Содержание
Вот как кибер-инициативы Белого дома могут повлиять на банки
Новый план кибербезопасности, опубликованный Белым домом в четверг, может иметь различные последствия для банков: выбор поставщиков, и от них может потребоваться предоставление списков ингредиентов для программ, которые они разрабатывают самостоятельно.
В четверг Белый дом опубликовал план реализации для национальной стратегии кибербезопасности , которую он объявил в марте , раскрывая некоторые подробности о планах президента Джо Байдена переложить ответственность за утечку данных и небезопасное программное обеспечение на более крупные и более дееспособные компании, такие как банки.
Единственное конкретное упоминание о финансовых услугах в документе относится к глобальной борьбе с отмыванием денег и противодействию финансированию терроризма, но эксперты говорят, что как объекты критической инфраструктуры банки также почувствуют влияние планов.
Ответственность за уязвимости программного обеспечения
Одно из основных изменений, которые Белый дом надеется внести в свою стратегию кибербезопасности, связано с ответственностью за утечку данных и небезопасное программное обеспечение. Согласно пресс-релизу , сопровождающему план реализации, администрация надеется обеспечить, чтобы «крупнейшие, наиболее способные и находящиеся в наилучшем положении организации — в государственном и частном секторах — брали на себя большую долю бремени по снижению киберрисков». .
Но по большей части план внедрения сосредоточен на том, что компании могут сделать, чтобы ограничить свою ответственность за уязвимости в программном обеспечении. В плане конкретно упоминается часть Национальной стратегии кибербезопасности от марта, в которой обсуждается «структура безопасной гавани для защиты от ответственности компаний, которые безопасно разрабатывают и поддерживают свои программные продукты и услуги».
План внедрения включает три инициативы в рамках стратегической цели перекладывания ответственности за небезопасное программное обеспечение. Во-первых, офис национального директора по кибербезопасности должен провести юридический симпозиум для «изучения различных подходов к структуре ответственности за программное обеспечение», чтобы обсудить, как структура ответственности за уязвимость программного обеспечения будет сравниваться с другими режимами ответственности.
Вторая инициатива в рамках этой ответственности заключается в том, чтобы федеральные агентства работали с Администрацией кибербезопасности и безопасности инфраструктуры для «выявления и сокращения пробелов» в «масштабе и реализации» спецификаций программного обеспечения (SBOM) с целью смягчения риски, связанные с неподдерживаемым программным обеспечением.
Третья инициатива заключается в том, чтобы «создать внутреннюю и международную поддержку для ожидания скоординированного раскрытия уязвимостей» между секторами, что в банковской сфере будет означать более тесную координацию между поставщиками программного обеспечения, банками и белыми хакерами в выявлении и закрытии дыр в кибербезопасности в программном обеспечении.
Гармонизация нормативных актов
Что касается других особенностей плана реализации, то первым элементом является «создание инициативы по гармонизации киберрегулирования», согласно документу. Гармонизация регулирования кибербезопасности была главной заботой банков , что сделало эту инициативу долгожданной для многих банкиров.
Институт банковской политики, группа по исследованию и защите государственной политики, в прошлом году выразил уверенность в том, что законопроект, который позже стал законом , который унифицирует требования к банкам сообщать об утечках данных — в настоящее время главный источник нормативных дисгармоний. Агентство по кибербезопасности и безопасности инфраструктуры, отвечающее за реализацию закона, еще не подготовило проект правил и должно сделать это до марта 2024 года.
План реализации Белого дома призывает Управление национального кибер-директора направить запрос на информацию, которая поможет офису понять «существующие проблемы с нормативным дублированием», чтобы он мог «изучить основу для взаимности для базовых требований, «по плану.
Вторая инициатива плана предусматривает установление «требований кибербезопасности в критически важных секторах инфраструктуры». Совет национальной безопасности, который уже возглавляет процесс разработки политики с этой целью, будет работать с агентствами по управлению отраслевыми рисками (SRMA) над разработкой предложений по установлению кибертребований. Что касается финансовых услуг, Министерство финансов обслуживает в качестве SRMA.
Списки компонентов программного обеспечения
В плане реализации также содержится подробная информация об усилиях президента по установлению требований к спискам материалов программного обеспечения (SBOM), которые представляют собой вложенный список компонентов, составляющих программные компоненты.
Распоряжением № от 2021 года Национальное управление по телекоммуникациям и информации возложило ответственность за разработку требований SBOM, которые администрация опубликовала в серии статей в 2021 году. Администрация указала на три стандарта SBOM — SPDX , CycloneDX и SWID — которые «покрывают потребности в базовом SBOM».
Остается неясным, в какой степени банки должны будут предоставлять списки компонентов для программного обеспечения, которое они разрабатывают. Пока только поставщики программного обеспечения, которые продают федеральным агентствам, сталкиваются с требованиями, касающимися спецификаций материалов, но план внедрения, представленный в четверг, предполагает, что SBOM могут стать повсеместными в критических секторах инфраструктуры, таких как банковское дело.
«Для сбора данных об использовании неподдерживаемого программного обеспечения в критической инфраструктуре Агентство по кибербезопасности и безопасности инфраструктуры будет работать с ключевыми заинтересованными сторонами, включая SRMA, для выявления и устранения пробелов в масштабе и реализации SBOM», — говорится в плане внедрения.
По словам Тома Келлермана, старшего вице-президента по киберстратегии в Contrast Security, для банков, которые разрабатывают собственное программное обеспечение, особенно если они продают его другим, эти требования будут иметь большое значение.
«Требование SBOM затронет все банки, поскольку большинство банков разрабатывают свои собственные приложения, — сказал Келлерман. «Банки будут нести ответственность за безопасные методы разработки».
«Политика в отношении материнства в США ужасна»
Клэр Ли.
Банк Силиконовой долины
Клэр Ли, руководитель отдела банковских стартапов в Silicon Valley Bank, говорит, что США сильно отстают в своей политике декретных отпусков и мешают полчищам женщин реализовать свой профессиональный потенциал.
Ли — ветеран в сфере технологий, начавшая свою карьеру в IBM в 1994 году, а затем перейдя по служебной лестнице в Ingram Micro UK, чтобы в 25 лет возглавить подразделение Compaq UK стоимостью 100 миллионов долларов.
Она также была одним из основателей удобной для стартапов платформы Microsoft, BizSpark, прежде чем присоединиться к Silicon Valley Bank в январе 2014 года.
Ли считает, что многим женщинам трудно достичь ее уровня успеха из-за «проблем с материнством, с которыми сталкивается слишком много мам в Америке».
«В США женщины составляют почти 57% всех студентов колледжей, однако недавнее исследование что их уровень отсева намного выше, чем у мужчин», — говорит Ли. «Почему женщины достигают определенного уровня и падают с обрыва? Это материнство. В США нет приемлемого оплачиваемого отпуска по беременности и родам».
Действительно, согласно отчету Международной организации труда, США — одна из двух стран в мире, где молодым мамам не предоставляется оплачиваемый отпуск. (Другой — Папуа-Новая Гвинея.) В соответствии с Законом об отпуске по семейным обстоятельствам и болезни (FMLA) от 1993, женщины, работающие в компаниях, где работает не менее 50 человек, должны иметь право на 12-недельный отпуск после рождения ребенка, но это время не должно оплачиваться.
По данным Общества управления человеческими ресурсами, в настоящее время только 12% американских компаний предлагают оплачиваемый отпуск по беременности и родам или отцовству.
«После рождения моего первого ребенка, — говорит Ли, — у меня был шестимесячный оплачиваемый отпуск в Microsoft UK, причем полностью оплачиваемый. Я переехал в США, центр цивилизации, и когда у меня родился сын, я был предложили четыре недели. Политика в отношении материнства в США ужасна».
Ли утверждает, что большая гибкость и помощь помогут большему количеству матерей вернуться на работу: «Я хотела бы, чтобы в США был установлен пакет заработной платы, покрывающий расходы на уход за детьми».
В США эта помощь часто оказывается в форме государственных программ помощи, субсидируемых налогоплательщиками. Business Insider сообщает, что «15% людей, которым не платили или получали частичную оплату во время отпуска, обратились за помощью в органы государственной помощи».
«Около 60% работников, которые взяли этот отпуск, сообщили, что им было трудно сводить концы с концами, и почти половина сообщили, что они взяли бы более длительный отпуск, если бы им платили больше», — говорится в тех же отчетах.
Ли говорит, что она была рада присоединиться к банку Кремниевой долины, потому что они поддержали ее роль матери, предоставили ей тренера для руководителей и позволили ей уделять больше времени утром, чтобы привести своих детей в детский сад и дошкольное учреждение.