在过去的一年里,我们看到优步(Uber)的前首席安全官因对数据泄露处理不当而在联邦法院被定罪,联邦监管机构指控太阳风(SolarWinds)的安全主管涉嫌在自己的网络攻击之前误导投资者,新法规要求公司在四个工作日内公开披露具有重大影响的数据泄露事件。
在网络安全领域工作似乎从来没有像现在这样有风险。
但上周日在华盛顿特区举行的ShmooCon黑客大会上,一个小组得出的结论是,网络安全从业者不要对挑战置之不理。
今年是ShmooCon举办的倒数第二年,它将黑客、研究人员、政府官员和网络安全高管聚集在一起,讨论安全社区面临的一些最紧迫的问题。今年与会者听到的一个共同主题是,在网络安全行业工作本身的风险越来越大。信息安全社区对法律风险并不陌生——这可能是在该领域工作的固有副产品——但他们越来越意识到,法律监督和随之而来的后果越来越多。
在小组讨论中,创业律师伊丽莎白?沃顿、前美国证券交易委员会检察官达内特?爱德华兹和科技投资者辛迪?古拉引领了讨论,分享了他们的观点和预测,探讨了网络责任的利益是如何从初级入门职位一直到高管职位的变化。
去年,美国证券交易委员会(SEC)出台了新的网络报告规则,要求公司在4个工作日内在8-K公开文件中披露“重大”安全事件。这些规定于去年12月生效,随着企业弄清楚“实质性”影响的含义,许多公司纷纷向美国证交会提交了新的数据泄露披露文件。这也是第一起勒索软件团伙利用这些规则点名攻击未向监管机构备案的公司的案件。
“我们将看到很多最初的8-K报告,然后可能会有多份报告报道同一起网络黑客事件,”爱德华兹在ShmooCon上说,他现在是Katten律师事务所的辩护律师和合伙人。
沃顿是Silver Key Strategies的创始人,曾在亚特兰大的勒索软件事件响应小组任职。他说,网络事件可能每小时都在变化,可能需要随后披露。
“当你在处理一个事件时,你仍然深陷在四天的反应中,你已经意识到,‘哦,糟糕,我们的垃圾箱着火了!’但你甚至还没有弄清楚垃圾箱里燃烧的是什么材料——你必须开始报告,”沃顿说,“知道随着材料的涨落,上市公司将不得不更新(这些披露)。”
与远程工作相结合的透明度的另一面是,比以往更多的事情被写下来、记录下来,或者以其他方式保存和记录下来。这对调查人员来说是件好事,但对公司来说却是件麻烦事。
沃顿说:“我想,你的每封电子邮件要么会被你的母亲看到,要么会在证词中看到,要么会在美国证券交易委员会(SEC)的诉状中看到,这正在改变饮水机旁的谈话。”“因为我们不一定是在办公室里,所以要确保你不一定要把它写下来,也不要因为你觉得搞笑而把上下文丢失在你发给同事的表情包里。”
爱德华兹说:“监管机构并不总是很有幽默感。
古拉科技冒险公司的管理合伙人古拉说:“文化对一个组织来说是不可或缺的,特别是在我们所做的事情中,因为我们有很多信任。”“企业将很难把这种文化发扬光大,因为他们所做的一切都将受到审查。”
新的网络安全报告规则不仅将公司及其数据事件置于公众的聚光灯下,最近的联邦执法行动也表明,网络安全高管也在承担部分责任。
10月,美国证券交易委员会对SolarWinds首席信息安全官蒂莫西·布朗提起诉讼,指控他在2019年俄罗斯间谍对该公司发动网络攻击之前误导投资者对该公司的安全。美国证交会的大部分指控都源于布朗据称在公司内部分享的言论。
古拉是多家初创公司的董事会成员,他说:“我们也听说很多人不想(担任首席信息安全官),因为这种疏忽,因为所有这些你甚至都不知道的陷阱会提前出现。”“请不要离开那个位置。请站出来做这件事。”
对于这个建议,古拉说,文件也会有所帮助。当高管们不得不实施变革、修补漏洞或改进网络安全培训,但计划或预算遭到拒绝时,不妨问问:“我能以书面形式得到这些吗?”他补充道:“无论你能做什么来把索伦之眼从你身上移开,这样你就可以继续把戒指扔进火里,扑灭你需要做的事情——这很重要。”
扎克·惠特克在华盛顿特区ShmooCon报道。
