新提案的网络安全监管法规

关键要点

美国证券交易委员会SEC今年3月提出的一项法规提案将要求上市公司在发生网络安全事件后72小时内向投资者、股东及客户报告，并同时报告给网络安全基础设施安全局CISA。这一提案是在2020和2021年期间尽管网络攻击频发，但有关网络事件的Form 8K和10K披露呈现出下降趋势的背景下提出的。

若该提案获得全体委员会的通过，企业将必须披露其网络安全治理能力，包括董事会对网络风险的监督情况、管理层在评估和管理网络风险方面的角色描述，以及实施公司网络安全政策、程序和战略的能力。

监管重新觉醒

去年3月，《2022年关键基础设施网络事件报告法案》CIRCIA获得签署成为法律。这项法律要求特定被攻击的组织报告重大网络事件，同时提供保护措施以激励这些组织进行报告。同时，该法案也要求这些组织在支付赎金后24小时内报告相关付款。

SEC的新提案要求上市公司率先披露是否将网络安全纳入其商业战略、资本分配和财务规划中。董事会现在需要对网络安全监督负有责任，确保其防御措施能够应对全球威胁。

这些广泛的法规旨在提高投资者和利益相关者的透明度，让他们能够对投资和数据做出明智的决策。如果企业未能遵守SEC的法规，将面临巨额罚款，这意味着在网络安全最佳实践和风险管理上进行投资比以往任何时候都更加重要。

若该提案在2023年获得批准，将不再允许被动和反应性的网络韧性方法。上市公司在记录时间内披露网络攻击将成为强制要求，这也将加大对良好治理和严密保护措施的需求。为迎接监管的到来，公司必须加强网络防御，降低泄露风险，通过系统测试验证忍耐能力。

保护资产以降低风险

愈发重要的是，股东希望确保其资产受到保护，并避免因毁灭性的网络攻击而导致投资损失。因此，企业必须采取积极措施保护资产，避免潜在的损害和泄露声明。以下是公司如何满足SEC新指导原则并实施有效网络安全计划的一些可行建议：

通过网络模拟测试

网络模拟可以让组织创建其生产网络的高保真数字复本。安全团队可以针对这一模拟网络发动网络攻击，通过评估网络对攻击的检测、识别和响应能力，来检验公司的人员、流程和技术在安全方面的有效性。通过持续测试防御技术，企业可以进行必要的调整，进而增强其网络保护能力，并实证测量工具的有效性。

教育团队

根据IBM的一项研究，95的网络安全漏洞源于人为错误。由于这部分错误在攻击成功中占据重要比例，因此教育和测试员工对于确保日常运营的安全至关重要。SlashNext 2022年网络钓鱼报告揭示，在六个月的时间里，网络钓鱼攻击数量超过255亿次，与2021年相比增长了61。随着这一比例在2023年可能再次大幅上升，确保所有员工接受深入培训并高度警觉潜在网络威胁显得尤为重要，这将有助于减少技术错误和决策错误。

确保恢复能力

应对网络攻击不仅包括保护数据和网络，更要确保公司系统的高可用性和在攻击后的迅速恢复。网络攻击是不可避免的，但迅速恢复网络能够将数据损失降到最低，同时有效安抚投资者。

董事会应始终将网络韧性纳入