Les implications pour la sécurité nationale des nouvelles règles de la route pour le cyber

POINT DE VUE D’EXPERTS — Le groupe des cyberinitiatives (alimenté par The Cipher Brief) a déposé des commentaires liés à la sécurité nationale à l’appui de la Règles proposées par la SEC concernant la gestion des risques de cybersécurité, la stratégie, la gouvernance et la divulgation des incidents par les entreprises publiques cette semaine. Le dossier officiel est ci-dessous.

Commentateurs, dirigés par l’ancien avocat général de l’Agence de sécurité nationale Glenn Gerstell, comprendre Kelly Bissell, Responsable mondial des services de sécurité, Microsoft Corporation, HON. Sue Gordon, ancien directeur adjoint principal du renseignement nationalMatt Hayden, ancien secrétaire adjoint de la sécurité intérieure pour la cyber, l’infrastructure, le risque et la résilience, GÉNÉRAL Michael Hayden (à la retraite), ancien directeur de la Central Intelligence Agency et de la National Security Agency, HON. S. Leslie Irlande, ancien secrétaire adjoint du Trésor pour le renseignement et l’analyseRichard H. Ledgett, Jr., ancien directeur adjoint, Agence de sécurité nationale, Cam Mark Montgomery (à la retraite), ancien directeur exécutif Cyberspace Solarium Commission et Debora Plunkett, fAncien directeur de la Direction de l’assurance de l’information de l’Agence de sécurité nationale.

Joignez-vous aux directeurs du CIG lors de notre Sommet virtuel du printemps le mercredi 25 mai^e et dialoguer avec les dirigeants des secteurs public et privé sur des questions allant des cyberopérations potentielles lancées par la Russie à la protection des infrastructures critiques, en passant par la lutte contre l’explosion des ransomwares et la gestion des fournisseurs tiers. L’événement est un événement gratuit et enregistré. Réservez votre place maintenant.

Numéro de dossier S7-09-22 – Commentaires sur la règle proposée

Les soussignés soumettent ces commentaires à l’appui des objectifs des règles concernant la gestion des risques de cybersécurité, la stratégie, la gouvernance et la divulgation des incidents par les entreprises publiques proposées par la Commission le 9 mars 2022 (les «règles proposées»).

Les soussignés sont les directeurs du Cyber ​​Initiatives Group, un comité formé et parrainé par The Cipher Brief, un média privé qui s’engage auprès du secteur privé aux États-Unis pour promouvoir la sensibilisation aux questions de cybersécurité et de sécurité nationale. Beaucoup d’entre nous sont actuellement directement impliqués dans les questions de cybersécurité dans le secteur privé et ont une expérience significative dans les aspects politiques et opérationnels de la cybersécurité ; beaucoup d’entre nous ont servi aux plus hauts niveaux des forces armées ou de la communauté du renseignement de notre pays, tandis que d’autres occupent des postes de direction dans les plus importantes entreprises de cybersécurité et fournisseurs de technologies du pays. (Nous écrivons à titre individuel et les affiliations indiquées ci-dessous sont uniquement à des fins d’identification.)

Notre but en soumettant ces commentaires est de soutenir les objectifs de la règle proposée, d’informer la Commission qu’à notre avis, les préoccupations de sécurité nationale sont une justification valable et importante pour l’élaboration de la réglementation, et de souligner que la règle proposée a le potentiel de bénéficier non seulement les investisseurs et les personnes inscrites, mais aussi, et à notre avis, ce qui est plus important, notre sécurité nationale. Ce faisant, nous ne commentons pas la portée, le fardeau réglementaire ou d’autres aspects techniques de la règle proposée – car d’autres peuvent mieux traiter ces détails. Nous sommes toutefois en mesure de commenter les ramifications sur la sécurité nationale d’une meilleure posture de cybersécurité pour les entreprises publiques.

Comme le note la Commission dans sa déclaration d’information accompagnant la règle proposée, “[l]Les attaques de cybersécurité à grande échelle peuvent avoir des effets systémiques sur l’économie dans son ensemble, y compris des effets graves sur les infrastructures critiques et la sécurité nationale.

Tous les soussignés connaissent la sophistication technique de nos cyber-adversaires et croient que cela continuera d’augmenter, imposant de plus grands risques à notre nation. À cet égard, nous notons que le Évaluation annuelle des menaces de la communauté américaine du renseignement (daté du 7 février 2022) a cité la cyber-malveillance de quatre États-nations adversaires – la Chine, la Russie, l’Iran et la Corée du Nord – comme les menaces les plus importantes. Malheureusement, à mesure que la menace contradictoire augmente, notre vulnérabilité augmente également, car nous dépendons de plus en plus de la technologie numérique dans tous les aspects de notre vie commerciale, gouvernementale et personnelle. L’avènement de l’Internet des objets et les vastes quantités de données qui sont générées, stockées et utilisées par la technologie de télécommunication 5G, l’intelligence artificielle et potentiellement l’informatique quantique (pour ne citer que quelques développements), créeront des cibles attrayantes supplémentaires pour les programmes malveillants. la cyberactivité, augmentant ainsi le risque pour l’infrastructure, les entreprises et les citoyens de notre pays. Une grande partie de cette technologie est détenue et exploitée par des entreprises publiques. Ces vulnérabilités peuvent affecter directement notre sécurité nationale.

Nous croyons que les objectifs d’exiger des rapports à jour sur les incidents de cybersécurité importants, ainsi que des divulgations périodiques concernant (1) les politiques et procédures d’un inscrit pour identifier et gérer les risques de cybersécurité, (2) le rôle de la direction dans la mise en œuvre des politiques et procédures de cybersécurité et (3) l’expertise du conseil d’administration en matière de cybersécurité et sa surveillance du risque de cybersécurité, sont appropriées et sont susceptibles d’améliorer la posture de cybersécurité des inscrits. Les entreprises publiques possèdent des infrastructures critiques, exploitent ou gèrent des entreprises clés dans tous les secteurs industriels, agricoles et de services et, à bien des égards, constituent l’épine dorsale de l’économie américaine. Par conséquent, l’amélioration de la cybersécurité au sein des entreprises publiques se traduit directement par une économie nationale plus cybersécurisée et cyberrésiliente. Il va de soi qu’exiger des rapports supplémentaires sur les cyberincidents matériels permettra de mieux informer les investisseurs, le public en général et les agences gouvernementales, et une divulgation accrue sur les cyberpolitiques et l’expérience du conseil d’administration encouragera les entreprises publiques (et par extension, les entreprises privées, au moins dans une certaine mesure ) pour répondre, voire dépasser, les attentes du marché dans ces domaines.

De par leur nature intrinsèque, ces bénéfices ne sont pas facilement quantifiables, mais l’absence de mesure précise ne peut dans ce cas être une raison pour nier ce qui est manifestement évident et logique. Nous pensons que ces avantages pour notre bien-être national sont essentiels et peuvent et doivent être pris en compte dans l’élaboration des politiques et l’élaboration des règles par la Commission.

Nous comprenons que les parties intéressées auront des points de vue différents sur la portée et d’autres aspects techniques de la règle proposée et, comme indiqué ci-dessus, n’expriment pas d’opinion ici sur ces questions. Mais nous tenons à souligner que tout effort visant à normaliser et à harmoniser la notification et la divulgation avec d’autres exigences (telles que celles qui seront mises en œuvre en vertu de la loi de 2022 sur les rapports d’incidents cybernétiques pour les infrastructures critiques) aura évidemment pour effet d’accroître la conformité robuste avec , et en outre les objectifs de la règle proposée.

Inscrivez-vous pour le Groupe des cyberinitiatives bulletin. De meilleurs résultats dans le cyber exigent une meilleure réflexion. Rejoignez des experts du nouvel écosystème cyber public-privé alors que nous éduquons et créons un nouvel avenir cyber. Inscrivez-vous pour le Bulletin de l’IGC aujourd’hui.

Lisez plus d’informations, de perspectives et d’analyses sur la sécurité nationale dirigées par des experts dans Le bref chiffré parce que la sécurité nationale est l’affaire de tous.