美国证券交易委员会新网络安全规则下的CISO困境

关键要点

随着美国证券交易委员会SEC新网络安全规则的实施，CISO面临尴尬的处境。CISO必须准确报告安全事件，但可能受到高层管理者修改信息的影响。如果CISO报告欺诈行为并且判断错误，可能面临严重后果。建议CISO采取措施以减少在新规则下的风险，包括保存记录、购买DampO保险及将异议书面化。

美国证券交易委员会SEC将于12月实施的新网络安全规则让CISO面临潜在的困境。SEC已经针对SolarWinds和Uber的CISO采取了法律行动，这使得安全高管在撰写公司安全事件时必须特别谨慎。即使CISO的报告没有问题，CEO、CFO或其他高层的改动也可能被SEC视为问题或欺诈。

CISO的一大问题在于，如果他们看到最终版本且认为报告误导了SEC，他们必须依照联邦SEC举报者保护法向SEC报告该欺诈行为，否则可能面临共犯的法律指控。更糟糕的是，举报者保护措施仅在CISO的判断是正确的情况下才有效，若CISO的判断错误，则没有任何保护，公司可以随意报复。

CISO判断是否存在欺诈的任务非常复杂。企业在一些关键领域被允许不披露细节，尤其是当这可能泄露给潜在攻击者或信息尚处于初步阶段时。此外，这些新规则尚处于实施之初，SEC可能会给CEO和CFO很大的自由裁量权。

“SEC对CISO及管理层的具体要求并不明确。这个流程通常由法务部门主导，而非CISO办公室。”这是前Sdzucker AG、海德堡美洲及FMC Technologies CISO迈克尔奥贝兰德(Michael Oberlaender)的看法。

简单来说，如果CISO未能报告欺诈，可能面临法律麻烦；若报告了错误的欺诈信息，又可能使自己陷入严重的公司危机。

一位曾在AmerisourceBergen、康卡斯特和IBM担任CISO的Umesh Yerram表示：“这是一个极其棘手的情况，对于CISO来说，确实是‘做也错，不做也错’的噩梦。”

此外，来自美国联邦法院的特别法官道格拉斯布拉什Douglas Brush提到，某些企业的CISO持有公司公开交易股票的非小规模股份。如果CISO知晓欺诈行为并拥有股票，那么这又涉及到内幕交易的问题。

虽然新规则的实施和执行尚不明确，但资深的CISO和法律专家们提供了一些保护自己免受责任影响的建议。

奥贝兰德建议CISO将撰写的描述截图和保存到CISO直接控制的环境中，如Google Drive、AWS或DropBox。这一举措使得CISO能够证明自己所提交的内容。如果有人更改该文档并提交修订版本，CISO对此几乎无能为力。

奥贝兰德建议CISO应拥有董事和高级职员DampO保险，以保护自己。如果企业拒绝支付这项保险，CISO可以自主购买。

奥贝兰德提出了一个颇具争议性的大建议。在提交安全事件报告后，CISO不应查看最终提交给SEC的内容。“那可能给CISO提供合理的否认权，”他说。

布拉什也重复了奥贝兰德的观点，不鼓励CISO阅读发布的报告。“为什么要承担这种责任？CISO只需知道自己需要知道的内容。一旦CISO内部提交了材料，后续发布的内容就不必再关心了。”

然而，马克拉施Mark Rasch，一位前美国司法部检察官，目前专注于网络安全问题的私人律师表示，这种策略并不