في عام 2023، فرضت قوانين جديدة في الولايات المتحدة حول الكشف عن اختراقات البيانات المزيد من الضغط على موظفي الأمان في الشركات – وخاصة رؤساء أمان المعلومات (CISOs) – في الوقت الذي كانت فيه الوكالات والمحاكم تشير إلى أن الأفراد يمكن أن يتحملوا المسؤولية عن الحوادث. كانت العقوبة الجنائية الأولى للمسؤول التنفيذي السابق للأمان في شركة أوبر، جو سوليفان، حيث حكمت عليه السلطات الأمريكية بثلاث سنوات من الإشراف القضائي وغرامة قدرها 50,000 دولار بسبب توريطه في تغطية الخرق الأمني من عام 2016. وقد اتضح له بواسطة قراصنة عن ثغرة أمنية تعرضت لها بيانات الركاب والسائقين على منصة الحجز عبر التطبيق. كانت هذه أول محاكمة جنائية لمسؤول تنفيذي في شركة بسبب التعامل مع اختراق بيانات.
بعد ذلك ببضعة أشهر فقط، قامت هيئة الأوراق المالية والبورصات الأمريكية بتوجيه اتهام لمدير أمن المعلومات في شركة SolarWinds، تيموثي براون، بتهمة التزوير وفشل في الضوابط الداخلية بعدما تعرضت الشركة للاختراق من قبل قراصنة روس أثناء حملة تجسس. اتهمت الهيئة كل من الشركة وبراون بإضلال المستثمرين عن طريق عدم الكشف عن “المخاطر المعروفة” وعدم تمثيل تدابير الأمان السيبراني بدقة. يروى واغنر ناسيمنتو، نائب الرئيس ورئيس الأمن في شركة Synopsys لصناعة أدوات تصميم الرقائق: “إذا تحدثت مع مجتمع CISO، يتخوف كل CISO أعرفه من هذا”. نتج عن ذلك أن بعض موظفي الشركات يختارون عدم تحمل مسؤولية CISO، أو عدم الجلوس في لجان الكشف في الشركات، من أجل تجنب تحمل المسؤولية والمخاطر بأنفسهم.
اصبح القادة السيبرانيين أكثر أهمية مع تحول الشركات الرقمية ومواجهتها لمزيد من التهديدات القرصنة. في الوقت الحالي، زاد التحول إلى العمل عن بعد وقدرة التهديد على الحرب السيبرانية وسط تصاعد التوتر الجيوسياسي – بشكل ملحوظ حول الصراع بين روسيا وأوكرانيا – أهمية أدوار الأمن الداخلي أكثر. وفي الوقت نفسه، نما العبء التنظيمي على المحترفين في الأمان السيبراني. تتطلب القواعد الجديدة من هيئة أوراق الأمانات الدولية تقديم الشركات العامة تقريرًا سنويًا عن كيفية إدارة ورقابة المخاطر السيبرانية داخليًا.
توفر هذه القواعد الشفافية للمستثمرين، ويمكن أن تساعد الوكالات الحكومية في دعم الشركات بشكل أفضل، وقد تكشف حتى أنماطًا في الهجمات السيبرانية ومتسللي الهجمات. بعد تبني تلك اللوائح الجديدة، تشير بعض الخبراء في مجال الأمان السيبراني إلى أن المعلومات التي يكشفها قادة السيبرانيات قد تكون غير كاملة وقد توفر تفاصيل رئيسية عن ثغرات شركاتهم للمهاجمين السيبرانيين المحتملين. في بعض الحالات، قد يتم استخدام القواعد الجديدة لزيادة الضغط على الضحايا لدفع الفدية.
كانت الاستجابات للقواعد الجديدة متباينة حسب خبراء الأمان السيبراني. اعتمدت الشركات عتبات مختلفة للاختراقات السيبرانية “المواد”، ولم تكن كثير منها مفصلة جدًا في كشفاتها، أو كانت قد تقدمت بتحفظ عليها بشدة. ينصح الخبراء قادة السيبرانيات بإجراء تدقيقات أمان منتظمة ووضع خطط واضحة للاستجابة للحوادث توافق أقسامهم القانونية والأمنية والعلاقات العامة والمالية. يقول هيو تومبسون، الرئيس التنفيذي لمؤتمر الأمان السيبراني RSA والشريك الإداري في مجموعة رأس المال الاستثماري كروسبوينت: “رأيت مزيدًا من الاستثمارات الكبيرة في قيادات الأمان في تطوير عمليات إدارة المخاطر”.
