В результате громких нарушений безопасности люди часто несут основную тяжесть вины. Даже когда они действуют добросовестно или следуют строгим корпоративным директивам, CISO все чаще оказываются мишенями для государственных регуляторов, включая SEC, DOJ и FTC. Эти специалисты обвиняются в преступлениях, которые варьируются от мошенничества с ценными бумагами до воспрепятствования правосудию.

Директора по информационной безопасности сталкиваются с двойной проблемой: защищают организации от киберугроз, одновременно защищая свою карьеру и репутацию от юридических рисков. Чтобы справиться с этим давлением, им отчаянно нужны комплексные защитные стратегии. Одним из экспертов, оказывающих такую ​​поддержку, является Джесс Нолл, адвокат из Backer McKenzie, специализирующийся на защите директоров по информационной безопасности и специалистов по информационной безопасности. Нолл , выступавший на Black Hat 2024 на брифинге под названием «Обход торнадо: основные стратегии для директоров по информационной безопасности, позволяющие обойти правительственные последствия крупных кибератак», имеет многолетний опыт защиты работников от несправедливых обвинений в ходе федеральных расследований.

В этой статье мы рассмотрим реальные случаи и выводы из презентации Нолла Black Hat, обсудим извлеченные уроки и стратегии преодоления бурных юридических волн последствий киберинцидентов . Независимо от того, являетесь ли вы CISO или специалистом по информационной безопасности более низкого уровня, сегодняшняя меняющаяся нормативно-правовая среда требует от вас подготовки к каждому аспекту инцидента безопасности — от надлежащего документирования критически важных коммуникаций до понимания того, когда пора уходить, пока не стало слишком поздно.

Нормативная запутанность: растущий риск

Киберинциденты создают значительные технические проблемы, но настоящая буря часто разражается после того, как нарушение сдерживается, сказал Нолл. Именно тогда вмешиваются регуляторы, чтобы тщательно изучить каждое решение, принятое в разгар кризиса.

Хотя традиционно пристальное внимание уделялось корпоративному руководству или юридическим отделам, сегодня работники служб информационной безопасности рискуют столкнуться с обвинениями в мошенничестве, халатности или более серьёзных преступлениях просто за выполнение своей работы.

Взлом Yahoo

Рассмотрим взлом Yahoo в 2014 году , который Налл подробно обсудила во время своей презентации. Атака, организованная латвийским хакером Алексеем Беланом по настоянию российской разведки ФСБ, скомпрометировала личные данные более 500 миллионов пользователей Yahoo. Взлом последовал за аналогичным инцидентом годом ранее. Хотя команда безопасности Yahoo быстро определила Россию как вероятного виновника, полный масштаб взлома не был раскрыт акционерам или общественности в течение нескольких лет.

Хотя реакция Yahoo, особенно в плане коммуникации и раскрытия информации, имела недостатки, команда безопасности успешно идентифицировала взлом как работу спонсируемой государством структуры.

Что пошло не так?

Вместо того чтобы уведомить общественность или акционеров, директор по информационной безопасности Yahoo проинформировал только одного юриста компании о полном объёме нарушения, сказал Налл. Критически важные коммуникации между юридическими и охранными командами были впоследствии утеряны или уничтожены. К тому времени, когда Боб Лорд, новый директор по информационной безопасности, обнаружил нарушение в 2016 году, Yahoo уже находилась под пристальным вниманием из-за предстоящей продажи Verizon и совета активистов. Это привело к многочисленным расследованиям со стороны SEC и прокуратуры США.

Налл, представлявший сотрудников Yahoo в ходе этой юридической битвы, отметил, что расследование было сосредоточено в основном на внутренних коммуникациях. Следователи хотели знать, кто что знал и когда. Расследование SEC было особенно агрессивным, нацеленным на руководителей, но также и на сотрудников на всех уровнях, сказал Налл.

Случай с Yahoo — это предостерегающая история об опасностях плохой внутренней коммуникации, неспособности сохранять записи и чрезмерной зависимости от выборочных брифингов. Как объяснил Нолл, если бы директор по информационной безопасности Yahoo вел чёткий бумажный след и способствовал более эффективной практике коммуникации во время инцидента, ситуация, возможно, не переросла бы в затяжную юридическую катастрофу для сотрудников Yahoo, большинство из которых не были ни в чем виноваты.

Понимание нормативно-правовой базы

Недавние изменения в регулировании кибербезопасности отражают растущее внимание к привлечению отдельных работников к ответственности за серьёзные нарушения. В своём брифинге Нолл указала на один яркий пример этого сдвига: положение SEC SK Item 106 (§ 229.106) , введенное в прошлом году. Положение требует от компаний раскрывать подробную информацию об управлении рисками кибербезопасности, руководстве и стратегиях.

Хотя регулирование SEC может показаться простым, Нолл отметил, что бремя соответствия часто непропорционально ложится на отдельных CISO – несмотря на множество случаев, когда они имеют ограниченный контроль над точными формулировками, используемыми в обязательных публичных раскрытиях информации их организаций и других документах, которые могут поступать из таких отделов, как маркетинг или продажи. Если эти раскрытия включают преувеличения, необнаруженные или одобренные руководством, они могут привести к серьёзным правовым последствиям для CISO.

Взлом SolarWinds

Подчеркивая важность точных раскрытий и маркетинговых материалов, Нолл сослался на взлом SolarWinds в 2019-2020 годах , ещё одну связанную с Россией атаку, которая скомпрометировала данные примерно 18 000 или более клиентов, включая крупные корпорации и государственные учреждения. Нарушение ещё больше осложнилось неточностями в том, как компания представляла свои возможности безопасности до инцидента.

Нолл объяснил, что высшее руководство и другие заинтересованные стороны SolarWinds, включая юридический отдел, знали, что заявления о кибербезопасности в маркетинговых материалах компании были «амбициозными», однако они их одобрили.

Когда нарушение стало известно и началось расследование, Тим Браун, CISO компании, столкнулся с обвинениями в мошенничестве с ценными бумагами в соответствии с правилом SEC 10b-5 . Это был первый случай, когда CISO был обвинен в соответствии с законом, обычно применяемым к серьёзным финансовым преступлениям.

Хотя на SEC оказывалось давление с целью снятия обвинений , Нолл отметил, что любой приговор, кроме оправдательного, несправедливо приравнял бы Тима Брауна к осуждённым финансовым мошенникам, таким как Берни Мейдофф и Сэм Бэнкман-Фрид.

Регулирование путём принуждения

Вместо чётких универсальных стандартов кибербезопасности регулирующие органы, такие как SEC, определяют приемлемые практики только после того, как происходит нарушение, сказал Нолл. Этот реактивный подход ставит руководителей служб информационной безопасности и других работников информационной безопасности в явно невыгодное положение.

«Федеральные прокуроры и юристы SEC читают этот документ, как и все остальные, и когда они видят, что происходят плохие вещи, например, серьёзные нарушения, особенно когда есть задержка в раскрытии информации, они должны принять меры в отношении этих компаний», — пояснила Нолл во время своей презентации.

Стратегии правовой защиты, коммуникации и ведения учета

К счастью, руководители служб информационной безопасности и другие работники информационной безопасности могут предпринять несколько конкретных шагов для защиты своей карьеры и репутации. Внедряя герметичные методы коммуникации и договариваясь о надёжной правовой защите, они могут справиться с последствиями катастрофического киберинцидента. Следующие стратегии, адаптированные из презентации Нолла на Black Hat, дают план выживания в этих бурных ситуациях.

Перед нарушением

• Наладьте кросс-функциональную коммуникацию: убедитесь, что в вашей компании есть чёткие каналы связи, включающие отдел кибербезопасности, юридический отдел и руководство.

• Документируйте все: ведите подробные записи решений, коммуникаций и действий, связанных с безопасностью. Документация может быть жизненно важной в качестве доказательства в случае расследований. Как сказал Нолл, «Заметка для себя может стать карточкой, позволяющей выйти из тюрьмы без риска».

• Договоритесь о правовой защите:

  • Для всех работников информационной безопасности:

    • Возмещение ущерба по закону штата: не все штаты предлагают возмещение ущерба. Нолл посоветовал, что если у вас есть возможность, вам следует выбрать закон Калифорнии в вашем трудовом договоре.

    • Договорные соглашения о возмещении ущерба: убедитесь, что компания покроет ваши юридические расходы и позволит вам выбрать своего адвоката. Кроме того, спросите о новых страховых продуктах специально для CISO и Infosec.

  • Для руководителей служб информационной безопасности:

    • Страховое покрытие D&O (директоров и должностных лиц): ознакомьтесь с ограничениями полиса, включая самостоятельное удержание (SIR) или франшизу, а также с объёмом предоставляемой правовой защиты.

Во время кризиса

• Избегайте эфемерных сообщений: воздержитесь от использования SMS или приложений исчезающих сообщений во время взлома. Отсутствие записей о коммуникациях может быть истолковано как попытка скрыть важную информацию.

• Будьте прозрачны, но стратегичны: всегда консультируйтесь с юристом перед раскрытием конфиденциальной информации. Нолл посоветовал помечать сообщения как «привилегированные для адвоката и клиента», когда это возможно, чтобы сохранить конфиденциальность. Это может помочь защитить вас от ненужного воздействия судебных разбирательств.

После нарушения

• При необходимости эскалируйте проблему: если вы сталкиваетесь с внутренним сопротивлением прозрачности и передовым практикам, эскалируйте проблему на уровень правления.

• Знайте, когда уйти: Если вы считаете, что действия компании по расследованию становятся неэтичными или рискованными, возможно, пришло время подумать об уходе. Нолл рекомендовал руководителям по информационной безопасности быть готовыми «дернуть за поводок», если ситуация того потребует.

Дополнительная поддержка

• При необходимости обратитесь к стороннему юридическому консультанту: проконсультируйтесь с внешним юристом, если юридическая команда вашей компании не обеспечивает адекватную защиту ваших интересов.

• Защита осведомителей: Федеральные правила предлагают защиту лицам, сообщающим о неправомерных действиях. При необходимости используйте программы осведомителей, такие как анонимные горячие линии.

Вывод

Преодоление последствий киберинцидента стало балансирующим действием с высокими ставками. Развивающийся правовой и нормативный ландшафт оказывает огромное давление на отдельных работников. Чтобы преуспеть в этой среде, работники информационной безопасности должны использовать проактивный подход.

Не ждите кризиса, чтобы защитить себя — заложите основу заранее и общайтесь чётко и стратегически. Как сказал Нолл, «Не действуйте в одиночку и не принимайте все как есть». Работники Infosec, которые сочетают технические знания с юридической подкованностью, с большей вероятностью благополучно приземлятся, а не попадут в ловушку последствий нормативных вопросов.

Фото: Freepik

Мастер пера, обрабатывает новостную ленту.