Nos últimos ano, vimos o ex-diretor de segurança da Uber ser condenado em um tribunal federal por lidar incorretamente com uma violação de dados, um regulador federal acusar o chefe de segurança da SolarWinds de supostamente enganar investidores antes de seu próprio ataque cibernético e novas regulamentações que obrigam as empresas a revelar publicamente dados materialmente impactantes violações dentro de quatro dias úteis.

Pode parecer que nunca foi um momento tão arriscado para trabalhar com segurança cibernética.

Mas a conclusão de um painel na conferência de hackers ShmooCon em Washington DC, no domingo, é que aqueles que trabalham em segurança cibernética não se afastem dos desafios.

Agora em seu penúltimo ano, a ShmooCon reúne hackers, pesquisadores, funcionários do governo e executivos de segurança cibernética para discutir algumas das questões mais urgentes que a comunidade de segurança enfrenta. Um tema comum ouvido entre os participantes este ano é a natureza cada vez mais arriscada de trabalhar na própria indústria de segurança cibernética. A comunidade da infosec não é estranha aos riscos legais – talvez um subproduto inerente ao trabalho no terreno – mas está a tornar-se mais consciente da crescente supervisão legal e das consequências que acompanham o trabalho.

Liderando a discussão, a advogada de startups Elizabeth Wharton, a ex-promotora da SEC Danette Edwards e a investidora em tecnologia Cyndi Gula compartilharam suas perspectivas e previsões em um painel que explorou como os riscos da responsabilidade cibernética estão mudando desde os cargos de nível júnior até os executivos. suíte.

No ano passado, foram introduzidas as novas regras de relatórios cibernéticos da SEC que agora exigem que as empresas divulguem incidentes de segurança “materiais” em arquivos públicos 8-K no prazo de quatro dias úteis. As regras entraram em vigor em dezembro e já resultaram numa enxurrada de empresas apresentando novas divulgações de violação de dados à SEC, à medida que as empresas descobrem o que significa impacto “material”. Ele também viu o primeiro caso de uma gangue de ransomware usando as regras para criticar a própria empresa que invadiu por não entrar com ações junto aos reguladores.

“Veremos muitos relatórios iniciais 8-K e, em seguida, provavelmente vários relatórios relatando os mesmos hacks cibernéticos”, disse Edwards, agora advogado de defesa e sócio do escritório de advocacia Katten, falando na ShmooCon.

Wharton, fundador da Silver Key Strategies e que anteriormente atuou na equipe de resposta a incidentes de ransomware de Atlanta, disse que os incidentes cibernéticos podem mudar a cada hora e podem exigir divulgações subsequentes.

“Quando você está lidando com um incidente e ainda está imerso na resposta quatro dias depois, você identificou: ‘ah, droga, nossa lixeira está pegando fogo!’ mas você ainda nem descobriu quais materiais estão necessariamente na lixeira enquanto ela está queimando – e você precisa começar a reportar”, disse Wharton “Sabendo que, à medida que as coisas vão e vêm, as empresas públicas terão que atualizar (aquelas divulgações).”

O outro lado da transparência associada ao trabalho remoto é que mais coisas do que nunca são escritas, registradas ou salvas e documentadas de outra forma. Isso pode ser uma bênção para os investigadores e uma dor de cabeça para as empresas.

“Presumo que todos os e-mails serão lidos por sua mãe ou em um depoimento, ou… em uma reclamação da SEC, e isso está mudando o discurso do refrigerador”, disse Wharton. “Como não estamos necessariamente em escritórios, é importante garantir que você não esteja necessariamente colocando isso por escrito e que o contexto se perca no meme que você envia aos seus colegas porque achou hilário.”

“E os reguladores nem sempre têm um grande senso de humor”, disse Edwards.

“A cultura é parte integrante de uma organização – especificamente no que fazemos – porque temos muita confiança”, disse Gula, sócio-gerente da Gula Tech Adventures. “As empresas terão dificuldade em trazer essa cultura com a visão de que tudo o que fizerem estará sob escrutínio.”

As novas regras de comunicação de cibersegurança não só estão a colocar as empresas e os seus incidentes de dados sob os holofotes do público, como as recentes medidas de fiscalização federais mostram que os executivos da cibersegurança também estão a assumir parte da responsabilidade.

Em outubro, a SEC apresentou acusações contra o CISO da SolarWinds, Timothy Brown, por supostamente enganar os investidores sobre a segurança da empresa antes de um ataque cibernético lançado contra a empresa por espiões russos em 2019. Muitas das acusações da SEC decorrem de comentários que Brown supostamente compartilhou internamente.

“Também temos ouvido muitas pessoas não quererem (ser CISO) por causa desse descuido e por causa de todas essas armadilhas que você nem sabe que estão à frente do tempo”, disse Gula, que atua como membro do conselho de múltiplas startups. “Por favor, não se afaste dessa posição. Por favor, avance e faça isso.

Seguindo esse conselho, Gula disse que a documentação também pode ajudar. Quando os executivos precisam efetuar mudanças, corrigir falhas ou melhorar o treinamento em segurança cibernética, mas têm planos ou orçamentos negados, pergunte: “Posso fazer isso por escrito?” Acrescentando: “Tudo o que você puder fazer para tirar o Olho de Sauron de você, para que possa continuar jogando o anel no fogo para apagar tudo o que precisa fazer – isso é importante.”

Zack Whittaker reportando da ShmooCon em Washington DC.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *