CISO's onder de microscoop: voorbereiding op aansprakelijkheid van leidinggevenden
Inhoudsopgave:
De voormalige CISO van Uber, Joe Sullivanslaagde er vorige maand niet in zijn naam te zuiveren, waarmee een discussie werd heropend over de persoonlijke risico's die topbestuurders lopen als gevolg van cyberbeveiligingsinbreuken.
Sullivan had in oktober 2022 beroep aangetekend tegen een veroordeling wegens het verbergen van een misdrijf nadat hij cybercriminelen had omgekocht die klantaccounts bij zijn voormalige werkgever hadden gehackt. Bij de hack in 2016 werden de persoonlijke gegevens van 57 miljoen klanten en 600,000 Uber-chauffeurs gecompromitteerd. Sullivan betaalde de criminelen $ 100,000 uit het bug bounty-programma van het bedrijf en liet hen een geheimhoudingsverklaring ondertekenen. Hij verzuimde ook de Federal Trade Commission te informeren, wat hij wel moest doen op grond van een schikking uit 2014 na een andere hack.
Sullivan, die voor zijn veroordeling in mei 50,000 was veroordeeld tot drie jaar voorwaardelijke celstraf en een boete van $ 2023, had tegen de uitspraak beroep aangetekend. Hij betoogde dat hij zich niet schuldig had gemaakt aan 'misprision' – het verbergen van een misdrijf voor de overheid – omdat de NDA met terugwerkende kracht toestemming had gegeven voor de hack. De rechtbank verwierp dit argument, evenals enkele beweringen over procedurefouten.
De standvastigheid van de rechtbank in deze kwestie roept opnieuw het spookbeeld op van persoonlijke aansprakelijkheid van bestuurders voor inbreuken op de cyberbeveiliging en/of het verkeerd omgaan met incidenten. Deze vermeende overtredingen kwamen in verschillende vormen voor.
Sommige vermeende tekortkomingen van CISO's draaien om misleidende verklaringen. De SEC heeft SolarWinds' CISO Timothy G. Brown persoonlijk vervolgd na de inbreuken bij het bedrijf in 2019 en 2020, met het argument dat hij in openbare documenten valse verklaringen over de cyberbeveiliging had afgelegd, ondanks dat het bedrijf op de hoogte was van de zwakke punten. Een rechtbank heeft de beschuldigingen tegen Brown later verworpen.
Andere draaien om het gebrek aan cyberbeveiliging zelf. James Rellas, CEO van alcoholbezorgservice Drizly, had geen speciale leidinggevende die verantwoordelijk was voor cyberbeveiliging toen een inbreuk bij zijn bedrijf de gegevens van 2.5 miljoen klanten blootlegde. De FTC's rapport van 2022 bestellen hield niet alleen het bedrijf verantwoordelijk voor vermeend nalatig gedrag op het gebied van cyberbeveiliging, maar ook hem persoonlijk.
Eén persoonlijke boete opgelegd aan een CISO gericht op frauduleus gedrag. Jun Ying, voormalig CISO bij Equifax US Information Solutions, kreeg een gevangenisstraf van vier maanden Nadat hij zijn aandelenopties had uitgeoefend voordat een inbreuk bij het bedrijf in 2017 openbaar werd gemaakt, ontweek Ying, die op de hoogte was van de inbreuk toen hij zijn opties verzilverde, meer dan $ 117,000 aan verliezen door middel van handel met voorkennis. Het Amerikaanse ministerie van Justitie dwong hem de verliezen terug te betalen, plus een boete, en hij werd veroordeeld tot een gevangenisstraf van vier maanden.
Aansprakelijkheid van leidinggevenden buiten de VS
Het zijn niet alleen Amerikaanse leidinggevenden die persoonlijk aansprakelijk worden gesteld voor het afhandelen van cyberincidenten. Kim Jin-Hwan, privacy officer van het Zuid-Koreaanse reisbureau Hana Tour Service, werd persoonlijk beboet 10 miljoen Koreaanse won voor nalatigheid bij een inbreuk in 2017 die 465,000 klanten trof.
Regelgeving heeft ook de aandacht gevestigd op de persoonlijke verantwoordelijkheid van leidinggevenden. De EU 2022 NIS2-richtlijn (2022) legt het topmanagement verantwoording af voor het niet naleven van cybersecurityregelgeving, wat persoonlijke sancties tegen individuen mogelijk maakt. Deze omvatten tijdelijke schorsingen van leidinggevenden die niet in staat worden geacht hun cybersecurityverantwoordelijkheden na te komen.
Een andere EU-verordening, de Digital Operational Resilience Act (DORA), is erop gericht ervoor te zorgen dat financiële organisaties kritieke diensten kunnen blijven leveren in het licht van systemische bedreigingen. Deze wet maakt boetes tot een miljoen euro mogelijk voor nalatig management.
Uitdagingen voor CISO's
Het probleem voor CISO's schuilt in het 'afschrikwekkende effect' dat het gevaar van persoonlijke aansprakelijkheid met zich meebrengt, waarschuwden velen in brieven aan rechter William Orrick III, die de oorspronkelijke Uber-zaak voorzat. De zorg is dat CISO's zich onder de dreiging van persoonlijke aansprakelijkheid niet in staat zouden kunnen voelen hun werk te doen.
Die bezorgdheid is terecht als je kijkt naar het snel groeiende aanvalsoppervlak van de gemiddelde onderneming. Bedrijven worden gestimuleerd om concurrerend te blijven door snel evoluerende technologieën te testen, zoals AI, mobiel en cloudcomputing. Dat vergroot de druk op het toezicht van leidinggevenden. Als iemand die te goeder trouw handelt het risico loopt persoonlijk aansprakelijk te worden gesteld voor overweldigende cyberdreigingen, kan dat mensen ervan weerhouden die rol op zich te nemen.
De strafmaatregelen lijken hier echter niet zozeer te berusten op de cyberbeveiligingsinbreuken zelf, maar op de omgang met informatie over incidentrespons vóór en na de inbreuk. Sullivan werd niet gestraft voor de inbreuk. Hij werd gestraft omdat hij probeerde deze te verdoezelen. Anderen wisten al jaren van hun kwetsbaarheden vóór hun inbreuken en namen weinig tot geen preventieve maatregelen. En het naar voren brengen van nieuws over een inbreuk ten behoeve van uw eigen aandelenhandel is duidelijk een praktijk te kwader trouw.
Hoe u leidinggevenden kunt beschermen
Naarmate het risico van persoonlijke verantwoordelijkheid toeneemt, kunnen bedrijven die goed gevestigde cyberbeveiligings- en risicobeheerkaders hanteren, zichzelf en hun senior management beschermen tegen regelgevende of juridische gevolgen.
ISO 27001 is in deze context een essentieel instrument, omdat het een erkende internationale norm is die proactieve due diligence aantoont. De Ohio Data Protection Act biedt zelfs een expliciete juridische veilige haven voor cybersecurityprogramma's die redelijkerwijs voldoen aan ISO 27001.
ISO 27001 biedt een aantal kernpraktijken die kunnen helpen bij het aantonen van gepaste zorgvuldigheid en nauwgezetheid bij het volgen van cyberbeveiligingsmaatregelen. Deze omvatten het opzetten van een duidelijk, gedocumenteerd cybersecurity governance-kader met betrokkenheid van het topmanagement en het implementeren van op standaarden gebaseerde, gedocumenteerde incidentresponsplannen. Andere maatregelen omvatten het uitvoeren van regelmatige trainingen, audits en continue verbeteringsprocessen.
Aanbevolen wordt om uitgebreide documentatie bij te houden om bewijs te leveren van toezicht door de directie en risicomanagement, uitgevoerd naar beste vermogen van het managementteam.
Het woord 'team' is echter cruciaal. Senior executives moeten degenen die verantwoordelijk zijn voor cybersecurity goed ondersteunen en er moeten redelijke verwachtingen van hen worden gesteld. Maar al te vaak wordt van CISO's verwacht dat ze alle aanvallen stoppen zonder noemenswaardige investeringen en zonder de juiste ondersteuning van een bedrijf dat zich volledig richt op het uitbrengen van het volgende product en het maximaliseren van de winst. Dat is een malaise die een cultuuromslag vereist.
