada dalam posisi untuk mengomentari konsekuensi keamanan nasional dari postur keamanan siber yang lebih baik untuk perusahaan publik.

Sebagaimana dicatat oleh Komisi dalam Pernyataan Latar Belakang yang menyertai Aturan yang Diusulkan, “[l]serangan keamanan siber skala besar dapat memiliki efek sistemik pada ekonomi secara keseluruhan, termasuk efek serius pada infrastruktur kritis dan keamanan nasional.”

Semua yang bertanda tangan di bawah ini mengetahui kecanggihan teknis musuh dunia maya kita dan percaya bahwa ini akan terus meningkat, menimbulkan risiko yang lebih besar bagi bangsa kita. Sehubungan dengan itu, kami mencatat bahwa Penilaian Ancaman Tahunan Komunitas Intelijen AS (tanggal 7 Februari 2022) mengutip kejahatan siber dari empat musuh negara-bangsa – China, Rusia, Iran dan Korea Utara – sebagai ancaman tingkat atas. Sayangnya, ketika ancaman permusuhan meningkat, kerentanan kita juga meningkat, karena kita semakin bergantung pada teknologi digital di semua aspek kehidupan komersial, pemerintahan, dan pribadi kita. Munculnya internet of things, dan sejumlah besar data yang dihasilkan, disimpan, dan digunakan oleh teknologi telekomunikasi 5G, kecerdasan buatan, dan komputasi kuantum yang berpotensi (untuk menyebutkan beberapa perkembangan), akan menciptakan target menarik tambahan untuk kejahatan berbahaya. aktivitas siber, sehingga meningkatkan risiko terhadap infrastruktur, bisnis, dan warga negara kita. Banyak dari teknologi ini dimiliki dan dioperasikan oleh perusahaan publik. Kerentanan ini dapat secara langsung mempengaruhi keamanan nasional kita.

Kami percaya bahwa tujuan mewajibkan pelaporan terkini tentang insiden keamanan siber material, serta pengungkapan berkala mengenai (1) kebijakan dan prosedur pendaftar untuk mengidentifikasi dan mengelola risiko keamanan siber, (2) peran manajemen dalam menerapkan kebijakan dan prosedur keamanan siber, dan (3) keahlian keamanan siber dewan direksi dan pengawasannya terhadap risiko keamanan siber, adalah tepat dan kemungkinan besar akan meningkatkan postur keamanan siber pendaftar. Perusahaan publik memiliki infrastruktur penting, mengoperasikan atau mengelola bisnis utama di setiap sektor industri, pertanian, dan jasa, dan dalam banyak hal membentuk tulang punggung ekonomi Amerika. Akibatnya, peningkatan keamanan siber di perusahaan publik diterjemahkan langsung ke dalam ekonomi nasional yang lebih aman siber dan tahan siber. Masuk akal bahwa memerlukan pelaporan tambahan tentang insiden siber yang material akan memberi informasi yang lebih baik kepada investor, publik pada umumnya, dan lembaga pemerintah, dan peningkatan pengungkapan tentang kebijakan siber dan pengalaman dewan akan mendorong perusahaan publik (dan dengan perluasan, perusahaan swasta, setidaknya sampai tingkat tertentu ) untuk memenuhi jika tidak melebihi ekspektasi pasar di area tersebut.

Dengan sifatnya yang melekat, manfaat ini tidak dapat dengan mudah diukur, tetapi kurangnya pengukuran yang tepat dalam hal ini tidak dapat menjadi alasan untuk menyangkal apa yang jelas dan logis. Kami percaya bahwa manfaat ini bagi kesejahteraan nasional kita sangat penting dan mungkin dan harus diperhitungkan dalam pengembangan kebijakan dan pembuatan peraturan oleh Komisi.

Kami memahami bahwa pihak yang berkepentingan akan memiliki pandangan yang berbeda tentang ruang lingkup dan aspek teknis lainnya dari Aturan yang Diusulkan dan sebagaimana disebutkan di atas, tidak menyatakan pendapat di sini tentang masalah tersebut. Tetapi kami ingin menunjukkan bahwa segala upaya untuk menstandarisasi dan menyelaraskan pemberitahuan dan pengungkapan dengan persyaratan lain (seperti yang akan diterapkan di bawah Undang-Undang Pelaporan Insiden Cyber ​​untuk Infrastruktur Kritis tahun 2022) jelas akan berdampak pada peningkatan kepatuhan yang kuat terhadap , dan selanjutnya tujuan dari, Aturan yang Diusulkan.

Mendaftar untuk buletin Cyber ​​Initiatives Group. Hasil yang lebih baik di dunia maya membutuhkan pemikiran yang lebih baik. Bergabunglah dengan pakar dari ekosistem siber publik-swasta yang baru saat kami mendidik dan menciptakan masa depan siber baru. Mendaftar untuk buletin CIG hari ini.

Baca lebih lanjut wawasan, perspektif, dan analisis keamanan nasional yang didorong oleh pakar di The Cipher Brief karena Keamanan Nasional adalah Urusan Semua Orang.

Sursa

Add a Comment

Your email address will not be published. Required fields are marked *