يصبح لقادة السيبرانية خطر السيبراني يتحول إلى شخصي. في عام 2023، فرضت قواعد جديدة في الولايات المتحدة حول الكشف عن اختراقات البيانات ضغطًا إضافيًا على موظفي الأمان في الشركات، بما في ذلك مديري أمان المعلومات (CISOs)، في حين كانت الوكالات والمحاكم تظهر أن الأفراد قد يتحملون المسئولية عن الحوادث. في العام الماضي، على سبيل المثال، حكمت السلطات الأمريكية على جو سوليفان، رئيس الأمان السابق في أوبر، بثلاث سنوات من المراقبة الجنائية وغرامة قدرها 50 ألف دولار لاخفائه اختراق بيانات من عام 2016. وقد تم إخطاره بمعلومات من قبل قراصنة حول ثغرة أمان كشفت معلومات شخصية لحوالي 60 مليون سائق وراكب على منصة الركوب. كانت هذه أول ملاحقة جنائية لمدير شركة بسبب التعامل مع اختراق بيانات. بعد ذلك بقليل، قامت لجنة الأوراق المالية والبورصات الأمريكية بتوجيه اتهامات لمدير أمان SolarWinds، تيموثي براون، بتهمة الاحتيال وفشل الرقابة الداخلية بعد اختراق الشركة من قبل قراصنة روس، واتهم الرقيب كل من الشركة وبراون بمضايقة المستثمرين عن طريق عدم الكشف عن “المخاطر المعروفة” وعدم تمثيل تدابير الأمان السيبراني بدقة.
في الوقت الحالي، يرى ناسيمينتو أن التغييرات التنظيمية تعتبر فرصة يجب على مديري أمان المعلومات استغلالها، كوسيلة لتقديم دور أكثر نشاطًا وتأثيرًا في الحوكمة الشركاتية. “لقد كنا نكافح من أجل هذا المكان لفترة طويلة”، يُجادل. “الآن، لديك الفرصة للجلوس على الطاولة، للحديث مع الرئيس التنفيذي، ولتكون جزءًا من المحادثة.” لقد أصبحت قادة السيبرانية أكثر أهمية مع اعتماد الشركات على التحول الرقمي ومواجهتها لمجموعة واسعة من التهديدات القرصنة. في الوقت نفسه، نمت عبء التنظيم على محترفي الأمان السيبراني. تتطلب قواعد الهيئة الأمنية والبورصات الأمريكية الشركات العامة الكشف، في تعهداتها التنظيمية، عن أي حادث يُعتبر “جوهري” خلال نافذة من أربعة أيام عمل بعد تحديده على أنه كذلك. يجب على أي شركة عامة أيضًا الإبلاغ، سنويًا، كيفية الحكم وإدارة المخاطر السيبرانية داخليًا. تقدم هذه القواعد الشفافية للمستثمرين، وقد تساعد الوكالات الحكومية في دعم الشركات بشكل أفضل، وحتى يمكن أن تكشف عن أنماط في الهجمات السيبرانية وفي مسالك الهجمة.
ويقوم بعض خبراء الأمان السيبراني، مع ذلك، بتحذير أن المعلومات التي يكشفها قادة السايبر يمكن أن تكون ناقصة وقد توفر تفاصيل رئيسية حول نقاط ضعف الشركات للقراصنة المحتملين. في بعض الحالات، قد يتم استخدام اللوائح الجديدة حتى لزيادة الضغط على الضحايا لدفع فدية. على سبيل المثال، قدمت إحدى مجموعات قراصنة الفدية، المعروفة باسم ALPHV/BlackCat، تبليغًا ضد أحد ضحاياها، MeridianLink، إلى الرقيبة الأمنية بعد رفض الشركة المالية دفع الفدية. هددت ALPHV/BlackCat بنشر البيانات المخترقة إذا لم تدفع الشركة في غضون 24 ساعة. أصدرت MeridianLink بيانًا تؤكد فيه أنها لم تعثر على أدلة على الوصول غير المصرح به إلى أنظمتها. في العديد من الطرق، تثير اللوائح الجديدة مخاطر قانونية للشركات العامة: تعرضهم لدعاوى قضائية بسبب انتهاكات الخصوصية، وكذلك رفع شبح التهم والعقوبات المالية على مديري الأمان الفرديين الذين يعملون في الشركة. “هناك الكثير من القلق داخل مجتمع الأمان السيبراني اليوم أن هناك… قد تكون عواقب لأمور يراها العديد خارجة عن سيطرتهم”، يقول هيو طومسون، رئيس هيئة تنظيم سيبراني في معرض RSA للأمان وشريك إداري في مجموعة رأس المال في Crosspoint.
تختلف ردود الفعل على القواعد الجديدة وفقًا لخبراء الأمان السيبراني. اعتمدت الشركات حدودًا مختلفة للاختراقات السيبرانية “جوهرية”، ولم تكن العديد منها مفصلة جدًا في كشفها، أو فصلها بشكل شبه كامل. “مسألة حقيقية لمديري الأمان هي أي تغير بين التصريحات السابقة حول موقف الأمان”، يقول إيجور فولوفيتش، نائب رئيس استراتيجية الامتثال في مجموعة الامتثال السيبراني Qmulos. يحذر من أنه إذا كانت الشركات قد ادعت أنها قوية في الأمان لأطراف ثالثة عندما كانت لديها عيوب في الأمان معروفة، يمكن اعتبار ذلك غشا تجاريًا أو نصبًا على المساهمين. ينصح الخبراء قادة السايبرانية بإجراء تدقيقات أمان دورية ورسم خطة واضحة للاستجابة للحوادث توافق أقسامها القانونية والأمنية والعلاقات العامة والتمويل. طهّر سي ينفذ قلب الرئيس التنفيذي للأمور السيبرية والشركة الأمنية المتميزة الأستاذ في علم تحليل البيانات في EXL تقول فيكت جتل أن على مديري أمان المعلومات “أن يوثقوا القرارات، حتى الأصغر حتى، وأن يكونوا مستعدين للدفاع عنها، ليس فقط داخليًا ولكن للجهات الرقابية والمفتشين”. يحث ناسيمنتو الشركات على وضع بروتوكولات لدى وجود خلاف حول ما يمثل جوهري. في بعض الحالات، “قد لا يكون جوهريًا بالنسبة للمحامي، ولكن بالنسبة لـ CISO هو”، يشرح. “عندما يحدث ذلك، ما هو المسار؟”