ככל שה- CISO צריך להתמודד עם אירועים שיכולים להיות בעלי השפעה גדולה על החברה, הוא חייב להיות ערוך לעבודה נכונה עם המחלקה המשפטית – באופן שוטף ובחירום.
בשונה מדליפות של נתונים, הדיווח והתגובה לפרצות אבטחה עומדים באזור האפור שבין החוקי לאתי. ישנם נהלים לגבי דיווח אחראי, אבל אין חוקים ורגולציה לגבי דיווח אודות פרצות. ועדיין, פרצות עלולות להוביל לתביעות משפטיות, אפילו כאשר אינה מתרחשת פריצה. שילוב של הצוות המשפטי בתוכנית ניהול הפגיעויות שלך יכול לחסוך לארגון שלך הרבה כאבי ראש בהמשך הדרך.
להלן שאלות מרכזיות שצריכות לעמוד על סדר היום בתפר שבין אבטחה ומשפטים, כדי להבטיח עמידות חזקה של הארגון:
1. מה הסיכונים המשפטיים שיעלו במקרה של דיווח על פגיעות?
לאחרונה החלו להופיעו תביעות משפטיות לגבי פגיעויות, אפילו במקרים בהם לא אירעו דליפות של נתונים. חשיפה של מידע לגבי פגיעות שלא נעשה לגביה דיווח ציבורי ועדכון מתאימים, יכולה להוביל לתביעה על הזנחה, הפרה של אחריות משתמעת, הונאה ועוד. לדוגמא, 32 תביעות שנעשו על נגד אינטל על הטיפול שלה בפגיעויות Meltdown ו- Spectre.
בדיקה עם הצוות המשפטי לגבי הסיכונים המשפטיים שנגזרים מדיווח על פגיעויות יכול לתרום לתגובה נכונה במסגרת תוכנית ניהול הפגיעויות ולמנוע תביעות מיותרות.
2. אילו צעדים אני יכול לנקוט כדי למנוע תביעה משפטית?
אף אחד לא רוצה להיתבע, ולא משנה מה התוצאה הסופית – תביעות יכולות לפגוע במוניטין החברה שלך. יותר מכך, הארגון שלך גם יצטרך להשקיע עלות כספית ומשאבי זמן כדי להתמודד התביעה. לכן, ישנם מספר צעדים שהארגון יכול לנקוט בהם כדי למנוע תביעות:
- הפעל תוכנית דיווח על פגיעויות (VDP)
- נהל דיווח אחראי ומתואם
- בצע עדכון מהיר לפגיעויות
באמצעות Tenable – Nessus אתה יכול לאתר פגיעויות בזמן אמת, ולמזער סיכונים הקשורים בחשיפה לאיומים. לחץ כדי ללמוד יותר
3. האם החוק יכול לעזור לנו להבין את סיכוני הסייבר שלנו?
לעיתים קרובות, תחומי האבטחה והטכנולוגיה מתקשים לראות בחוק כלי שמסייע להבנת אבטחת הסייבר. אך במקרים מסוימים, החוק יכול דווקא לסייע לצוותי אבטחה ו- IT להבין את סיכון הסייבר שלהם. גם ה- GDPR וגם חוק הגנת הצרכן של קליפורניה, דורשים מארגונים לספק אבטחה "סבירה" בכל הנוגע להגנה על נתוני הצרכן.
באמצעות מתן פרשנות של "אבטחה סבירה" עבור הארגון שלך, ניתן להבין את סיכוני הסייבר של הארגון הספציפי. לדוגמא, בחינה של המקומות בהן כבר מופעלת הגנה יכולה לחשוף אזורים אחרים שחסרים את ההגנה הנדרשת. ההגדרה של אבטחה סבירה השתנתה מאז נכנסה לשימוש, והביטוי כנראה ימשיך להתפתח עם השינויים בתעשייה. לכן, חשוב להמשיך ולבצע השוואה של אמצעי האבטחה שלך לאלו של השותפים שלך
4. כיצד המחלקה המשפטית יכולה לסייע לשפר את תוכנית התגובה לניהול פגיעויות?
כאשר מדווחים על פגיעויות, במיוחד כאלו שזוכות להד בתקשורת, הפאניקה יכולה להתחיל להתפשט במהירות. ניתן למזער זאת באמצעות הפעלת תוכנית ניהול פגיעויות אשר מכינה אותך לדיווח על פגיעויות. התוכנית צריכה לכלול:
- VDP
- תוכנית תגובה
- דרכי תקשורת יעילות בין חוקרי אבטחת מידע, החברה והמדיה
עבודה משותפת של המחלקה המשפטית עם אנשי האבטחה וה- IT, כיחידה אחת, יכולה לספק יתרון עצום עבור תוכנית התגובה שלך. קבלת משוב מהצוות המשפטי יכולה לשפר משמעותית את יכולת התגובה עם תובנות חשובות. אולי לעורך הדין אין את היכולות הטכניות הנדרשות כדי לסייע, אבל יש לו את הרקע המתאים כדי לספק נקודת מבט חיצונית, ולהתריע על התפתחות של אירוע משפטי.
5. האם ה- VDP מעניק ביטחון לחוקרי אבטחה?
אם לארגון שלך יש VDP (וצריך להיות לך תוכנית דיווח על פגיעויות), אתה יכול ליצור תהליכים משפטיים טובים מסוגם. מעבר לכך שהתוכנית מעניקה לחוקרי האבטחה תהליך ברור לדיווח אחראי, ה- VDP צריך גם יכול להוות סוג של נמל ביטחון עבור החוקרים שלך. VDP טוב מאפשר לחוקרים לדעת שלא תתבע אותם עבור מציאה ודיווח על פגיעות במערכת. הצוות המשפטי יכול לסייע בפיתוח VDP עם תהליכים טובים מסוגם ואשר מספק רשת ביטחון לחוקרים.
השאלות לעיל הן רק נקודת מוצא בדרך ליצירת תקשורת חזקה והדוקה יותר בין הצוות המשפטי ל- IT, ובדרך לתכונית ניהול פגיעויות מצוינת.