專家觀點 — 網絡倡議小組 (由 The Cipher Brief 提供支持)提交了與國家安全相關的評論,以支持 SEC 的擬議規則 關於本週上市公司的網絡安全風險管理、戰略、治理和事件披露。 官方文件如下。
由前國家安全局總法律顧問領導的評論者 格倫·格斯特爾, 包括 凱利比塞爾, 微軟公司全球安全服務主管, 閣下。 蘇·戈登 前國家情報局首席副局長,馬特·海登, 負責網絡、基礎設施、風險和彈性的前國土安全部助理部長, 邁克爾·海登將軍(退役), 中央情報局和國家安全局前局長, 漢。 S.萊斯利愛爾蘭, 負責情報和分析的前助理財政部長理查德 H. 萊傑特, Jr., 國家安全局前副局長, RADM 馬克蒙哥馬利(退休), 網絡空間日光浴室委員會前執行主任和 黛博拉·普朗克特,女前國家安全局信息保障局局長。
在我們期間加入 CIG 的負責人 5月25日星期三虛擬春季峰會th 並與公共和私營部門領導人就俄羅斯發起的潛在網絡行動、保護關鍵基礎設施、應對勒索軟件爆炸和管理第三方提供商等問題進行交流。 該活動是免費的,記錄在案的活動。 立即預訂座位.
文件編號 S7-09-22 – 對擬議規則的評論
以下簽署人提交這些意見,以支持委員會於 2022 年 3 月 9 日提出的有關上市公司網絡安全風險管理、戰略、治理和事件披露的規則(“擬議規則”)的目標。
簽名者是網絡倡議小組的負責人,該委員會由 The Cipher Brief 組建和讚助,The Cipher Brief 是一家私營媒體組織,與美國私營部門合作,以提高對網絡安全和國家安全事務的認識。 我們中的許多人目前直接參與私營部門的網絡事務,並在網絡安全的政策和運營方面擁有豐富的經驗; 我們中的許多人曾在我們國家武裝部隊或情報界的最高級別服役,而其他人則在美國最重要的網絡安全公司和技術提供商中擔任領導角色。 (我們以個人身份寫作,下面提到的從屬關係僅用於識別目的。)
我們提交這些評論的目的是支持擬議規則的目標,告知委員會我們認為國家安全問題是製定規則的有效且重要的理由,並強調擬議規則有可能受益於不不僅是投資者和註冊人,而且在我們看來更重要的是我們的國家安全。 在此過程中,我們不會評論擬議規則的範圍、監管負擔或其他技術方面——因為其他人可以更恰當地處理這些細節。 然而,我們可以就上市公司更好的網絡安全態勢對國家安全的影響發表評論。
正如委員會在其與擬議規則所附的背景聲明中指出的那樣,“[l]大規模網絡安全攻擊可能對整個經濟產生系統性影響,包括對關鍵基礎設施和國家安全的嚴重影響。”
所有簽名者都熟悉我們的網絡對手的技術複雜性,並相信這將繼續增加,給我們的國家帶來更大的風險。 在這方面,我們注意到 美國情報界的年度威脅評估 (日期為 2022 年 2 月 7 日)將來自四個民族國家對手——中國、俄羅斯、伊朗和朝鮮——的網絡惡意行為列為頭號威脅。 不幸的是,隨著對抗性威脅的增加,我們的脆弱性也在增加,因為我們在商業、政府和個人生活的各個方面越來越依賴數字技術。 物聯網的出現,以及 5G 電信技術、人工智能和潛在的量子計算(僅舉幾例)正在生成、存儲和使用的大量數據,將為惡意攻擊創造更多有吸引力的目標網絡活動,從而增加了我們國家基礎設施、企業和公民的風險。 大部分技術由上市公司擁有和運營。 這些漏洞會直接影響我們的國家安全。
我們認為,要求當前報告重大網絡安全事件的目標,以及定期披露 (1) 註冊人識別和管理網絡安全風險的政策和程序,(2) 管理層在實施網絡安全政策和程序中的作用,以及 (3)董事會的網絡安全專業知識及其對網絡安全風險的監督是適當的,並且可能會增強註冊人的網絡安全態勢。 上市公司擁有關鍵基礎設施,經營或管理每個工業、農業和服務業的關鍵業務,在許多方面構成美國經濟的支柱。 因此,上市公司內部網絡安全的改善直接轉化為更加網絡安全和網絡彈性的國民經濟。 理所當然地,要求對重大網絡事件進行額外報告將更好地為投資者、公眾和政府機構提供信息,而增加對網絡政策和董事會經驗的披露將鼓勵上市公司(進而,私營公司,至少在一定程度上) ) 滿足(如果不超過)這些領域的市場預期。
就其固有性質而言,這些好處不能輕易量化,但在這種情況下,缺乏精確的測量不能成為否認明顯和合乎邏輯的理由。 我們認為,這些對我們國民福祉的好處是至關重要的,可以而且應該在委員會的政策制定和規則制定中加以考慮。
我們理解,利益相關方會對擬議規則的範圍和其他技術方面有不同的看法,如上所述,我們不會在此就這些問題發表意見。 但我們確實希望指出,任何將通知和披露與其他要求(例如將根據 2022 年關鍵基礎設施網絡事件報告法案實施的要求)標準化和協調的任何努力顯然都將具有提高穩健合規性的效果。 ,並進一步達到擬議規則的目的。
報名參加 網絡倡議組 通訊。 更好的網絡結果需要更好的思考。 在我們教育和創造新的網絡未來的過程中,加入新的公私網絡生態系統的專家。 報名參加 CIG 通訊 今天。
在 The Cipher Brief 中閱讀更多由專家驅動的國家安全見解、觀點和分析,因為國家安全是每個人的事。