closeup of hands on keyboard

W jaki sposób ujawnianie informacji o ryzyku cybernetycznym i nadzór nad nim zmieniły się w 2021 r. ?


Zwiększenie ilości ujawnień na temat bezpieczeństwa cybernetycznego pomaga interesariuszom i inwestorom zrozumieć, w jaki sposób zarządzać ryzykiem z tym związanym.



W skrócie:

  • Ryzyko cybernetyczne nasiliło się, ponieważ pandemia zmusiła wiele firm do ominięcia części kontroli z tym związanej i wdrożenia nowych technologii umożliwiających pracę zdalną. Zwiększenie ilości ujawnianych informacji na ten temat może pomóc inwestorom i innym interesariuszom lepiej zrozumieć skuteczność zarządzania ryzykiem w tym zakresie. Po ostatnich incydentach cybernetycznych, rząd federalny coraz bardziej koncentruje się na tym, w jaki sposób organizacje zapobiegają i reagują na tego typu ataki.


Publiczne ujawnianie informacji na temat zarządzania bezpieczeństwem cybernetycznym oraz ryzykiem z tym związanym pomaga budować zaufanie interesariuszy poprzez zapewnienie przejrzystości w zakresie wypełniania przez zarządy obowiązków związanych ze sprawowanym  nadzoremw tym zakresie . Zdobycie zaufania inwestorów i innych interesariuszy poprzez rzetelne zarządzanie bezpieczeństwem cybernetycznym i ujawnianie informacji na ten temat ma szczególnie dziś kluczowe znaczenie.

Wraz ze wzrostem liczby ataków cybernetycznych, nasilają się również zagrożenia i incydenty, co powoduje, że firmy znajdują się pod większą niż kiedykolwiek presją. Według EY Global Information Security Survey 2021, 81% menadżerów twierdzi, że pandemia COVID-19 zmusiła organizacje do pominięcia pewnych procesów lub etapów kontroli w zakresie bezpieczeństwa cybernetycznego. W tym samym okresie wiele organizacji wdrażało nowe technologie skierowane do klientów oraz narzędzia oparte na chmurze, aby umożliwić pracę zdalną i zachować otwarte kanały dystrybucji. Podmioty stanowiące zagrożenie również wspięły się nowy poziom zaawansowania, a głośne ataki cybernetyczne nieustannie pokazują jak ważne jest bezpieczeństwo cybernetyczne dla organizacji na całym świecie.

Aby skutecznie nadzorować rosnące ryzyko związane z bezpieczeństwem cybernetycznym, zarządy powinny podkreślać znaczenie tego problemu w kontekście zarządzania ryzykiem. Zarządy firm mogą również zachęcać do szerszego ujawniania informacji, co zapewni inwestorów i innym interesariuszy o rygorystyczności nadzoru oraz stosowaniu istotnych praktyk ograniczania ryzyka cybernetycznego i reagowania na nie.

Czwarty rok z rzędu zespół EY Center for Board Matters przeanalizował informacje związane z bezpieczeństwem cybernetycznym zawarte w oświadczeniach proxy i formularzach 10-K firm z listy Fortune 100, aby zidentyfikować pojawiające się trendy i zmiany oraz pomóc firmom w określeniu możliwości poprawy komunikacji. Przyjrzeliśmy się 77 firmom z listy Fortune 100, które złożyły te dokumenty w okresie od 2018 roku do 31 maja 2021 roku.

Skupiliśmy się na obszarach nadzoru zarządu w zakresie cyberbezpieczeństwa (w tym nadzoru nad komitetami na poziomie zarządu, kwalifikacji dyrektorów i raportowania kierownictwa do zarządu), oświadczeniach dotyczących ryzyka związanego z cyberbezpieczeństwem i prywatnością danych oraz zarządzania ryzykiem (w tym ograniczania ryzyka związanego z cyberbezpieczeństwem i wysiłkach w zakresie reagowania oraz zaangażowania zewnętrznych konsultantów ds. bezpieczeństwa).  Przyjrzeliśmy się również aktualnym regulacjom prawnym i polityce publicznej USA związanej z bezpieczeństwem cybernetycznym, a także opiniom dyrektorów i specjalistów EY w tej dziedzinie.

Ujawnienia dotyczące cyberbezpieczeństwa.  Co udało nam się ustalić?

Wiele spółek rozszerza zakres ujawnianych informacji na temat bezpieczeństwa cybernetycznego związanych z określeniem umiejętności i doświadczenia dyrektorów oraz wglądem w raporty kierownictwa składane zarządowi. Z czasem odnotowano również znaczny wzrost ujawnień związanych z przydzielaniem nadzoru nad komitetami na poziomie zarządu oraz omawianiem kwestii edukacji i szkoleń pracowników oraz ubezpieczeń dotyczących bezpieczeństwa cybernetycznego.

Obserwujemy również umiarkowany wzrost liczby firm ujawniających dostosowanie swojego programu bezpieczeństwa cybernetycznego i praktyk w zakresie bezpieczeństwa informacji do zewnętrznych ram oraz uwzględnienie faktu sprawowanego nadzoru w tym zakresie w wynagrodzeniach kadry kierowniczej. Nadal widzimy jednak możliwości szerszego ujawniania przez firmy praktyk, które są powszechne na rynku i mają kluczowe znaczenie dla zwiększenia odporności na zagrożenia cybernetyczne. Obejmuje to współpracę z innymi firmami, grupami branżowymi oraz decydentami, a także stosowanie symulacji gotowości cybernetycznej i korzystanie z zewnętrznych ekspertyz.  


Ujawnienia dotyczące cyberbezpieczeństwa przez firmy z listy Fortune 100, 2018-21


Identyfikacja umiejętności i doświadczenia dyrektorów

Najbardziej znaczącą zmianą w zakresie ujawniania informacji, jaką zaobserwowaliśmy w ciągu czterech lat jest ewolucja dotycząca wiedzy specjalistycznej w zakresie bezpieczeństwa cybernetycznego posiadanej przez członków zarządu. W 2021 roku 65% z nich ujawniło cyberbezpieczeństwo jako obszar wiedzy specjalistycznej poszukiwanej w zarządzie lub cytowanej w biografii dyrektora, w porównaniu z 36% w 2018 roku. Co więcej, większość (56%) wymienia obecnie bezpieczeństwo cybernetyczne w co najmniej jednym biogramie dyrektora, w porównaniu z 44% w zeszłym roku i 27% w 2018 roku.

Bliższe spojrzenie na te zmiany w ciągu ostatniego roku pokazuje, że w przypadku większości firm, które dodały doświadczenie w zakresie cyberbezpieczeństwa w biografii dyrektora, zmiana ta jest związana z dołączeniem nowego dyrektora do zarządu. Wśród nowo zatrudnionych  są byli dyrektorzy generalni ds. informacji i dyrektorzy ds. technologii informacyjnych (IT), szef firmy zajmującej się bezpieczeństwem cybernetycznym oraz były pracownik rządu USA. W przypadku kilku spółek nastąpiła zmiana w sposobie ujawniania informacji.  Przez rok spółki wyraźnie podawały w biografiach niektórych dyrektorów doświadczenie w zakresie bezpieczeństwa cybernetycznego, a w innym nie. W jednym przypadku dotyczyło to dyrektora, który ukończył szkolenie w zakresie nadzoru nad bezpieczeństwem cybernetycznym. Ujawnione informacje wskazują, że firmy zwracają większą uwagę na podawanie doświadczenia lub wiedzy dyrektora w tej dziedzinie .

Sprawozdania kierownictwa składane zarządowi

Kolejny obszar, w którym wraz z upływem czasu obserwujemy poprawę ujawniania informacji dotyczy raportowania kierownictwa wobec zarządu firmy. W tym roku nieco ponad dwie trzecie (69%) spółek przedstawiło wgląd w raporty składane zarządowi lub komitetowi nadzorującemu sprawy cyberbezpieczeństwa. Stanowi to wzrost w porównaniu z 58% w 2018 r.

Chociaż ta tendencja jest godna uwagi, prawdziwą zmianę obserwujemy wokół konkretnych informacji, jakie firmy przekazują w tym obszarze. W 2021 r. 44% firm wskazało co najmniej jedną osobę, która składa zarządowi raporty dotyczące cyberbezpieczeństwa i najczęściej jest to dyrektor ds. bezpieczeństwa informacji (CISO) lub dyrektor ds. informacji (CIO). Stanowi to wzrost z 26% w 2018 roku. Podobnie, w tym roku 34% firm ujawniło, że kierownictwo składa zarządowi raporty na temat cyberbezpieczeństwa co najmniej raz w roku lub raz na kwartał. Stanowi to wzrost z 13% w 2018 r. Wiele innych spółek zawiera w ujawnieniach sformułowania dotyczące częstotliwości raportowania kierownictwa, ale zazwyczaj nie są one szczegółowe, twierdząc na przykład, że zarząd otrzymuje raporty regularnie lub okresowo. Dodanie konkretów w tym obszarze ujawniania informacji może pomóc interesariuszom zorientować się, że zarząd angażuje się w kontakty z CIO lub CISO z odpowiednią częstotliwością w celu prowadzenia nadzoru. Chociaż CIO lub CISO zazwyczaj rutynowo informują zarząd o swoich działaniach, wielu dyrektorów wskazuje, że celowo poruszają kwestię ryzyka cybernetycznego w kontaktach z innymi członkami kierownictwa. Postępując w ten sposób, dyrektorzy zwracają uwagę natarcia w zarządzie, a także pokazują, że cyberbezpieczeństwo jest postrzegane jako ryzyko korporacyjne, a nie tylko ryzyko informatyczne.

Nadzór nad komitetami na poziomie zarządu

W tym roku dziewięćdziesiąt procent firm obciążyło obowiązkami co najmniej jeden komitet na poziomie zarządu nadzorem nad bezpieczeństwem cybernetycznym, w porównaniu z 87% w zeszłym roku i 75% w 2018 roku. Komitety ds. audytu pozostają głównym wyborem w zakresie wypełniania tych obowiązków. W tym roku 68% zarządów powierzyło nadzór nad bezpieczeństwem cybernetycznym komitetowi ds. audytu, w porównaniu z 58% w 2018 roku. Wśród zarządów przypisujących komitetowi ds. audytu obowiązki związane z nadzorem nad bezpieczeństwem cybernetycznym, tylko około dwie trzecie (65%) sformalizowało te obowiązki w statucie komitetu. 

Od 2018 r. zaobserwowaliśmy znaczący wzrost liczby zarządów przypisujących nadzór nad bezpieczeństwem cybernetycznym komitetom niezwiązanym z audytem, najczęściej komitetom ds. ryzyka lub technologii. Konkretnie, w tym roku 30% zarządów przypisało obowiązki związane z cyberbezpieczeństwem do komitetu niezwiązanego z audytem, w porównaniu z 19% w 2018 roku. Wśród zarządów przypisujących takie obowiązki komitetom niezwiązanym z audytem, wszystkie kompetencje w tym zakresie są uwzględnione w statucie.

Dostosowanie do zewnętrznych ram lub standardów

W tym roku liczba firm, które ujawniły dostosowanie swojego programu cyberbezpieczeństwa i praktyk w zakresie bezpieczeństwa informacji do zewnętrznych procesów bezpieczeństwa lub ram kontroli, wzrosła do 10%, w porównaniu z 1% w 2018 r. Najczęściej wymieniano ramę cyberbezpieczeństwa Narodowego Instytutu Standaryzacji i Technologii (NIST), na którą powoływało się 6% firm. Inne cytowane ramy bezpieczeństwa informacji lub standardy raportowania obejmują Międzynarodową Organizację Normalizacyjną (ISO) 27001 (3%), NIST 800-53 (3%) i inne. Ponadto, kilka firm ujawniło, że niektóre części ich kontroli bezpieczeństwa cybernetycznego zostały objęte systemem kontroli organizacji usługowych American Institute of Certified Public Accountants (AICPA): Trust Services Criteria (SOC 2) (1%).


Institutional Shareholder Services Inc. dodaje czynniki ryzyka cybernetycznego do swojej metodologii Governance QualityScore

W lutym 2021 r. firma Institutional Shareholder Services Inc. (ISS) ogłosiła zmiany metodologiczne w swoim rozwiązaniu ratingowym Governance QualityScore, w tym dodanie 11 nowych czynników dotyczących nadzoru i zarządzania ryzykiem w zakresie bezpieczeństwa informacji.

Czynniki te odnoszą się do:

  • Liczby dyrektorów z doświadczeniem w zakresie bezpieczeństwa informacji w składzie zarządu.
  • Częstotliwości informowania zarządu przez kierownictwo wyższego szczebla o sprawach związanych z bezpieczeństwem informacji
  • Podejścia firmy do identyfikowania i ograniczania ryzyka związanego z bezpieczeństwem informacji
  • Tego, czy firma jest poddawana audytowi zewnętrznemu lub posiada certyfikat zgodności z najwyższymi standardami bezpieczeństwa informacji
  • Faktu posiadania polisy ubezpieczeniowej od ryzyka cybernetycznego
  • Istnienia i wpływu ostatnich naruszeń bezpieczeństwa i wiele innych¹.

Wiele z nowych czynników, których rozważenie ogłosiła ISS, odpowiada zwiększeniu ilości ujawnień, które obserwujemy w tegorocznych oświadczeniach proxy i formularzach 10-K, w tym ujawnień związanych z kwalifikacjami i doświadczeniem dyrektorów, raportowaniem kierownictwa do zarządu oraz stosowaniem zewnętrznych standardów lub ram bezpieczeństwa. Spodziewamy się, że zmiana ISS będzie jednym z wielu czynników wpływających na ciągłe postępy w ujawnianiu informacji na temat cyberprzestrzeni w firmach, w tym na poprawę jakości ujawnianych informacji przez większą liczbę firm, a tym samym podniesienie standardów wśród pozostałych przedsiębiorstw.



Zachęty w zakresie wynagrodzeń

W tym roku zaobserwowaliśmy również wciąż skromny wzrost liczby firm uwzględniających cyberbezpieczeństwo lub kwestie prywatności w rozważaniach dotyczących wynagrodzeń kadry menedżerskiej. Postąpiło tak 12 proc. firm, w porównaniu z 8 proc. w ubiegłym roku, 3 proc. w 2019 r. i 1 proc. w 2018 r. Firmy te zazwyczaj wymieniały względy związane z cyberbezpieczeństwem (np. zwiększenie bezpieczeństwa cybernetycznego i ochrony prywatności firmy, kierowanie zespołami ds. bezpieczeństwa cybernetycznego w zakresie nawigacji w celu przejścia na pracę zdalną) wśród wielu innych niefinansowych czynników związanych z wynikami firmy lub poszczególnych dyrektorów wykonawczych w swoich decyzjach dotyczących wynagrodzenia kadry kierowniczej.

Symulacje gotowości do reagowania i treningi symulacyjne

W tym roku odsetek firm, które ujawniły, że przeprowadziły symulacje incydentów cybernetycznych lub treningi symulacyjne pozostał w dużej mierze taki sam. Spośród kilku firm, które poinformowały, że symulacje, próby lub ćwiczenia symulacyjne były przeprowadzane na poziomie kierownictwa, żadna nie ujawniła, czy zarząd był zaangażowany w te zajęcia.

Symulacje są kluczową praktyką gotowości na ryzyko, którą specjaliści EY i inni uważają, że firmy powinny traktować priorytetowo. Nawet najbardziej solidny program bezpieczeństwa cybernetycznego nigdy nie wyeliminuje całkowicie ryzyka wystąpienia istotnego incydentu wymagającego zaangażowania zarządu. Jeżeli plany nie są przećwiczone i dojdzie do naruszenia procedur, reakcja zarządu i kierownictwa będzie w dużej mierze improwizowana. Dobrze zaprojektowane symulacje i treningi mogą przetestować organizację i zwiększyć jej gotowość, zapewniając jasność ról, protokołów i procesów eskalacji. Należy również ustalić zasady dotyczące oprogramowania ransomware, w tym to, czy firma i zarząd będą zatwierdzać płatności i w jakich okolicznościach. Zarząd powinien przeprowadzać takie ćwiczenia w celu sprawdzenia istotnych słabych punktów firmy i określenia, gdzie w grę wchodzą największe implikacje finansowe. Zarządy powinny rozważyć uczestnictwo w tych symulacjach, aby ich spostrzeżenia i doświadczenia mogły zostać wykorzystane do zwiększenia zdolności firmy do reagowania i odzyskiwania strat.

Co więcej, takie ćwiczenia pomagają firmom opracować i przećwiczyć plany działania związane z kwestiami prywatności danych. Naruszenia cybernetyczne mogą - i często prowadzą - do utraty danych osobowych. Takie zdarzenia wymagają zgodności z wieloma złożonymi przepisami prawa stanowego i federalnego (z których wszystkie wymagają szybkiego powiadomienia państw, organów regulacyjnych i osób poszkodowanych) i mogą wymagać zgodności z przepisami prawa jurysdykcji innych niż amerykańska. Praktyka jest kluczem do zapewnienia przygotowania i skutecznego reagowania.

Korzystanie z usług zewnętrznego niezależnego doradcy

Odsetek spółek ujawniających korzystanie z usług zewnętrznego, niezależnego doradcy wspierającego zarząd wzrósł w tym roku z 17% do 22%. Spośród 17 firm, które ujawniły takie informacje w 2021 roku, tylko pięć wskazało, że zarząd otrzymuje raporty od niezależnej strony trzeciej. National Association of Corporate Directors (NACD) i Internet Security Alliance's Cyber-Risk Oversight: Key Principles and Practical Guidance for Corporate Boards zachęcają członków zarządów do rozważenia możliwości otrzymywania od niezależnych ekspertów zewnętrznych raportów potwierdzających, czy program zarządzania ryzykiem cyberbezpieczeństwa w firmie spełnia swoje cele. Istnieje duża różnorodność w zakresie tego, co wchodzi w skład oceny przeprowadzanej przez stronę trzecią - od prostej oceny obejmującej jedynie badanie niektórych segmentów działalności, do bardziej rygorystycznej oceny całej firmy, która obejmuje znaczną ilość weryfikacji i testów. Podczas gdy nasze badania wykazały, że kilka firm korzysta z audytów (tj. audytów wewnętrznych lub przeprowadzanych przez stronę trzecią) w celu potwierdzenia pewnych aspektów bezpieczeństwa informacji lub pewnych aspektów bezpieczeństwa cybernetycznego, nie zidentyfikowaliśmy żadnej wyraźnej dyskusji na temat tego, czy opinia atestacyjna została uzyskana przy użyciu ram AICPA System and Organization Controls for Cybersecurity, które przewidują niezależną ocenę programu zarządzania ryzykiem cybernetycznym firmy w skali całej jednostki.

Ujawnianie informacji o incydentach cybernetycznych

Ujawnianie informacji o istotnych incydentach związanych z bezpieczeństwem cybernetycznym spadło z 12% w zeszłym roku do 9% w tym roku. W 2021 r. tylko siedem spółek ujawniło incydenty cybernetyczne, przy czym każda spółka ujawniła jeden przypadek. Najnowszy ujawniony incydent miał miejsce w 2019 r., a pozostałe nawet w 2006 r. Szczegółowość ujawnionych informacji była zróżnicowana. Ujawnienia wahały się od stwierdzenia, że incydent miał miejsce, do zapewnienia bardziej dogłębnego sprawozdania, w tym liczby dotkniętych posiadaczy kont, charakteru danych, kosztów i kompensacji ubezpieczeniowych oraz kroków zaradczych podjętych w celu usunięcia luki w zabezpieczeniach.

Ostatni raport Audit Analytics, Trends in Cybersecurity Breaches, analizujący naruszenia bezpieczeństwa cybernetycznego dotykające spółki publiczne w latach 2011-2020, wykazał, że liczba zgłoszonych incydentów wzrosła do 144 w 2019 r., z zaledwie 28 w 2011 r., i spadła do 117 w 2020 r. W raporcie zauważono, że rok 2020 nadal był trzecim pod względem liczby ujawnień naruszeń cybernetycznych w historii.

Przykładowe sformułowania z prospektów emisyjnych spółek z listy Fortune 100 w 2021 roku



Przykładowe sformułowania z prospektów emisyjnych spółek z listy Fortune 100 w 2021 roku

Struktura i częstotliwość raportowania kierownictwa

" Komitet ds. Ryzyka, w ramach swojego programu regularnego nadzoru, jest odpowiedzialny za nadzorowanie ryzyka cybernetycznego, bezpieczeństwa informacji i ryzyka technologicznego, w tym działań kierownictwa w zakresie identyfikacji, oceny, ograniczania i eliminacji istotnych problemów i ryzyk cybernetycznych. Komitet ds. Ryzyka otrzymuje kwartalne raporty od Dyrektora ds. Bezpieczeństwa Informacji i Dyrektora ds. Ryzyka Technologicznego dotyczące profilu ryzyka technologicznego i cybernetycznego firmy, programu cybernetycznego przedsiębiorstwa oraz kluczowych inicjatyw cybernetycznych. Komitet corocznie dokonuje przeglądu i rekomenduje zarządowi do zatwierdzenia politykę bezpieczeństwa informacji firmy oraz program bezpieczeństwa informacji. Przynajmniej raz w roku zarząd dokonuje przeglądu i omawia strategię technologiczną firmy z dyrektorem ds. informacji i zatwierdza plan strategiczny w zakresie technologii. Ponadto, Komitet ds. Ryzyka uczestniczy w kwartalnych sesjach edukacyjnych dotyczących cyberbezpieczeństwa.”

Gotowość do reagowania i ćwiczenia symulacyjne

"Mamy solidny Plan Reagowania na Sytuacje Kryzysowe w Cyberprzestrzeni, który zapewnia udokumentowane ramy postępowania w przypadku poważnych incydentów bezpieczeństwa i ułatwia koordynację działań w wielu działach firmy. Wdrażamy strategię ‚dogłębnej obrony (defense-in-depth)’, obejmującą wiele warstw kontroli, w tym wbudowanie zabezpieczeń w nasze inwestycje technologiczne. Inwestujemy w informacje o zagrożeniach i aktywnie uczestniczymy w forach branżowych i rządowych w celu poprawy ochrony cybernetycznej sektora. Współpracujemy z naszymi kolegami w zakresie wywiadu o zagrożeniach, zarządzania podatnościami, reagowania i ćwiczeń. Rutynowo przeprowadzamy symulacje i ćwiczenia zarówno na poziomie technicznym, jak i zarządczym. We wszystkich aspektach naszego programu uwzględniamy zewnętrzną wiedzę i przeglądy.”

Korzystanie z usług zewnętrznego niezależnego doradcy i zaangażowanie zarządu

"Najlepsze praktyki obejmują: korzystanie z usług doradcy ds. bezpieczeństwa cybernetycznego, który zapewnia obiektywną ocenę możliwości firmy oraz przeprowadza zaawansowane symulacje ataków. Nieustannie zwiększamy możliwości w zakresie bezpieczeństwa informacji, aby chronić się przed pojawiającymi się zagrożeniami, jednocześnie zwiększając zdolność do wykrywania kompromitacji systemu i odzyskiwania danych w przypadku ataku cybernetycznego lub nieautoryzowanego dostępu. Program bezpieczeństwa cybernetycznego jest regularnie sprawdzany i testowany przez dział audytu wewnętrznego spółki, a kwartalne raporty o stanie jego realizacji są przekazywane komitetowi ds. audytu i całemu Zarządowi. Komitet ds. audytu otrzymuje półroczne raporty od swojego niezależnego doradcy ds. bezpieczeństwa cybernetycznego.

Dostosowanie do zewnętrznych ram lub standardów

"Ustrukturyzowaliśmy nasz formalny program cyberbezpieczeństwa wokół Narodowego Instytutu Standaryzacji i Technologii, czyli NIST, Ram Bezpieczeństwa Cybernetycznego, wymagań kontraktowych i innych globalnych standardów. Wykorzystujemy stowarzyszenia branżowe i rządowe, porównawcze analizy stron trzecich, audyty i źródła informacji o zagrożeniach, aby zapewnić skuteczność naszych funkcji i proaktywną alokację zasobów.”



Nasze obserwacje rynku w zakresie cyberbezpieczeństwa

Specjaliści EY regularnie współpracują z zarządami i organizują spotkania dyrektorów i ekspertów ds. cyberbezpieczeństwa w celu omówienia wyzwań i wiodących praktyk w zakresie nadzorowania ryzyka cyberbezpieczeństwa. Obejmuje to serię dialogów z dyrektorami, w których uczestniczyło ponad 500 dyrektorów. W oparciu o spostrzeżenia uzyskane podczas tych spotkań z dyrektorami, a także na podstawie działań specjalistów ds. bezpieczeństwa cybernetycznego EY na całym świecie, w różnych branżach i firmach różnej wielkości, zidentyfikowaliśmy następujące wiodące praktyki zarządów:

  • Nadaj ton. Uznaj bezpieczeństwo cybernetyczne za kluczową kwestię we wszystkich sprawach dotyczących zarządu.
  • Zachowaj czujność. Zwracaj uwagę na nowe problemy i zagrożenia wynikające z pracy zdalnej i rozwoju transformacji cyfrowej.
  • Określ wartość narażoną na ryzyko. Uzgodnij wartości ryzyka w dolarach względem ryzyka dopuszczalnego przez zarząd, w tym skuteczności ochrony ubezpieczeniowej w zakresie cyberbezpieczeństwa.
  • Wdrażaj bezpieczeństwo od samego początku. Przyjmij filozofię "trust by design" przy projektowaniu nowych technologii, produktów i umów biznesowych.
  • Niezależna ocena programu zarządzania ryzykiem w zakresie bezpieczeństwa cybernetycznego. Uzyskaj aktualną i rygorystyczną ocenę programu zarządzania ryzykiem cyberbezpieczeństwa od strony trzeciej, z bezpośrednią informacją zwrotną przedstawioną zarządowi.
  • Zrozum protokoły eskalacji - uwzględnij zdefiniowany plan komunikacji określający szczegółowo, kiedy zarząd powinien zostać powiadomiony, w tym w przypadku incydentów typu ransomware.
  • Zarządzaj ryzykiem stron trzecich - zrozum procesy stosowane przez zarząd w celu identyfikacji, oceny i zarządzania ryzykiem związanym z dostawcami usług i łańcuchem dostaw.
  • Testuj reagowanie i przywracanie stanu pierwotnego. Zwiększaj odporność przedsiębiorstwa, przeprowadzając rygorystyczne symulacje, w tym przywracanie kopii zapasowych poza siedzibą firmy, testowanie czasu odzyskiwania danych oraz ustalanie protokołów z zewnętrznymi specjalistami przed wystąpieniem sytuacji kryzysowej.
  • Monitoruj zmieniające się praktyki oraz otoczenie regulacyjne i politykę publiczną. Bądź na bieżąco ze zmieniającymi się praktykami nadzoru, ujawnianiem informacji, strukturami raportowania, metrykami oraz zmianami w zakresie regulacji i polityki publicznej.

Środowisko polityki publicznej w USA

W następstwie incydentów związanych z bezpieczeństwem cybernetycznym SolarWinds i Colonial Pipeline, administracja Bidena i Kongres zwiększyły nacisk rządu federalnego na sposoby zapobiegania i reagowania na ataki cybernetyczne. Chociaż odbyły się liczne przesłuchania kongresowe i wprowadzono odpowiednie przepisy, nie jest jasne, czy nowe ustawy zostaną uchwalone. W pierwszym roku prezydentury Bidena administracja podjęła jednak kilka istotnych działań wykonawczych. Komisja Papierów Wartościowych i Giełd (SEC) również podejmuje działania w zakresie bezpieczeństwa cybernetycznego, w tym oczekuje się propozycji przepisów dotyczących ujawniania informacji na temat ryzyka związanego z bezpieczeństwem cybernetycznym, a poszczególne stany wprowadzają liczne przepisy dotyczące tego zagadnienia.


Administracja Bidena

Prezydent Biden podpisał 12 maja rozporządzenie wykonawcze (EO), którego celem jest usunięcie barier w wymianie informacji między sektorem rządowym i prywatnym, aby umożliwić dostawcom usług informatycznych i technologii operacyjnych zgłaszanie naruszeń bez obawy o konsekwencje prawne. EO zachęca do wprowadzenia nowych standardowych zapisów w umowach, które wymagają, aby niektórzy kontrahenci rządowi świadczący usługi w zakresie technologii informacyjno-komunikacyjnych gromadzili i udostępniali informacje dotyczące incydentów związanych z bezpieczeństwem cybernetycznym. Wydając EO, Biały Dom podkreślił, że ostatnie incydenty cybernetyczne "mają wspólne cechy, w tym niewystarczające zabezpieczenia cybernetyczne, które sprawiają, że podmioty sektora publicznego i prywatnego są bardziej narażone na incydenty. "Majowe EO było tylko pierwszym krokiem administracji mającym na celu wzmocnienie amerykańskiej obrony cybernetycznej. W lipcu Senat zatwierdził nominację Jen Easterly do kierowania Agencją ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) oraz Chrisa Inglisa do pełnienia funkcji pierwszego krajowego Dyrektora ds. Cyberbezpieczeństwa. Mając na miejscu kluczowych pracowników, oczekuje się, że administracja będzie nadal kładła nacisk na rozwój narodowej strategii cybernetycznej i podejmie dodatkowe działania w celu poprawy koordynacji między sektorem rządowym i prywatnym w zakresie łagodzenia skutków ataków cybernetycznych i gotowości do walki z cyberprzestępczością. Na przykład, na szczycie  25 sierpnia, administracja ogłosiła, że Narodowy Instytut Standaryzacji i Technologii (NIST) będzie współpracował z przemysłem w celu opracowania nowych ram dla podmiotów publicznych i prywatnych w zakresie tworzenia bezpiecznych technologii i oceny ich bezpieczeństwa, a także szeregu zobowiązań ze strony liderów sektora prywatnego do inwestowania w pracowników, technologie i praktyki w zakresie bezpieczeństwa cybernetycznego. W sytuacji, gdy trudno jest uchwalić przepisy prawne, oczekujemy, że administracja Bidena będzie kontynuować działania poprzez swoje uprawnienia wykonawcze i dobrowolne zobowiązania ze strony przemysłu.

Działania Kongresu

Odpowiednie przepisy w Kongresie rozszerzyłyby wymóg zgłaszania incydentów cybernetycznych poza społeczność dostawców rządowych. W lipcu 2021 r. senatorowie Mark Warner, D-Va., Marco Rubio, R-Fla. i Susan Collins, R-Maine, przedstawili projekt ustawy o powiadamianiu o incydentach cybernetycznych z 2021 r., która, jeśli zostanie uchwalona, będzie stanowić pierwszy federalny mandat dla niektórych podmiotów do zgłaszania naruszeń bezpieczeństwa cybernetycznego. Po wprowadzeniu, przepisy wymagałyby od agencji federalnych, kontrahentów federalnych, właścicieli infrastruktury krytycznej i innych podmiotów zgłaszania incydentów cybernetycznych do CISA w Departamencie Bezpieczeństwa Wewnętrznego USA w ciągu 24 godzin.

Uchwalenie krajowej ustawy o raportowaniu cyberbezpieczeństwa zostało również zalecone przez Cyberspace Solarium Commission (powołaną na mocy 2019 National Defense Authorization Act w celu opracowania strategicznego podejścia do ochrony USA przed cyberatakami). Komisja ta zasugerowała ponadto zmianę ustawy Sarbanes-Oxley Act (SOX) w celu uwzględnienia wymogów dotyczących cyberbezpieczeństwa spółek publicznych, które miałyby być nadzorowane przez SEC. Zauważając, że "bezpieczeństwo cybernetyczne spółki publicznej jest krytycznym elementem jej kondycji finansowej", raport zaleca zmianę ustawy SOX w celu nałożenia na spółki publiczne odpowiedzialności za bezpieczeństwo systemów informatycznych, przeprowadzanie ocen ryzyka cybernetycznego, prowadzenie wewnętrznych rejestrów dotyczących tych ocen oraz "oceny zarządzania i atestacji planów zarządzania ryzykiem związanym z systemami informatycznymi i danymi". Podczas gdy 25 z zaleceń Komisji Solarium zostało uchwalonych, Kongres nie poczynił jeszcze postępów w zakresie zaleceń Komisji dotyczących ujawniania informacji.

The Cybersecurity Disclosure Act of 2021 jest kolejną propozycją, która czeka na rozpatrzenie przez Kongres. Dwustronna ustawa wprowadzona przez Sen. Jacka Reeda, D-R.I., i wspierana przez Sen. Susan Collins, R-Maine, nakazałaby SEC wydać ostateczne zasady wymagające od zarejestrowanej spółki publicznej ujawnienia w swoim sprawozdaniu rocznym lub rocznym oświadczeniu proxy, czy którykolwiek z członków jej zarządu posiada wiedzę lub doświadczenie w zakresie bezpieczeństwa cybernetycznego. Jeśli żaden z członków zarządu nie posiada wiedzy specjalistycznej w zakresie bezpieczeństwa cybernetycznego, spółka powinna poinformować, jakie inne aspekty bezpieczeństwa cybernetycznego spółki były brane pod uwagę przez osoby nominujące i oceniające członków zarządu. Chociaż projekt ustawy został przedstawiony na kilku ostatnich sesjach Kongresu, nie został jeszcze rozpatrzony przez Senat.

Amerykańska Komisja Papierów Wartościowych i Giełd

SEC również podejmuje działania w zakresie bezpieczeństwa cybernetycznego, umieszczając propozycję przepisów dotyczących wymogu ujawniania informacji na temat zarządzania ryzykiem związanym z bezpieczeństwem cybernetycznym w swojej agendzie regulacyjnej jeszcze w tym roku. Nastąpiło to po majowym przesłuchaniu dotyczącym środków na 2021 r., podczas którego przewodniczący SEC Gary Gensler stwierdził, że istnieje zapotrzebowanie wśród inwestorów na takie ujawnienia. Komisja ostatnio dostarczyła wytyczne dla spółek notowanych na giełdzie dotyczące ujawnień związanych z cyberbezpieczeństwem w 2018 roku. Wytyczne te przedstawiają poglądy Komisji na temat stosowania federalnych przepisów dotyczących papierów wartościowych do kwestii związanych z bezpieczeństwem cybernetycznym. W szczególności wytyczne podkreślają znaczenie polityk i procedur w zakresie bezpieczeństwa cybernetycznego, w tym kontroli ujawniania informacji, a także stosowania zasad dotyczących wykorzystywania informacji poufnych w kontekście bezpieczeństwa cybernetycznego.

Od momentu objęcia stanowiska Przewodniczącego SEC w kwietniu, Gensler podkreśla rolę Komisji jako „policjanta dzielnicowego". Dlatego też oczekuje się, że Wydział Egzekwowania Prawa będzie nadal energicznie prowadził dochodzenia dotyczące kwestii bezpieczeństwa cybernetycznego, które były również priorytetem poprzedniego przewodniczącego SEC Jaya Claytona. W czerwcu i sierpniu Komisja rozstrzygnęła sprawy i nałożyła grzywny na firmy, które ujawniły niedostateczne informacje na temat bezpieczeństwa cybernetycznego.

W Stanach Zjednoczonych

Pandemia COVID-19 spowodowała zakłócenia i poważne zmiany w sposobie funkcjonowania rządów i firm w ubiegłym roku, a brak działań ze strony Kongresu skłonił państwa do wprowadzenia wielu różnych przepisów dotyczących bezpieczeństwa cybernetycznego. Incydent SolarWinds, oprócz wpływu na rząd federalny i systemy wielu firm, spowodował również naruszenia systemów rządów stanowych i lokalnych, co sprawiło, że bezpieczeństwo cybernetyczne stało się priorytetem dla wielu ustawodawców stanowych. Podczas sesji legislacyjnych w latach 2020-21, 45 stanów i Puerto Rico wprowadziło lub rozpatrzyło ponad 250 projektów ustaw lub rezolucji, które w istotny sposób dotyczą bezpieczeństwa cybernetycznego. Główne problemy, z którymi próbowali zmierzyć się ustawodawcy, obejmują:

  • Wymóg powiadamiania rządów i konsumentów o incydentach związanych z bezpieczeństwem cybernetycznym
  • Terminy raportowania i odpowiedzialne strony różnią się w poszczególnych stanach, ale jest to rosnący trend, którym zajmują się ustawodawcy
  • Wymóg, aby agencje rządowe wdrożyły szkolenia z zakresu bezpieczeństwa cybernetycznego, ustanowiły i przestrzegały formalnych polityk, standardów i praktyk bezpieczeństwa, a także zaplanowały i przetestowały sposób reagowania na incydenty bezpieczeństwa
  • Uregulowanie kwestii bezpieczeństwa cybernetycznego w ramach branży ubezpieczeniowej lub uwzględnienie ubezpieczeń od bezpieczeństwa cybernetycznego
  • Tworzenie grup zadaniowych, rad lub komisji w celu badania kwestii związanych z bezpieczeństwem cybernetycznym lub udzielania porad w tym zakresie
  • Wspieranie programów lub zachęt na rzecz szkoleń i kształcenia w zakresie bezpieczeństwa cybernetycznego

Wnioski

Szybka transformacja dzisiejszego środowiska biznesowego wciąż przynosi nowe zagrożenia, ale niesie ze sobą możliwości. Podczas pandemii pojawiły się kolejne luki w zabezpieczeniach cybernetycznych, które nadal stanowią zagrożenie dla firm. Jednocześnie, bezpieczeństwo cybernetyczne stało się kluczowe dla umożliwienia rozwoju i budowania zaufania interesariuszy.

Nasza analiza ujawnień związanych z bezpieczeństwem cybernetycznym z 2021 roku wykazała, że spółki zwiększają zakres ujawnianych informacji dotyczących bezpieczeństwa cybernetycznego i zapewniają przejrzystość w zakresie takich tematów jak wiedza specjalistyczna dyrektorów, raportowanie kierownictwa do zarządu i nadzór nad komitetami. Zauważamy również pojawiające się trendy związane z wykorzystaniem zewnętrznych ram lub standardów oraz uwzględnianiem obowiązków nadzoru nad bezpieczeństwem cybernetycznym w wynagrodzeniach kadry zarządzającej. Nadal istnieje przestrzeń na udoskonalenie ujawniania informacji na ten temat w celu zademonstrowania odpowiedzialności i zaangażowania w tę kwestię oraz zbudowania zaufania interesariuszy do sposobu, w jaki zagadnienie to jest traktowane . 

Pytania dotyczące bezpieczeństwa cybernetycznego dla zarządu

  • Czy należy monitorować zmieniający się krajobraz zagrożeń? Czy spółka była celem poważnego ataku cybernetycznego?
  • Jakie informacje zostały przekazaane zarządowi, aby ten mógł pomóc ocenić, które z krytycznych aktywów biznesowych i najważniejszych partnerów, w tym stron trzecich i dostawców są najbardziej narażone na ataki cybernetyczne?
  • W jaki sposób zarząd ocenia i kategoryzuje zidentyfikowane incydenty związane z cyberbezpieczeństwem i prywatnością danych?
  • Jakiego rodzaju politykę firma wprowadziła w zakresie oprogramowania ransomware? W jaki sposób spółka i jej zarząd podchodzą do kwestii płatności?
  • Czy w ciągu ostatniego roku zarząd wraz z kierownictwem uczestniczył w jednej z symulacji naruszenia bezpieczeństwa cybernetycznego? Jak rygorystyczne były to testy?
  • Czy zarząd przeznacza wystarczającą ilość czasu w swoim porządku obrad i czy struktura komitetów jest odpowiednia, aby zapewnić skuteczny nadzór nad bezpieczeństwem cybernetycznym?
  • Czy określono odpowiednie i znaczące wskaźniki dotyczące cyberbezpieczeństwa, które są regularnie przedstawiane zarządowi i mają wartość wyrażoną w dolarach?
  • Czy nowe lub oczekujące na wprowadzenie regulacje i ramy prawne dotyczące prywatności będą miały wpływ na strategię, pozycję konkurencyjną oraz modele i praktyki biznesowe organizacji?
  • Czy zarząd skorzystał z oceny strony trzeciej, jak opisano w podręczniku NACD Cyber-Risk Oversight, w celu potwierdzenia, że program zarządzania ryzykiem cyberbezpieczeństwa spełnia swoje cele? Jeśli tak, to czy zarząd prowadzi bezpośredni dialog ze stroną trzecią na temat zakresu prac i wyników?
  • Czy ujawnione przez spółkę informacje skutecznie informują o rygorystyczności programu zarządzania ryzykiem cybernetycznym i związanym z nim nadzorem zarządu?
  • Czy zarząd rozważył wartość uzyskania opinii atestacyjnej w zakresie bezpieczeństwa cybernetycznego w celu zbudowania zaufania wśród kluczowych interesariuszy?



Podsumowanie

Nasza analiza wskazuje, że spółki zwiększają zakres ujawnień na temat bezpieczeństwa cybernetycznego oraz dostarczają więcej informacji na temat doświadczenia dyrektorów, raportowania kierownictwa do zarządu oraz nadzoru nad komitetami. Zauważamy również wzrost wykorzystania zewnętrznych ram lub standardów. Nadal istnieją jednak możliwości ulepszenia ujawniania przez spółki informacji na temat bezpieczeństwa cybernetycznego w celu wykazania odpowiedzialności, zaangażowania i budowania zaufania interesariuszy.


Polecane artykuły

Co to jest cyberbezpieczeństwo? 9 wskazówek, jak zadbać o bezpieczeństwo w sieci.

Czym jest cyberbezpieczeństwo i jak zachować bezpieczeństwo w sieci? Poznaj 9 zasad, które umożliwią zachowanie szczególnego bezpieczeństwa przy korzystaniu z Internetu.

Wyzwania Cyberbezpieczeństwa 2022 Perspektywa EY

Wdrożenie chmurowe to interdyscyplinarny proces z dwoma podejściami. Pierwsze to Compliance-by-design, gdzie zgodność z regulacjami jest uwzględniana od początku planowania.