Låga åtkomstbarriärer för cybersäkerhetsaktörer, mer aggressiva attacktekniker, brist på cybersäkerhetsproffs och lappade hanteringsmekanismer ökar risken för cyberbrottslighet. Cyberattacker, särskilt de som är relaterade till ransomware, har blivit mer ekonomiskt motiverade, flernivåer och vågade. Dessutom har den storskaliga övergången till distansarbete som skapats av Covid-19-pandemin förändrat cybersäkerhetslandskapet..
Följande är de viktigaste reglerande trenderna som påverkar cybersäkerhet, enligt definitionen av GlobalData.
Cybersäkerhetsrapport från amerikanska banker
Effekterna av de nya reglerna för rapportering av cybersäkerhetsincidenter på amerikanska banker kommer att bli betydande. Reglerna innebär att amerikanska banker måste rapportera till federala tillsynsmyndigheter inom 36 timmar efter att eventuella cybersäkerhetsincidenter har upptäckts. Säkerhetspersonalen bör ha adekvat teknisk, administrativ och fysisk support för att upptäcka datasäkerhetsincidenter och ha policyer och procedurer på plats för att avgöra om de har stigit till nivån för en anmälningsincident. De kommer också att behöva upprätthålla lämpliga regulatoriska kontaktpunkter så att de snabbt kan kontakta byrån vid behov.
Säkerhetssamarbete i försörjningskedjan
Regeringar runt om i världen, inklusive USA, Frankrike och Storbritannien, börjar ta försörjningskedjans säkerhet på allvar och samarbetar för att förhindra attacker från leveranskedjan. I maj 2021 utfärdade den amerikanska regeringen en order om att stärka säkerheten i försörjningskedjan efter en rad cyberattacker, inklusive en attack mot SolarWinds nätverkshanteringsverktyg som påverkade upp till 18 000 organisationer i december 2020.
Den amerikanska verkställande ordern krävde att den amerikanska regeringen skulle utveckla säkerhetsstandarder för programvara som säljs för att åtgärda sårbarheter i mjukvaruförsörjningskedjan, inklusive att se till att programvaran är mer synlig för utvecklare. I Storbritannien fann regeringens 2021 Cyber Security Violations Survey att endast 12 % av företagen ansåg cybersäkerhetsrisker från deras leverantörer, och 5 % gjorde det för bredare leveranskedjor. Det största problemet är det låga erkännandet av leverantörsrisk: många organisationer är ofta otydliga om hur deras leverantörers cybersäkerhet är relaterad till deras säkerhet.
Nu väntar ett utökat internationellt samarbete för att bekämpa hot. Efter ett möte med Frankrikes president Emmanuel Macron i november 2021 sa USA:s vicepresident Kamala Harris att USA skulle underteckna det ramverk som föreslagits av den franska regeringen för samarbete inom cyber- och leveranskedjans säkerhet.
Obligatoriskt avslöjande av cyberattacker
US Securities and Exchange Commission (SEC) och den amerikanska senaten skärper reglerna för obligatoriskt avslöjande av cyberattacker. Det kommer efter krav på hårdare rapporteringsregler 2021 efter ransomware-attacker på Colonial Pipeline, köttprocessorn JBS och mjukvaruföretaget Kaseya.
Den nya regeln, som föreslogs av SEC i mars 2022, kommer att tvinga offentliga företag att avslöja cyberattacker inom fyra dagar, tillsammans med periodiska rapporter om hanteringsplaner för cyberrisk. I synnerhet kommer den föreslagna regeln att ändra rapporteringskraven så att de inkluderar avslöjande av en cybersäkerhetsincident “inom fyra arbetsdagar efter att registranten har identifierat en betydande cybersäkerhetsincident.”
I mars 2022 antog den amerikanska senaten också enhälligt 2022 års amerikanska cybersäkerhetsförstärkningslag. Detta kommer bland annat att kräva information från kritiska infrastrukturoperatörer och federala myndigheter om cyberattacker och betalningar av lösenprogram.
Den gradvisa förändringen i avslöjandetänkande kommer efter att Microsofts president Brad Smith krävde att cyberattackerna skulle offentliggöras. Smith uppmanade amerikanska lagstiftare att göra åtaganden till företag och organisationer att rapportera alla cyberattacker de möter för att bättre skydda landet från incidenter som SolarWinds systemintrång.
EU:s cybersäkerhetslagstiftning
Att skapa nya lagar för att hantera cybersäkerhet är en utmaning för ett land. Det är svårare att marknadsföra dem i 27 länder. Den nya EU-lagen, NIS2, ställer upp strängare cybersäkerhetskrav för riskhantering, rapportering och informationsdelning. Lagen kommer att införa nya regler i EU:s medlemsländer för att förbättra säkerheten för nätverk och informationssystem.
EU-länderna kommer att behöva skärpa kontrollerna och verkställighetsåtgärderna och anpassa sanktionsregimerna. Kraven inkluderar incidentrespons, leveranskedjans säkerhet, kryptering och avslöjande av sårbarhet. Direktivet ger också en ram för bättre samarbete och informationsutbyte mellan de behöriga myndigheterna och medlemsstaterna och en databas över europeiska sårbarheter.
Det ursprungliga europeiska cybersäkerhetsdirektivet etablerades 2017, men alla EU-länder har implementerat det på olika sätt, vilket leder till en otillräcklig nivå av cybersäkerhet. Det finns ett antal frågor som fortfarande måste åtgärdas under NIS2, inklusive rapporteringsskyldighet i händelse av en cyberincident. Efter avtalet beräknas lagen träda i kraft 2024.
Säkerhetsstandarder för konsumentprogramvara
Den amerikanska regeringen vill att konsumenterna ska vara mer bekymrade över huruvida deras enheter som är anslutna till internet kan gå sönder. Den vill gå bortom den växande cybersäkerheten i kritiska branscher och förändra människors uppfattningar om cybersäkerhet. Det återstår att se om andra länder kommer att kopiera detta steg.
Denna ansträngning härrörde från president Bidens verkställande order om cybersäkerhet i maj 2021 och leddes av US National Institute of Standards and Technology (NIST). NIST planerar att skapa ett certifieringsprogram som bekräftar att enheter anslutna till Internet uppfyller grundläggande cyberstandarder, som att acceptera programvarukorrigeringar och övervaka vilken information användare samlar in och delar om dem.
Detta är ett redigerat utdrag Cybersäkerhet – Tematisk forskning Rapport utarbetad av GlobalData Thematic Research.
Relaterade företag
BEA Technologies
