SEC fordert eine Offenlegungsfrist von vier Tagen für Cybersicherheitsverstöße

Neuauflage von Plato

Verfolger: 0

Letzte Woche hat die US-Börsenaufsicht SEC (Securities and Exchange Commission) angekündigt neue und ziemlich strenge Regeln für die Offenlegung von Cybersicherheitsverstößen für alle Personen oder Unternehmen, die in ihren regulatorischen Zuständigkeitsbereich fallen.

Die SEC wurde übrigens auf dem Höhepunkt der US-amerikanischen Weltwirtschaftskrise in den 1930er Jahren gegründet, mit dem Ziel, die Art unregulierter Spekulation zu verhindern, die zu dem führte, was als bekannt wurde Schwarzer Donnerstag, der berüchtigte Wall-Street-Crash vom 24. Oktober 1929.

In ihrer eigene Worte:

Die Aufgabe der SEC besteht darin, Anleger zu schützen. Aufrechterhaltung fairer, geordneter und effizienter Märkte; und die Kapitalbildung erleichtern.

Die SEC ist bestrebt, ein Marktumfeld zu fördern, das das Vertrauen der Öffentlichkeit verdient.

Einfach ausgedrückt: Wenn Sie ein Unternehmen leiten, das Aktien der Öffentlichkeit anbietet, müssen Sie die Regeln und Vorschriften der SEC einhalten, die Ihren Anlegern eine Art Schutz vor unbegründeten Behauptungen bieten sollen, die einen Vorschlag unaufrichtig verbreiten oder die das Ausmaß des damit verbundenen Risikos heimlich falsch darstellen.

Wie Sie sich vorstellen können, insbesondere in einer Online-Welt, in der Ransomware-Verstöße ein Unternehmen über Nacht zum digitalen Stillstand bringen können und in der sogar mehrere Millionen Dollar ausgegeben werden Erpressungszahlung Ein „Wiederherstellungsprogramm“ an die Angreifer reicht möglicherweise nicht aus, um die Dinge wieder in Gang zu bringen …

…Versäumnisse im Bereich der Cybersicherheit können dramatische, langfristige Auswirkungen auf den Wert einer Unternehmensinvestition haben.

.s-button+.s-button { Rand links: .3125rem; } .s-Taste { Übergang: alle .15s linear; Schriftgröße: .875rem; Zeilenhöhe: 1.5; Farbe: #f2f2f2; Schriftfamilie: SophosSansMedium, Helvetica Neue, Helvetica, Arial, serifenlos; Schriftstärke: 400; Schriftstil: normal; Anzeige: Inline-Block; Polsterung: .3125rem 1.25rem; Cursor: Zeiger; Textausrichtung: Mitte; Textdekoration: keine; Rand: 1px solide #005bc8; Randradius: 3px; Hintergrundfarbe: #005bc8; Textschatten: keiner; } .s-button:hover { Textdekoration: keine; Farbe: #fff; Randfarbe: #002d62; Hintergrundfarbe: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !important; Rahmenfarbe: #fff; Hintergrundfarbe: #fff; } .s-ad-sophos-mdr { Schriftgröße: 1rem; Zeilenhöhe: 1.5; Farbe: #242629; Schriftfamilie: SophosSansRegular, Helvetica Neue, Helvetica, Arial, serifenlos; Schriftstärke: 400; Schriftstil: normal; Position: relativ; maximale Breite: 769px; Rand: 15px automatisch; Polsterung: 30px 30px 25px; Übergang: Box-Schatten .25s kubischer Bezier (.645, .045, .355, 1 ); Textausrichtung: Mitte; Hintergrundfarbe: #0d141d; Hintergrundwiederholung: keine Wiederholung; Hintergrundposition: 50%; Hintergrundgröße: Cover; Kastenschatten: 0 0 0 0 0 transparent; Hintergrundfarbe: #005bc8; Hintergrundbild: keine; Hintergrundposition: 0 0; } .s-ad-sophos-mdr__title { Schriftgröße: 2rem; Zeilenhöhe: 1.125; Rand unten: 4px; Farbe: #fff; } .s-ad-sophos-mdr__text { Schriftfamilie: SophosSansLight, Helvetica Neue, Helvetica, Arial, serifenlos; Schriftstärke: 400; Schriftstil: normal; Schriftgröße: 17px; Farbe: #fff; } .s-ad-sophos-mdr__action { margin-top: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { Textdekoration: keine; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { Position: absolut; oben: 15px; rechts: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; Breite: 64px; Höhe: 11px; vertikale Ausrichtung: oben; Hintergrundwiederholung: keine Wiederholung; Hintergrundgröße: 64px 11px; } .s-ad-sophos-mdr__title { Schriftfamilie: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, serifenlos; Schriftstärke: 400; Schriftstil: normal; Schriftgröße: 28px; Schriftstärke: 700; Zeilenhöhe: 1; Rand unten: 10px; Textausrichtung: links; } .s-ad-sophos-mdr__title svg {max-width: 100%; } .s-ad-sophos-mdr__text { Schriftgröße: 16px; Zeilenhöhe: 1.25; Textausrichtung: links; } .s-ad-sophos-mdr__action { Textausrichtung: rechts; } .s-ad-sophos-mdr .s-button { Border-Radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position: absolute; rechts: 30px; unten: 30px; } } @media (max-width:768px) { .s-ad-sophos-mdr { padding-top: 50px; } .s-ad-sophos-mdr__title { Schriftgröße: 1.625rem; } .s-ad-sophos-mdr__text { Schriftgröße: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Geld mit Drohungen verlangen

Bei Ransomware-Angriffen stehlen Cyberkriminelle heutzutage häufig zunächst Kopien Ihrer Trophäendaten, insbesondere einschließlich Mitarbeiter- und Kundendaten, und verschlüsseln dann Ihre Kopien derselben Dateien, wodurch Sie in ein doppeltes Cybersicherheitsdrama hineingequetscht werden.

Sie haben Ihre Dateien, in der Regel jede Menge Daten, die Sie geheim halten mussten und von denen Sie wahrscheinlich ganz offen versprochen hatten, dass sie Ihnen anvertraut werden könnten.

Aber Sie haben diese Dateien im eigentlichen Sinne nicht mehr.

Ironischerweise können Sie bei einem typischen Dateiverschlüsselungs-Ransomware-Angriff sehen, dass alle Ihre Dateien immer noch dort liegen, oft mit erhaltenen ursprünglichen Dateinamen, scheinbar genau dort in Klickweite, aber beim Versuch, sie zu öffnen, von keinem größeren Nutzen sind als ein digitaler Stapel davon zerkleinerter Kohl.

Aufgrund dieses Double-Play-Szenarios Ransomware ist heutzutage nicht ganz das richtige Wort, wenn man bedenkt, dass es sich bei einem Lösegeld um einen Betrag handelt, den man für die sichere Rückkehr einer Person oder Sache zahlt, die man zurückhaben möchte, sei es eine Entführung mittelalterlicher Monarch oder ein Haufen davon Datendateien des 21. Jahrhunderts.

Schließlich können sich die heutigen „Ransomware-Angriffe“ auf unterschiedliche Weise entfalten, darunter:

Tippe A. Ihre Dateien sind gesperrt und nur die Gauner haben den Entschlüsselungsschlüssel. Wenn Sie die Erpressungsgebühr zahlen, werden Ihnen die Betrüger (so heißt es zumindest) nicht nur den Schlüssel schicken, sondern auch darüber schweigen, was passiert ist, sodass Sie nicht zugeben müssen, dass Ihr vorübergehender Geschäftsausfall auf einen Cybereinbruch zurückzuführen ist. Wenn Sie die Zahlung verweigern, sind Sie auf sich allein gestellt. Unternehmen ohne einen praktikablen Disaster-Recovery-Plan könnten ihr Geschäft möglicherweise nie wieder in Gang bringen.
Typ B. Ihre Dateien werden kopiert und die Gauner haben sie alle. Bezahlen Sie die Erpressungsgebühr und sie werden die gestohlenen Daten löschen (so heißt es zumindest), um Sie vor Klagen wegen Datenschutzverletzungen durch Mitarbeiter und Kunden zu schützen, um zu verhindern, dass die Aufsichtsbehörden zu tief graben, und um Ihnen dabei zu helfen, Ihren Ruf intakt zu halten. Wenn Sie die Zahlung verweigern, geraten Sie in den Fokus der Öffentlichkeit und werden als eine Organisation entlarvt, der man nicht trauen kann.
Typ C. Beide der oben genannten.

Wie Sie sehen, können Angriffe vom Typ B auch dann durchgeführt werden, wenn es den Kriminellen nicht gelingt oder sie das Risiko eines Versuchs nicht eingehen wollen, in Ihr Netzwerk einzudringen und sich direkt Zugriff auf alle Dateien auf Ihren eigenen Laptops oder Desktops zu verschaffen und Server.

In der jüngsten MOVEit-AngriffeBeispielsweise erlangten Cyberkriminelle, die angeblich unter dem Banner der berüchtigten Clop-Ransomware-Bande arbeiteten, riesige Mengen privater Daten von zahlreichen hochkarätigen Organisationen, ohne diese Organisationen jedoch direkt zu verletzen.

Stattdessen gingen die Kriminellen gegen Drittdienstleistungsunternehmen wie Lohn- und Gehaltsabrechnungsdienstleister vor, die Kopien der Trophäendaten dieser Organisationen mithilfe des Datenverwaltungsprodukts eines Viertanbieters MOVEit Transfer und seines Online-Äquivalents MOVEit Cloud übertragen und gespeichert haben:

Und Angriffe vom Typ A können von Cyberkriminellen, die nicht riskieren wollen, entdeckt zu werden, wenn sie versuchen, große Datenmengen hochzuladen, schnell und direkt ausgeführt werden, ohne dass zuvor eine Datei-Exfiltration erforderlich ist.

Einige Betrüger verfolgen diesen Ansatz, da jeder unerwartete Anstieg des ausgehenden Netzwerkverkehrs ein beliebter Indikator für eine Kompromittierung (IoC) ist, auf den Unternehmen achten müssen.

Bei Ransomware-Angriffen vom Typ A müssen die Kriminellen überhaupt keinen ausgehenden Netzwerkverkehr erzeugen – nicht einmal, um die Kontrolle über die magischen Entschlüsselungsschlüssel für jeden Computer zu behalten.

Sie können, asymmetrisch verschlüsseln Diese Hauptschlüssel werden mithilfe eines öffentlichen Schlüssels, für den nur sie über den entsprechenden privaten Schlüssel verfügen, in Dateien umgewandelt, die auf jedem betroffenen Computer zurückbleiben.

Was ein öffentlicher Schlüssel gesperrt hat, kann durch diesen öffentlichen Schlüssel nicht entsperrt werden; Das kann nur der Inhaber des passenden privaten Schlüssels. (Stellen Sie sich ein unverschlossenes Vorhängeschloss vor: Jeder kann es schließen, aber nur die Person mit dem physischen Schlüssel kann es wieder öffnen.)

Somit sind die Hauptschlüsseldaten sofort sichtbar, für Sie jedoch ohne den erforderlichen privaten Schlüssel, den die Angreifer im Voraus offline erstellt haben, nutzlos.

Alles, was die Betrüger tun müssen, ist, eine Nachricht zu hinterlassen, die Ihnen sagt, wie Sie mit ihnen in Kontakt treten können, um mit den „Verhandlungen“ über den Kauf des privaten Schlüssels von ihnen zu beginnen.

Wann ist ein Ransomware-Angriff ein meldepflichtiger Verstoß?

Eine Sache, die nie offensichtlich war, ist die Art und Weise, wie sich Ransomware-Angriffe und bestehende Vorschriften zu Datenschutzverletzungen überschneiden.

Wenn Sie von einem Typ-A-Angriff betroffen sind, es aber keine Beweise dafür gibt, dass unverschlüsselte Daten herausgefiltert wurden, Sie über Nacht erfolgreich aus Backups wiederherstellen und Ihr Unternehmen schnell wieder auf Kurs kommen …

…sollten Sie gezwungen sein, es jemandem zu sagen, und wenn ja, welche anderen Arten und Ausmaße von Malware-Infektionen oder Datenbeschädigungen sollten ebenfalls gemeldet werden?

Wenn Sie von einem Typ-B-Angriff betroffen sind und die Betrüger umgehend entlohnt haben, neigen Sie dazu zu glauben, dass sie die Daten tatsächlich gelöscht haben, sodass sie sie nicht mehr weitergeben können …

…können Sie es vernünftigerweise als keinen Verstoß bezeichnen, da die Daten offenbar von den Angreifern „unverletzt“ waren und somit letztendlich kein Schaden angerichtet wurde?

In der Tat, wenn Sie aus irgendeinem Grund eine Gebühr für Cybererpressung zahlen ...

…sollten Sie dies in jedem Fall offenlegen, auch wenn das Strafrecht dies nicht vorschreibt?

Leider, aber verständlich, wenn man bedenkt, dass es sich hierbei um eine Erstankündigung der SEC handelt Pressemitteilung geht nicht so ins Detail.

Stattdessen heißt es lediglich, dass diejenigen, die in seinen Zuständigkeitsbereich fallen, als bezeichnet werden Registranten, sind:

[…verpflichtet], wesentliche Cybersicherheitsvorfälle offenzulegen, von denen sie betroffen sind, und jährlich wesentliche Informationen über ihr Cybersicherheitsrisikomanagement, ihre Strategie und ihre Governance offenzulegen.

Die neuen Regeln erfordern, dass Registranten […] jeden Cybersicherheitsvorfall offenlegen, den sie als wesentlich erachten, und die wesentlichen Aspekte der Art, des Umfangs und des Zeitpunkts des Vorfalls sowie seine wesentlichen Auswirkungen oder einigermaßen wahrscheinlichen wesentlichen Auswirkungen auf den Registranten beschreiben.

[Die Offenlegung] ist in der Regel vier Werktage, nachdem ein Registrant feststellt, dass ein Cybersicherheitsvorfall wesentlich ist, fällig.

Die Offenlegung kann sich verzögern, wenn der Generalstaatsanwalt der Vereinigten Staaten feststellt, dass eine sofortige Offenlegung ein erhebliches Risiko für die nationale oder öffentliche Sicherheit darstellen würde, und der Kommission diese Feststellung schriftlich mitteilt.

Sollte es beispielsweise als „wesentliche Auswirkung“ angesehen werden, Cyber-Erpresser vom Typ B auszuzahlen, weil man nie wirklich sicher sein kann, dass die Gauner nicht zurückkommen, um mehr zu verlangen, oder dass die Daten, die sie gestohlen haben, nicht von jemand anderem gestohlen wurden, während sie es tun Hatten Sie unbefugten Zugriff darauf?

Sollte es als „wesentliche Auswirkung“ angesehen werden, von Ransomare-Kriminellen des Typs A angegriffen zu werden, und wenn ja, welche Richtlinien sollten für das Ausmaß des Angriffs gelten?

Wie viele Computer müssten beispielsweise in einem Unternehmen mit einem Netzwerk von 100 Computern im Verlauf eines einzigen Ransomware-Vorfalls verschlüsselt werden, damit davon ausgegangen werden kann, dass der Angriff das Unternehmen mehr als nur den Nebeneffekten ausgesetzt hat? einige beschädigte Dateien?

Sagen Sie Ihre Meinung in den Kommentaren unten…