Pada pertemuan komite audit baru-baru ini, kami diberi pengarahan oleh firma akuntansi Empat Besar kami tentang risiko dunia maya. Mereka merujuk pada pemberitahuan dua halaman dari Direktur Keamanan Siber dan Badan Keamanan Infrastruktur, Jen Easterly, yang dikirim kepada Direksi pada 25 Februari 2022 yang mendesak Direktur Perusahaan untuk berhati-hati dan bersiap menghadapi risiko dunia maya selama krisis Ukraina yang berkembang. (Lihat tautan: Surat Mendesak dari Direktur CISA yang ditujukan kepada Anggota NACD – 25 Februari 2022 (nacdonline.org)) Komunikasi dari Direktur Easterly mengungkapkan peningkatan risiko dunia maya yang berasal dari pelaku ancaman Rusia yang mungkin bertindak sebagai pembalasan terhadap sanksi ekonomi dan sanksi lainnya.
Sangat tidak biasa bagi lembaga pemerintah (CISA) untuk menjangkau langsung anggota dewan perusahaan.
Selain itu, pada 9 Maret 2022 SEC mengeluarkan proposal regulasi cyber setebal 129 halaman. Aturan yang diusulkan: Manajemen Risiko Keamanan Siber, Strategi, Tata Kelola, dan Pengungkapan Insiden
Apa yang sangat penting adalah singkatnya periode komentar – hanya 30 hari – pada aturan dan persyaratan yang luas yang akan mempengaruhi pendaftar dan Direktur Perusahaan, mungkin serupa dengan Sarbanes-Oxley Act hampir dua puluh tahun yang lalu (yang telah beban tak terduga yang signifikan dan dan biaya untuk perusahaan).
(Lihat tautan untuk mengirimkan komentar: SEC.gov | Cara Mengirim Komentar)
Faktor penting lainnya adalah bahwa peraturan yang diusulkan akan mempengaruhi baik perusahaan kecil maupun multinasional besar. Dapat dimaklumi, mengingat hampir semua perusahaan terhubung dengan internet dan sebagian besar rantai pasokan mencakup dealer kecil, distributor, dan produsen, peraturan yang diusulkan tidak mengecualikan perusahaan berdasarkan ukuran. Kita semua ingat pernah mendengar tentang bagaimana pelanggaran perusahaan besar sering kali berasal dari perusahaan kecil mereka yang kurang waspada atau kekurangan sumber daya yang merupakan bagian dari rantai pasokan mereka, atau dealer distribusi dan jaringan distributor mereka.
Peraturan baru tersebut menimbulkan pertanyaan kepada dewan seperti: Apakah dewan memiliki ahli siber? Apa kredensial mereka dan bagaimana keahlian mereka ditentukan? Bagaimana Dewan menjalankan pengawasannya terhadap risiko dunia maya? Apakah perusahaan mempertimbangkan risiko keamanan siber dalam strategi bisnis, perencanaan keuangan, dan proses alokasi modal?
Meskipun peraturan yang diusulkan tidak mengamanatkan Komite Dewan mana yang harus memiliki risiko siber dalam kewenangannya, hal itu tetap menjadi topik yang harus dipertimbangkan oleh Dewan. Ada pro dan kontra yang perlu dipertimbangkan, dan beberapa mengamati bahwa komite audit mungkin terlalu terbebani, dan apakah mereka memiliki waktu dan keahlian untuk mengawasi risiko dunia maya yang terus meningkat? Selain itu, komite audit sudah harus memperhatikan tenggat waktu pelaporan keuangan yang tinggi, sehingga merupakan pertimbangan lain yang harus dipertimbangkan oleh Dewan.
Perusahaan juga ditanya, apakah Anda memiliki Chief Information Security Officer? Ke mana orang itu melapor? Apa kredensial mereka? Tertanam dalam pertanyaan-pertanyaan ini adalah penentuan halus apakah CISO harus melaporkan secara independen dari organisasi TI, mungkin analog dengan cara fungsi audit internal umumnya tidak melaporkan dalam organisasi keuangan.
Ada peraturan khusus yang diusulkan yang rumit, jika tidak memprihatinkan. Misalnya, jika ada insiden siber yang material, perusahaan hanya memiliki waktu empat hari untuk mengungkapkannya kepada publik setelah menentukan bahwa insiden tersebut memang material. Menentukan materialitas melibatkan evaluasi kuantitatif dan kualitatif; proses itu perlu dikaji ulang. Selanjutnya peraturan mensyaratkan bahwa setiap insiden sebelumnya yang tidak naik ke tingkat materialitas selanjutnya dapat dianggap material ketika digabungkan dengan insiden cyber berikutnya dan serupa lainnya. Proses dan protokol untuk agregasi ini akan membutuhkan pengawasan dan masukan Dewan yang sangat menyeluruh.
Ada juga pertanyaan yang disimpulkan adalah seberapa siap cyber board? Apakah Anda memiliki pengarahan ahli eksternal untuk dewan? Pakar eksternal melakukan pengujian penetrasi? Pelatihan internal seperti apa yang Anda awasi di dalam perusahaan? Apakah Direksi memiliki kursus dan kredensial eksternal yang diharapkan akan mereka terima agar tetap terkini?
Masalah lain yang menunjukkan pengawasan Dewan adalah, apakah Anda memiliki asuransi dan perencanaan yang memadai jika terjadi pelanggaran dunia maya? Hal ini menimbulkan pertanyaan tentang kecukupan asuransi siber perusahaan, dan apakah perusahaan memodelkan risiko siber secara finansial berdasarkan berbagai probabilitas, dari peristiwa biasa hingga skenario “Black Swan”.
Seperti yang dilaporkan secara luas, perusahaan asuransi mengurangi cakupan serangan ransomware mereka. Kasus pengadilan baru-baru ini yang melibatkan klaim asuransi cyber Merck yang timbul dari dampak malware NotPetya menggambarkan risiko cyber (media melaporkan kerusakan lebih dari $1 Miliar) dan kesulitan dalam mengumpulkan klaim polis. Kasus asuransi cyber Merck masih dalam proses pengadilan, sekarang hampir 5 tahun setelah serangan NotPetya.
Dalam peraturan baru semua perusahaan tercakup dalam peraturan SEC yang diusulkan, terlepas dari sektor Anda dapat membayangkan perusahaan manufaktur tradisional, misalnya, perusahaan peleburan besi, akan mengatakan mengapa ini mempengaruhi saya? Nah, jika Anda telah melihat beberapa pelaporan akhir-akhir ini, kami memiliki massa Rusia yang melanggar agen pelaporan perusahaan tepat sebelum laporan pendapatan sehingga dengan informasi orang dalam mereka dapat menjalankan pasar saham. Ada laporan media baru-baru ini tentang pelanggaran perdagangan orang dalam tentang pelaporan pendapatan terkemuka untuk perusahaan publik di mana massa Rusia menghasilkan $ 80 juta dalam perdagangan ilegal di pasar publik.
Salah satu hal yang mengejutkan saya ketika saya merenungkan peristiwa terkini adalah bahwa kami mengusulkan seperangkat peraturan yang begitu luas tanpa cara yang jelas agar dewan dapat memenuhi beban peraturan. Dalam melakukan ini, apakah kita menyiapkan diri untuk banjir litigasi penggugat?
Saya akan mendesak perusahaan-perusahaan untuk segera berkomentar dan menolak keras peraturan-peraturan luas ini yang membebani perusahaan-perusahaan.
Tentu saja, kita perlu melakukan hal yang benar sebagai direktur. Tentu saja, kita harus siap cyber. Kita perlu menganggap ini serius, yang mungkin sudah dilakukan oleh semua direktur. Kita semua adalah pelayan yang rajin, terlibat, dan berkomitmen tinggi untuk semua pemangku kepentingan kita. Yang mengatakan, kita tidak perlu hukuman, ancaman, beban peraturan birokrasi yang besar dan longsoran tuntutan hukum penggugat.
Hal lain yang dapat diambil adalah jelas bahwa kita semua harus waspada tinggi sebagai direktur perusahaan publik dan perusahaan swasta dan mengantisipasi ancaman serius serangan siber terhadap perusahaan kita.
Kami membutuhkan pelatihan cyber untuk semua karyawan.
Kami juga harus meningkatkan sumber daya pihak ketiga eksternal kami.
Ini mungkin waktu yang sangat tepat untuk memiliki tinjauan perusahaan pengujian penetrasi cyber pihak ketiga luar dan melakukan latihan cyber topi putih dan abu-abu pada sistem Anda.
Evaluasi sistem cadangan Anda (dengan asumsi bahwa mungkin ada serangan serius terhadap cloud) serta lihat tingkat sistem cyber Anda saat ini dan pertimbangkan untuk meningkatkan keamanan dan pengujian perangkat lunak cyber Anda.
Mungkin juga saat yang tepat untuk membangun hubungan dengan penyedia layanan terkelola dunia maya yang dapat melakukan pemantauan eksternal untuk menambah apa yang Anda miliki saat ini.
Ada banyak hal yang perlu dipertimbangkan dalam masa yang belum pernah terjadi sebelumnya ini, tetapi saya mendesak dewan dan perusahaan untuk mempertimbangkan untuk mengomentari peraturan baru yang diusulkan SEC dengan cepat. Saya membagikan tautan lagi di sini, sehingga suara Anda dapat didengar. SEC.gov | Cara Mengirim Komentar
