U proteklih samo nekoliko godina jedna se uloga u kibernetičkoj branši bitno promijenila, a to je uloga direktora informacijske sigurnosti (engl. Chief Information Security Officer, CISO). Jedan od glavnih razloga za to je SunBurst, veliki napad na američku softversku kompaniju SolarWinds, otkriven krajem 2020.-te, koji je izazvao tektonske promjene u sigurnosnoj industriji. SunBurst je u središte pažnje doveo sigurnost lanca nabave softvera i rizike trećih strana, ali i promijenio paradigmu direktora informacijske sigurnosti u velikim američkim kompanijama, napose onima koje kotiraju na burzi.
O čemu se zapravo radi? Prije napada na SolarWinds, koji je za krajnji cilj imao napasti američku Vladu, bilo je uobičajeno da marketing i PR uređuju izvješća o sigurnosti kompanija. Izjave direktora informacijske sigurnosti često su razvodnjavane ili su gubile smisao. Još gore: očišćeni jezik ponekad možda nije adekvatno prenio stanje sigurnosti u organizaciji. Ipak, takvo se uređivanje pred samo nekoliko godina smatralo normalnim u kompanijama izlistanima na burzi. Za tu se praksu snosilo malo ili nimalo posljedica.
To se sada, čini se, mijenja. I to na dramatičan način. Krajem listopada američki regulator SEC (Komisija za vrijednosne papire i burze) tužio je SolarWinds i njegovog direktora informacijske sigurnosti, navodeći da su obmanuli investitore krijući nedostatke u sigurnosti kompanije. U tužbi tvrdi da su kompanija i njen CISO kršili američke zakone o vrijednosnim papirima jer su u izvještajima prema burzi i regulatoru prikrivali ranjivosti i događaje iz domene sigurnosti.
Regulator je, po svemu sudeći, zauzeo stajalište da je CISO SolarWindsa osobno odgovoran za ono što je donedavno bila uobičajena praksa mnogih organizacija i njihovih direktora informacijske sigurnosti. Potez Komisije za vrijednosne papire je presedan, odlučujući događaj između dva razdoblja. U novom dobu, direktori informacijske sigurnosti su osobno i financijski odgovorni za ishode sigurnosnih programa u poduzećima, a izvještavanje o sigurnosti organizacija pod povećalom je više nego ikad.
Enron-moment u sigurnosnoj branši
Da bismo bolje razumjeli pomak koji se događa u sigurnosnoj industriji, korisno ga je usporediti sa sličnim pomakom u financijskoj industriji. Ranih 2000.-ih, financijska industrija je prošla kroz sličnu promjenu paradigme kada je propala energetska tvrtka Enron. Otkriven je niz nepravilnosti, pogrešnog prikazivanja vrijednosti investicija i drugih financijskih pokazatelja. Uslijedile su, među ostalim, tužbe SEC-a protiv Enronovog direktora financija Andyja Fastowa, koji je za to snosio ozbiljne posljedice i odslužio zatvorsku kaznu.
Tužba SEC-a protiv SolarWindsa i njihovog CISO-a Timothyja Browna bit će naš Enron-moment, rekao je moj prijatelj i kolega iz sigurnosne branše Daniel Miessler. Sličnost nije u tome što je Brown namjerno počinio bilo kakav prekršaj, već u načinu na koji je reagirao regulator.
Direktori informacijske sigurnosti morat će se ubuduće ponašati slično kao direktori financija u svijetu nakon Enrona. Uz brigu o sigurnosti poduzeća, vjerojatno će biti osobno odgovorni za izjave o sigurnosti i eksterno izvještavanje te će biti podvrgnuti strožoj regulativi. U toj su se poziciji direktori financija našli nakon propasti Enrona i donošenja Sarbanas-Oxleyevog zakona iz 2002., kojim su uvedeni novi zahtjevi, obaveze i odgovornosti u računovodstvu i financijskom izvještavanju. Za očekivati je da se stvari na sličan način razviju i u sigurnosnoj industriji.
Vjerujem da su sljedeće četiri promjene na pomolu, ili su već došle, za današnje CISO-e:
- Uvest će se treninzi za izvještavanje za više rukovoditelje, uključujući direktore informacijske sigurnosti, a moguće i za cijelu tvrtku. Uprave poduzeća imat će jedan novi prioritet: izuzetan oprez u vezi s onim što se i kako o sigurnosti govori, i usmeno i pismeno, i interno i eksterno.
- Za mjesta direktora informacijske sigurnosti konkurirat će kandidati širokih kompetencija. U većoj mjeri nego dosad, za te će se pozicije razmatrati ljudi s multidisciplinarnim i dobro zaokruženim iskustvom te s odličnim razumijevanjem poslovanja.
- Skupa s novim odgovornostima, direktorima informacijske sigurnosti pripast će i veća razina senioriteta u organizaciji. Očekivat će se široko razumijevanje rizika. Rad i odgovornosti CISO-a shvaćat će se jednako ozbiljno kao rad i odgovornost direktora financija. Oni koji nisu spremni na veću odgovornost vjerojatno će prepustiti mjesto CISO-a nekome drugome.
- Direktori informacijske sigurnosti imati će posljednju riječ u izvještavanju, tj. u internim i eksternim komunikacijama o sigurnosti kompanije. U novoj eri, poduzeća će se jače štititi od pravnih i drugih posljedica koje mogu nastati zbog nejasnih izvještaja o sigurnosti.
Prilika za one koji je žele
Zbog svega ovoga, jasno je da se direktori informacijske sigurnosti trebaju ponašati kao financijski direktori već prvoga dana, čim preuzmu dužnost. Više nemaju slobodu davati prednost poslovnim interesima i podređivati im sigurnost organizacije, jer će ih se u slučaju kibernetičkog incidenta smatrati osobno odgovornima za lažno prikazivanje sigurnosnih praksi.
Neki će reći da se kibernetičkim liderima spremaju teška, opasna vremena. Držim da se otvaraju i mnoge prilike. Sigurno je da će u novoj eri direktori informacijske sigurnosti imati više posla, više nadzora i više odgovornosti. S druge strane, moći će preuzeti višu i utjecajniju ulogu u organizaciji i raspolagati s više resursa. Moći će dati prioritet ključnim sigurnosnim potrebama u većoj mjeri nego ranije, i biti vrlo transparentni oko stanja sigurnosti svojih organizacija.
A budući da će CISO-i i njihove tvrtke biti transparentniji i odgovorniji, vjerujem da će uživati veće povjerenje kupaca, investitora, nadzornih odbora, zaposlenika, regulatora i zajednica u kojima posluju. Direktori informacijske sigurnosti imaju veliku priliku za iskorak, i upravo sada je vrijeme da je iskoriste.