商业领导者需重视网络安全风险

关键要点

• 随著新 SEC 规章的实施，公开公司需在四天内披露网络安全事件及风险管理策略。
• 许多管理运营技术(OT)和物联网(IoT)的公司尚未做好准备应对这些要求。
• 面对日益增长的网络威胁，系统安全和准备工作显得尤为重要。

商业领导者一向不愿公开讨论其机构的网络安全风险和失败，但如今许多人已别无选择。新的美国证券交易委员会 (SEC) 规定 自2023年12月18日生效，要求公开公司必须披露其网络安全风险管理策略，并在发现任何重大事件后的四天内报告。

这些新规定对于管理运营技术（OT）及物联网（IoT）的组织影响深远。这些系统和传感器控制著制造生产线、电网、石油炼厂和其他关键基础设施。

根据我的经验，这些公司中很少有准备好迎接 SEC披露要求的，因为他们缺乏快速识别系统漏洞和评估其影响的能力。听起来也许令人惊讶，许多公司已经努力加强其信息技术（IT）的网络安全——包括计算机系统、数据库和数据中心。而它们的OT和IoT系统，尽管同样容易受到网络攻击，但却保护得不够周全，这是多年的疏忽所致。

这是一个明显的漏洞，因为对这类系统的威胁与日俱增。我们的最新显示，对OT和IoT网络的恶意软件相关安全威胁在六个月内激增了十倍。这对高层管理及投资者，以及每天依赖这些系统的数百万人来说都是一个担忧。

负责管理OT和IoT的公开公司必须在系统遭遇网络攻击后迅速做出反应。尽管首席信息安全官（CISO）部分承担这个责任，其他负有信托职责的人——包括首席财务官、董事会成员及法律顾问——也必须密切关注。

根据新的SEC规定，组织必须在确定事件为重大后的四天内披露网络安全事件——这是投资者应当知晓的内容。根据具体情况，FBI可能会允许延迟公开披露，如果判定对公众安全或国家安全存在重大威胁。

不论如何，公司必须迅速行动。这在最佳情况下都是挑战，但鉴于许多行业在OT监控能力上的普遍缺乏准备，情况变得更加复杂。我们的研究表明，制造业、能源业和水处理行业是最脆弱的。

长期影响

SEC的披露规则在目标上与20年前的[萨班斯－奥克斯利法案 (SOX)](https://www.scworld.com/perspective/can- the-sec-use-sox-as-a-model-to-get-cybersecurity-rules- right)相似——且可能会有相似影响。SOX迫使银行变得更具透明度，并将责任落在高层管理者身上。新的规定旨在让投资者更加清晰地了解美国公开公司的网络安全策略、风险管理及治理情况，可以视为“CyberSOX”。

SEC对此事的重视程度可见一斑，该机构最近对SolarWinds提起诉