Dado que os ataques cibernéticos continuam a ser sofisticados e graves, e a segurança cibernética continua a ser uma das principais preocupações dos reguladores, consumidores, parceiros de negócios e investidores, as empresas devem ser proativas e dedicar recursos adequados às suas práticas de segurança e resposta a incidentes. Além dos riscos de litígio e reputação que as empresas enfrentam se forem percebidas como tendo práticas de segurança inadequadas, os reguladores estão impondo multas significativas por violações de dados, exigindo cada vez mais uma maior supervisão do conselho de segurança cibernética e responsabilizando pessoalmente os principais funcionários por práticas de segurança supostamente negligentes. Então, com base nas atividades do regulador a partir de 2022, quais são as principais considerações para membros do conselho e empresas quando se trata de segurança cibernética em 2023?
- Notifique as partes apropriadas sobre violações. em seu Processo de 2022 contra CafePress, a FTC questionou a empresa por supostamente encobrir uma violação de dados. A reclamação da FTC alegou que a empresa não investigou adequadamente a violação por meses, embora tenha sido notificada de que as informações pessoais dos consumidores foram postadas para venda online e que, embora a empresa tenha pedido aos clientes para redefinir as senhas, ela apenas afirmou que estava fazendo isso como parte de uma política de senha atualizada. Segundo a denúncia, a empresa não informou os consumidores ou reguladores sobre a violação em tempo hábil. Apenas seis meses depois de ser notificada da violação, a empresa enviou notificações de violação às agências governamentais e aos consumidores afetados. Uma mensagem importante desse caso é que as empresas precisam responder a incidentes de segurança com verdade, transparência e rapidez.
- Dedicar recursos adequados e pessoal sênior para questões de segurança cibernética. Em novembro de 2022, o A FTC considerou o CEO da Drizly, James Cory Rellas, pessoalmente responsável por não contratar um executivo sênior para supervisionar a prática de segurança da empresa. A denúncia observou que “o CEO contratou executivos seniores dedicados a finanças, jurídico, marketing, varejo, recursos humanos, produtos e análises, mas não contratou um executivo sênior responsável pela segurança das informações pessoais dos consumidores…” Prevemos um aumento em ações de fiscalização nomeando pessoalmente executivos por falhas nas práticas de segurança de uma empresa em 2023.
- Considere novas e futuras legislações específicas do setor que podem ser aplicadas ao seu negócio.
- Infraestrutura crítica: Em março de 2022, o presidente Biden assinou o Relatórios de incidentes cibernéticos para a Lei de Infraestrutura Crítica (CIRCIA) em lei e exigiria que a Agência de Segurança Cibernética e Infraestrutura (CISA) criasse regras sobre provedores de infraestrutura crítica divulgando incidentes cibernéticos “substanciais” e fazendo pagamentos de resgate. A CISA deve propor uma regra até março de 2024, mas a regra exigirá que uma “entidade coberta” relate um “incidente cibernético coberto” dentro de 72 horas e relate um pagamento de resgate em resposta a um ataque de ransomware dentro de 24 horas. Como “entidades cobertas” consistirá em entidades dos setores público e privado que se enquadrem em um dos 16 setores críticos de infraestrutura definidos em Diretriz de Política Presidencial 211 e será definido nos regulamentos finais promulgados pela CISA, uma questão pendente é a amplitude da aplicabilidade da regra final, bem como se os fornecedores da cadeia de suprimentos e provedores de serviços em nuvem, serviços gerenciados ou hospedagem de terceiros incorrerão requisitos de relatórios, seja para a CISA ou para clientes que são entidades cobertas.
- Serviços financeiros: o Regra de Salvaguardas atualizada da Lei Gramm-Leach-Bliley entrará em vigor em 9 de junho de 2023. A Regra cria certos requisitos prescritivos para instituições financeiras, incluindo requisitos para criptografar dados e implementar autenticação multifator. Além disso, o Departamento de Serviços Financeiros de Nova York (NYDFS) propôs emendas ao seu Regulamento de Segurança Cibernética, 23 NYCRR Parte 500, que inclui requisitos para entidades cobertas manterem um inventário de ativos completo e preciso, usar criptografia padrão do setor, realizar testes anuais de penetração, e notificar o NYDFS dentro de 24 horas após qualquer pagamento de extorsão e dentro de 72 horas após um evento de segurança cibernética envolvendo um provedor de serviços terceirizado. Os comentários públicos sobre as últimas alterações propostas devem ser feitos até 9 de janeiro de 2023.
- Consultores de investimento: Em fevereiro de 2022, as regras propostas pela Comissão de Valores Mobiliários (SEC) relacionados à gestão de riscos de segurança cibernética para consultores de investimento registrados, empresas de investimento e fundos, bem como alterações nas regras que regem o consultor de investimentos e as divulgações de fundos. As regras propostas ainda não foram adotadas, mas exigiriam consultores e fundos para, entre outras coisas, implementar políticas e procedimentos de segurança cibernética por escrito e relatar incidentes significativos de segurança cibernética que afetam o consultor ou seu fundo ou clientes de fundos privados à SEC em um novo formulário confidencial .
- Prepare-se para as novas regras de segurança cibernética da SEC para empresas públicas: Em março de 2022, o A SEC propôs alterações às suas regras sobre divulgações que exigiria, entre outras coisas, que as empresas arquivassem um Formulário 8-K divulgando incidentes de segurança cibernética “relevantes” dentro de quatro dias úteis, divulgassem uma série de incidentes de segurança cibernética não divulgados e individualmente imateriais assim que se tornassem materiais no agregado em um Formulário 10- Q ou 10-K, e fornecer informações sobre o risco cibernético de uma empresa, sistemas de gerenciamento de segurança de dados e funções de liderança e mudanças em seus procedimentos de implementação de segurança cibernética em um Formulário 10-K. Embora ainda não haja data para uma regra final, as empresas devem considerar identificar o que significa “materialidade” no contexto de sua empresa, atualizar os documentos internos de segurança cibernética e gerenciamento de riscos e revisar os planos de resposta a incidentes para que os incidentes cibernéticos cobertos possam ser suficientemente divulgados em uma forma oportuna.
- Minimize os dados do consumidor que você mantém. Em suas duas ações de segurança de dados mais recentes, contra o fornecedor de tecnologia educacional Chegg e o serviço de entrega de bebidas alcoólicas Drizly, a FTC alegou que as empresas falharam em ter políticas e procedimentos para inventariar e excluir informações pessoais dos consumidores que não eram mais necessárias. . Os pedidos em ambos os casos incluíam requisitos de exclusão de dados. As empresas podem mitigar seus riscos excluindo periodicamente os dados que não são mais necessários para seus negócios. Da mesma forma, as empresas devem tomar medidas para descartar adequadamente as informações pessoais, bem como os dispositivos que contêm essas informações. Em setembro de 2022, o A SEC anunciou acusações contra o Morgan Stanley por não descartar adequadamente dispositivos contendo informações pessoais. A SEC alegou que a empresa contratou uma empresa de movimentação e armazenamento sem experiência em destruição de dados e falhou em monitorar seu trabalho, resultando na venda não autorizada de dispositivos contendo informações pessoais.
[1]Esses setores incluem: 1) químico, 2) instalações comerciais, 3) comunicações, 4) manufatura crítica, 5) barragens, 6) base industrial de defesa, 7) serviços de emergência, 8) energia, 9) serviços financeiros, 10) alimentos e agricultura, 11) instalações governamentais, 12) cuidados de saúde e saúde pública, 13) tecnologia da informação, 14) reatores nucleares, 15) materiais e sistemas de transporte de resíduos e 16) sistemas de resíduos e águas residuais.