von John Reed Stark und David R. Fontaine *

Jedes Board jetzt kennt seine Firma Opfer einer Cyber-Attacke fallen, und noch schlimmer ist, dass das Board muss das Chaos zu bereinigen und die Folgen beaufsichtigen.

Dennoch können Cyber-Angriffe sein außerordentlich kompliziert und einmal identifiziert, eine Vielzahl von teuren Antworten verlangen. Dazu zählen digitale Forensik Erhaltung und Untersuchung, Meldung über ein breites Spektrum von Dritten und anderen Wahlkreisen, die Erfüllung der staatlichen und bundesstaatlichen Compliance-Verpflichtungen, potenzielle Rechtsstreitigkeiten, einen Eingriff mit der Strafverfolgung, die Bereitstellung von Kredit-Monitoring, Krisenmanagement, einen Kommunikationsplan - und Die Liste geht weiter.

Und neben dem berechenbarer Workflow wird ein Unternehmen auch auf andere noch immaterielle Kosten ausgesetzt, einschließlich der vorübergehenden oder sogar dauerhafte Reputations- und Markenschaden; Produktivitätsverlust; erweiterte Management ziehen; und einen negativen Einfluss auf die Motivation der Mitarbeiter und die allgemeine Geschäftsentwicklung.

Was ist also die Rolle eines Board of Directors inmitten all dieser komplexen und bet-the-Unternehmens-Workflow? Corporate-Direktoren haben eindeutig eine Treuepflicht zu verstehen und Cyber ​​überwachen, aber es gibt keine Notwendigkeit für Vorstandsmitglieder (von denen viele nur über begrenzte IT-Erfahrung) in Panik.

Im Folgenden eine Liste von zehn Internetsicherheit Überlegungen zusammenstellen, die ein solides Fundament der Anfrage für Firmendirektoren liefern, die ernsthaft ihre Internetsicherheit Aufsicht und Überwachung Verantwortung zu übernehmen wollen. Diese "Cyber-Top-Ten-Liste" stellt die erforderlichen strategischen Rahmen für die Aufsichtsräte in einem intelligenten, nachdenklichen und angemessene Überwachung eines Unternehmens Cyberrisiken zu engagieren.

Durch die Verwendung dieser zehn Bedenken als Leitfaden, Vorstände können nicht nur mehr preemptive werden bei der Bewertung der Exposition Cyber-Risiko, aber sie können Cyber ​​von einem Neben IT Sorge zu einem Kernunternehmensweiten Risikomanagement-Produkt wird auch erfolgreich erhöhen, an der Spitze ein Vorstand der Aufsicht der Tagesordnung.

Cyber ​​Security Richtlinien und Verfahren.

Der beste Ort, um eine Bewertung eines Unternehmens Cyber ​​zu beginnen, ist mit einer Überprüfung der Cyber-Richtlinien und Verfahren des Unternehmens. Es ist ein guter Ausgangspunkt sinnvoll Board Beaufsichtigung und Überwachung eines Unternehmens Cyber ​​Risiken und Schwachstellen zu erleichtern. Einige Bereiche zu bewerten sind:

• Allgemeiner Ansatz zur Informationstechnologie Risiko und Internetsicherheit. Cyber ​​Security ist eine geschäftliche Notwendigkeit, noch zu oft Cyber ​​ist zu weit unten auf einer C-Suite Prioritätenliste-oder, weil es so komplex ist, einfach zu niedrigeren Level-technisches Personal delegiert.

Gibt es eine Verpflichtung von oben nach unten, sowohl kulturell als auch finanziell, strengen Cyber? Wer in Führung treibt die Tagesordnung? Ist es ein C-Level-Verantwortlichkeit und einen Teil des Tages-to-day business Fokus? Haben aktuellen Berichtslinien und zugewiesenen Verantwortungsbereiche sinnvoll? die Zuständigkeiten und Verantwortlichkeiten In Anbetracht benötigt, um den Vorfallreaktionsplan, sind die richtigen Mitarbeiter, die über die entsprechenden Skillset auszuführen, ausreichend befugt? Ist das Individuum mit der Aufsicht über Cyber-Verteidigung die gleiche Person, die die Kette zu Missständen berichtet aufgeladen und die jede beaufsichtigen würde Antwort wenn ja, ist, dass Dual-Rolle einen Interessenkonflikt an?

• Incident-Response-Plan. In Cyber, weisen die meisten Unternehmen erhebliche Ressourcen, um ihre Netzwerke stärk und den Zugang zu Cyber-Angreifer zu leugnen. Es ist aber jetzt ein Klischee, auch in der Realität gegründet, sind, dass Datenschutzverletzungen unvermeidlich. Entlang dieser Linien, wie ein Feuer Evakuierungsplan für ein Gebäude, sollte ein Unternehmen einen Plan haben, um auf Datenschutzverletzungen reagieren; eine Kunstform, weniger um die Sicherheit Wissenschaft und eher an "Incident Response." Aufgrund des Fehlens eines solchen Plans erlauben viele Organisationen leider, was ein relativ enthaltenen Vorfall hätte eine große Firmen Katastrophe zu werden, weil sie von allen gedacht, weder durch die Elemente für eine wirksame Reaktion notwendig, noch die erforderlichen Mechanismen eingeführt, um sicherzustellen, wurden diese Elemente in ihren Plänen gerichtet.

Gibt es einen aktuellen Incident-Response-Plan? Wenn ja, wann wurde der Plan zuletzt aktualisiert? Wer bereit, den Plan? Wer genehmigt den Plan? Was ist der allgemeine Ansatz und was sind die allgemeinen Grundsätze des Plans? Hat das Unternehmen jemals Mock oder Tisch Übungen führen den Plan der Wirksamkeit und Effizienz zu testen? Gibt es eine genaue und aktuelle Netztopologiediagramm, das ausreichend dokumentiert ist, und wenn ja, wird es periodisch neu bewertet und überarbeitet als internen Systemen und externen Faktoren ändern?

• Business Continuity-Pläne im Falle eines Cyber-Angriffs. Die entscheidende Bedeutung eines Business-Continuity-Plan im Falle einer Naturkatastrophe ist weithin anerkannt und akzeptiert. Doch allzu oft werden solche Pläne im Zusammenhang mit der Beurteilung der Internetsicherheit Risiken nicht bewertet.

Hat das Unternehmen richtig, die Wirksamkeit ihrer Business-Continuity-Plan im Rahmen einer Cyber-Attacke bewertet? Ist die Business-Continuity-Plan müssen mit diesen zusätzlichen Überlegungen im Auge überdacht und aufgefrischt werden?

• Personalkontinuität. Der Wettbewerb um Talente in der Informationssicherheit Raum ist intensiv, während der Druck auf die IT-Sicherheit Führungskräfte unendlich und anstrengend ist. Darüber hinaus trotz ihrer rapide steigenden Gehälter, Umsatz konstant bleibt, und es ist ein gravierender Mangel an erfahrenen und kompetenten IT-Führungskräfte, vor allem Chief Information Security Officers (CISO) .Wie das Unternehmen IT tut Sicherheits Talent zu rekrutieren und zu halten?

Im Zusammenhang damit, wenn ein Unternehmen Schlüssel Senior IT-Sicherheitspersonal verliert, ist es nicht nur eine rote Fahne, sondern auch eine Chance für ein Board Nachfolgepläne zu prüfen und eine unvoreingenommene, wenn auch möglicherweise verärgerte, Blick auf etwaige Mängel Internetsicherheit zu erhalten. Die Kunst und der Nutzen der Ausfahrt Interview ist auf so viele Unternehmen heute allzu oft verloren, weil ausscheidende Mitarbeiter als ärgerlich und unzuverlässig entlassen werden. Im Falle eines IT Executive seinem Rücktritt eine richtige Ausfahrt Interview kann kritische Cyber ​​Schwächen offenbaren.

Gibt es Gefahren oder Risiken bekannt, die zu der Entscheidung beitragen zu verlassen? Ist der Abreise ein Potential "rote Fahne"? Wer ist am besten zu übernehmen hat (auch auf Interimsbasis) den Tag-zu-Tag-IT-Sicherheitsaufgaben? Gibt es eine Nachfolgeregelung? Welche Schritte sind, um Umsatz zu reduzieren und das Talent behalten?

• Schritt halten mit Cyber-Bedrohungen auf. Nicht alle Unternehmen stehen vor den gleichen Cyberrisiken. Es gibt keinen Ansatz "one size fits all". Unternehmen, die Haus und große Mengen an persönlichen Daten und Daten verwalten müssen jede Verteidigung zuzuschneiden, Milderung und Reaktionspläne entsprechend. Durch die Schritte, dass die Informationsfluss über Datenschutzverletzungen in der Branche und die neuesten Erkenntnisse über steigende Bedrohungen, um sicherzustellen, durch das Management auf einer laufenden Basis betrachtet werden, können Unternehmen aktuell bleiben auf den neuesten Bedrohungen und entsprechend vorbereiten - Vorsorge ist der Schlüssel.

Welche Schritte hat das Unternehmen im Bereich der Sicherheit Wissenschaft unternehmen aktuelle über die neuesten Cyber-Intrusion modus operandi, Cyber-bezogene Software-Patches, Datenmissbrauch Trends usw. zu bleiben? Verfügt das Unternehmen über alle PCI-Compliance-Fragen und wenn ja, wie sind PCI-bezogenen Anliegen angesprochen?

• IT-Sicherheit Budgetierung. Die meisten Budgetierung in den Unternehmen wird jährlich und sorgfältig und mit Bedacht vor der Ausführung geplant - noch Cyberhaushaltsprioritäten kann sehr schnell verschieben. Somit ist ein Ein-Jahres-Haushaltszyklus möglicherweise nicht zügig oder agil genug sein, sich schnell entwickelnden Cyber-Bedrohungen zu verwalten. Darüber hinaus setzt sich die durchschnittlichen Kosten von Datenpannen zu erhöhen. Laut einer Studie:

Auf der ganzen Welt Unternehmen stellen fest, dass Datenschutzverletzungen wie üblich geworden sind, wie eine Erkältung, aber viel teurer zu behandeln. Mit Ausnahme von Deutschland, mussten die Unternehmen mehr Geld für ihre Untersuchungen, Benachrichtigung und Antwort, wenn ihre sensible und vertrauliche Informationen verloren oder gestohlen wurde. . . . die durchschnittlichen Kosten für ein Unternehmen war in US-Dollar und 15 Prozent mehr als $ 3,5 Millionen, was es kosten [2013].

Wie funktioniert Cyber ​​Budgetierung arbeiten? Wie werden Hilfsgütern identifiziert und gefördert? Bietet das Budget angemessen für Eventualitäten im Falle eines Cyber-Angriffs oder Cyber-Bedarf?

• Trainingsprogramme. Der bedeutendste Cyber ​​Verwundbarkeit bei jedem Unternehmen wird immer seine Mitarbeiter sein. Wenn Mitarbeiter an Cyber-Regeln und Anforderungen nicht einhalten, kann ein Angreifer Exploit wird umso effektiver und in der Lage Schaden anrichten.

Wie oft und wie wirksam sind die Trainingsprogramme Cyber-Sicherheit der Unternehmen? Wer beteiligt sich an der Ausbildung und wie das Unternehmen Richtlinienverletzungen, insbesondere Verletzungen von leitenden Angestellten behandeln, die Studien gezeigt haben, sind in der Regel die am wenigsten kompatibel mit Cyberpolitik?

• Verfahren für die gemeinsame Nutzung und Beschaffung von Informationen über Cyber-Bedrohungen. Schritt halten mit den neuesten Entwicklungen in der Cyber-up und den neuesten Tools und Techniken, die von Cyber-Angreifern genutzt wird, um eine Karriere in sich selbst ist - und erfordert den Aufbau von Beziehungen mit den Strafverfolgungsbehörden, einschließlich der Federal Bureau of Investigation ( "FBI"), US Air Force, Ministerium für innere Sicherheit, der US Secret Service und andere.

Wie wird das Unternehmen mit den konkurrierenden Wahlkreisen umgehen? Auf der einen Seite gibt es das FBI, Secret Service und anderen Strafverfolgungsbehörden, die die Eindringlinge finden helfen wollen, und auf der anderen Seite gibt es die unzähligen Generalstaatsanwälte und andere staatliche Aufsichtsbehörden, die Anforderungen und anspruchsvolle Antworten werden die Ausstellung um die Sicherheit der persönlichen Informationen ihrer jeweiligen Bürgerschaften? Hat das Unternehmen die Regeln, Praktiken und Verfahren in Betracht gezogen, die den Austausch von Erkenntnissen mit Regierungsbehörden regieren?

Datenzuordnung.

Jeder Cyber-Angriff Antwort beginnt mit dem einfachen Begriff der Erhaltung, dh Sammeln und Bewahren, in einer forensisch einwand und beweis unangreifbar Weise, jeder "elektronisch gespeicherten Beweise" ( "ESI"), Geräte, Protokolle, etc., die zu relevant werden könnten die Cyber-Attacke.

Erhaltung ist ein kritischer Workstream während einer Cyber-Attacke, weil Vorfall Responder wird jedes Byte von Daten werden musterte, einschließlich Fragmente, Artefakte oder Reste links vom Angreifer in allen Bereichen aller relevanten Geräte, darunter "gelöscht wiederherstellbaren Dateien", "nicht zugeordnet und slack space "oder der Bootsektor. Diese Artefakte können gehören: Internet-Adressen; Computernamen; bösartige Dateinamen; System-Registry-Daten; Benutzerkontonamen; und Netzwerkprotokolle.

Das Sammeln der Daten und Geräte im Zusammenhang mit einem Cyber-Angriff ist der erste und einer der wichtigsten Schritte einer Reaktion auf Vorfälle. Die effektivste Untersuchungsmethode einer Cyber-Attacke ist man auf gezielte Reaktion auf Vorfälle Praktiken basiert und ausschließlich nicht verlassen sich auf "Signatur-Erkennung" Technologien, wie Antiviren-Software. Vielmehr beschäftigen sorgfältige Ermittler einen iterativen Prozess der digitalen Forensik, Malware-Reverse-Engineering, Überwachung und Scannen. Als Analyse von bekannten oder vermuteten kompromittierte Systeme neu identifiziert sogenannte Indikatoren des Kompromisses ( "IOCs), werden die Ermittler den Netzwerkverkehr und Protokolle, zusätzlich zu den Scan-Hosts für diese IOCs untersuchen. Wenn dieser Aufwand zusätzliche Systeme entdeckt, werden diese Systeme forensically abgebildet und analysiert, und der Prozess wird wiederholt. mit den Informationen bewaffnet in dieser Phase der gesammelten "schäumen, spülen, wiederholen", ein Opfer Firma Bemühungen um die Malware zu sanieren beginnen kann, kompromittierte Systeme neu zu erstellen, zurückgesetztkompromittierten Kontodaten, Block IP-Adressen und initiieren richtig Netzwerk- und Host-Überwachung in dem Bemühen, weitere Versuche durch den Angreifer zu erkennen, den Zugang wieder zu erlangen.

Erhaltung ist auch wichtig, weil die Ermittler wahrscheinlich müssen alle zu scheuern sogenannte elektronisch gespeicherten Beweise oder "ESI" auf der Suche nach so genannten persönlichen Informationen oder "PII." Die Suche nach PII notwendig ist, um zu bestimmen, ob der Angreifer exfiltrated (entfernt von einer Unternehmens-IT-Umgebung) jegliche Daten personenbezogene Daten an Personen enthält, die Ankündigung der Cyber-Angriff erfordern, Kredit-Monitoring-Dienste und andere Abhilfemaßnahmen. Schließlich, so etwa beinhaltet alle Cyber-Angriff Reaktion auch die forensische Bildgebung und Überprüfung von E-Mails und andere relevante Kommunikation von Laptop-Computern, Desktop-Computer, Netzwerk-Server, Backup-Bänder, mobile Geräte, iPads und anderen Systemen.

Dennoch kann nach einem Cyber-Angriff ESI zu erhalten schnell eine herausfordernde, kostspielig und ressourcenintensive Aufgabe. Die meisten Unternehmen haben ESI in so vielen Orten (sowohl physische als auch virtuelle), dass nach einem Cyber-Angriff, wird es eine lästige Kampf zu finden und relevante ESI erhalten und Informationen zu Stück zusammen über manchmal komplexen und heterogenen Systemen - alles unter dem intensiven Druck einer aktiven digitalen forensischen Untersuchung (mit schwerwiegenden Folgen für Fehler oder Auslassungen). Im Zusammenhang damit kann es manchmal Tage dauern, nach einer Cyber-Attacke zu lernen, bevor ein Unternehmen erkennt, dass sie eine elektronische Spülvorgang aufrechtzuerhalten, die Daten (wie beispielsweise relevante Protokollinformationen) in regelmäßigen Abständen gelöscht. Ohne den Aufwand proaktiv Quellen, Vermögen und ihre wichtigsten Merkmale, diese Spülung Pläne unbeabsichtigte und latente Ursachen von spoliation werden können Karteninformationen gemacht zu haben.

Boards sollten eines Unternehmens Daten Praktiken untersuchen, da, wo relevante Informationen zu identifizieren und zu beschreiben, möglicherweise zugegriffen / target / exfiltrated Systeme wurde nie Daten abgebildet, für die Adressierung Cyberrisiken eine starke und wirksame Vorfallsreaktionsplan zur Festlegung kann eine Herausforderung sein. Ohne jede Art von verantwortlichen Systemübersicht oder Asset-Klassifizierung Übung, machen Unternehmen, die nicht nur Fehler in ihrer Cyber ​​Incident Response Pläne, aber die Unternehmen können auch Fehler machen, wenn die verfügbaren Ressourcen für die Sicherheit der Anwendung.

Darüber hinaus sollten Bretter drücken die wichtigsten Stücke von Informationen über das Unternehmen zu identifizieren und zu verstehen. Was sind die Unternehmen wertvolles geistiges Eigentum Vermögenswerte und Verbraucher / Kunden beruhen Informationsvermögen, und wie werden sie derzeit geschützt werden? Wo werden diese Vermögenswerte gespeichert oder liegt Intern bei einem Dritt Rechenzentrum (in den USA oder im Ausland), oder in einer Cloud-basierten Umgebung? Fragen diese und ähnliche Fragen werden ein Forum helfen, besser zu sichern, seine virtuellen Vermögenswerte und informieren, welche zusätzlichen Schritte, falls vorhanden, das Management des Unternehmens Haltung in Bezug verstehen können solche Praktiken zu verbessern nehmen.

Cyber ​​Versicherung.

Genau wie bei anderen Gefahren der Geschäftstätigkeit, der heutigen öffentlichen und privaten Unternehmen haben unter Berücksichtigung der Cyber ​​Bedenken begonnen, als Gesamtunternehmensrisikomanagement und Versicherungsrisiko Transfermechanismen berücksichtigen. Klar ist, dass Cyber-Versicherung schließlich noch ein weiteres Grundelement einer Versicherungsschutz des Unternehmens werden, so wie Sachversicherungen für Unternehmen und Krankenversicherung für Einzelpersonen.

Interessant ist, dass Unternehmen, die Cyber-Versicherung halten könnte auch haben die besten Cyber-Richtlinien und Praktiken - wahrscheinlich, weil vor Cyber-Versicherung zu erhalten, ein Unternehmen in der Regel zu einer ziemlich strengen Überprüfung durch die vorgeschlagene Versicherungsgesellschaft ausgesetzt ist. Genau wie die körperliche Untersuchung der Regel von den Versicherungsgesellschaften erforderlich, bevor der Lebensversicherung Ausgabe, die eine bessere persönliche Wellness-Praktiken veranlassen kann, könnte eine Cyber-Versicherung Prüfung auslösen oder bessere Corporate Cyber ​​Wellness prompt. Nach einer aktuellen Studie,

In den meisten Ländern ist die primäre Ursache für die Datenschutzverletzung ein böswilliger Insider oder kriminellen Angriff. Es ist auch die teuerste. In der diesjährigen Studie fragten wir Unternehmen in dieser Forschung vertreten, was sie über Sicherheitsvorfälle am meisten Sorgen macht, was Investitionen in die Sicherheit und die Existenz einer Sicherheitsstrategie machen. Ein interessantes Ergebnis ist die wichtige Cyber-Versicherung Rolle bei der nicht nur die Verwaltung das Risiko einer Datenschutzverletzung spielen können, aber die Sicherheitslage des Unternehmens zu verbessern. Während es wurde vorgeschlagen, dass eine Versicherung mit Unternehmen auf Sicherheit nachzulassen fördert, schlägt unsere Forschung das Gegenteil. Diejenigen Unternehmen mit guter Sicherheitspraktiken sind eher Versicherung zu kaufen.

Eine Reihe von verschiedenen Arten von Versicherungen haben das Potenzial, im Falle eines Cyber-Angriff beteiligt zu sein - oder zumindest Gegenstand für den Verteidigungs- und / oder Entschädigung auf eine Anfrage zu sein. Faktoren hängen von der Art der Verletzung, das Verhältnis der Parteien, die Art der Information in der Ausgabe (wie persönliche Daten, geistiges Eigentum, Geschäftsgeheimnisse, und E-Mails), die genaue Form der operativen Politik und, wenn im Zusammenhang mit Haftpflichtansprüche geltend gemacht die Vorwürfe und die Art der Schäden gesucht.

Doch während der Markt für Cyber-Versicherung weiterhin dramatisch zu entwickeln und zu wachsen, hat es noch keine Form von standardisierten Cyber-Versicherung Sprache materialisiert, und ob Standard-Eigenschaft Unfallvorschriften auch Verluste decken im Zusammenhang mit Cyber-Vorfälle oft bleibt eine offene Frage. Stand-alone-Cyber-Versicherungen breitere Abdeckung bieten und sollte von jedem Board erkundet werden, zusammen mit einer Bewertung der Hinlänglichkeit des Unternehmens D & O-Versicherung Programm.

Aber die Frage, wie eine eigenständige Cyber-Versicherung zu entwerfen ist ein schwieriges Thema. Die versicherungstechnischen Herausforderungen der Vorhersage / Messung sowohl die Wahrscheinlichkeit und die Auswirkungen einer Cyber-Attacke wiederum kann es schwierig machen, eine Cyber-Versicherung mit dem einzigartigen Risikoprofile der heutigen globalen und technologisch anspruchsvollen Unternehmen zu entsprechen; dies sind Schwierigkeiten nicht nur bei Versicherungsanalysten, sondern auch von selbst die erfahrenen Führungsteams. Cyber-Angriff Schäden sind so vielfältig und einzigartig - viel mehr als Feuer, Überschwemmung, Gesundheit und andere traditionelle Versicherungs Szenarien und Modelle -, dass es keine Normalverteilung der Cyber-Angriff auf die Behandlungsergebnisse, die Wahrscheinlichkeiten zukünftiger Auswirkungen zu stützen. Als Ergebnis gibt es nun eine verwirrende Anzahl von Cyber-Versicherungsprodukte auf dem Markt, jeder mit seinem eigenen Versicherer-entworfen Bedingungen und Konditionen, die sich dramatisch von Versicherer zu Versicherer variieren - einige wirksame und umfassende und andere vollgestopft mitLücken, Ausschlüsse und andere beunruhigende Funktionen.

Selbst die US-Heimatschutzministerium offiziell anerkannt, dass die Cyber-Versicherungsmarkt für die meisten Unternehmen verwirrend bleibt und für alle den falschen Gründen zu übersehen:

Cyber ​​Versicherung ist so konzipiert, Verluste aus einer Vielzahl von Cyber-Vorfälle zu mildern, einschließlich Datenschutzverletzungen, Betriebsunterbrechungen und Netzwerkschäden. Eine robuste Cyber-Versicherungsmarkt könnte dazu beitragen, die Anzahl der erfolgreichen Cyber-Attacken durch reduzieren: (1) Förderung der Einführung von Präventivmaßnahmen im Gegenzug für mehr Reichweite; und (2) Förderung der Umsetzung von Best Practices durch Prämien auf einer versicherten Niveau des Selbstschutzes stützen. Viele Unternehmen verzichten verfügbaren Richtlinien jedoch unter Berufung auf als die empfundene hohen Kosten dieser Politik Rationales, Verwirrung darüber, was sie decken, und die Unsicherheit, dass ihre Organisationen einen Cyber-Angriff leiden.

Erschwerend kommt hinzu, im Gegensatz zu Katastrophen wie Brände, Überschwemmungen, Tornados, etc. heutigen Unternehmen, die einen Cyber-Angriff erfahren sollte keine Hilfe erwarten oder gar Mitleid von der Regierung. ganz im Gegenteil aus mehreren Gründen in der Tat sollten die Unternehmen erwarten: 1) die US-Regierung mit dem Schutz der Nation eine eigene Infrastruktur überwältigt und hat kein SWAT-Team oder ein Rettungsteam Steh durch das US-Unternehmen nach einem Cyber-Angriff zu unterstützen; 2) gegeben, um die siebenundvierzig oder so separaten Staat Privatsphäre gesetzlichen Regelungen und eine wachsende Palette von Bundesagentur Gerichtsbarkeit (jeweils schwingt ihre eigenen einzigartigen Satz von Regeln, Vorschriften, Gesetze und Durchsetzungsinstrumente) statt, eine helfende Hand, Cyber-Angriff Opfer erwarten sollten, Vorladungen, Durchsetzungsmaßnahmen und einen Ansturm von Rechtsstreitigkeiten; und 3) die Öffentlichkeit (und Congress ') Ansicht von Cyber-Angriff Opfer hat sich schnell geworden kein Blick auf Verständnis oder Empathie, sondern Blick auf Verdacht, Skepsis und sogar Schmähung.

Traditionell beginnt mit einer Überprüfung der Politik, ein Risikoabbau und einer Reihe von anderen risikobezogenen Analytik Versicherungsschutz zu erwerben. Boards sollten jedoch sicherstellen, dass Management hält auch einen anderen Ansatz zu diesem Kalkül.

Vorstandsmitglieder sollten fragen, ob ihre Führungskräfte betrachtet haben tatsächlich Cyber-Angriffe Überprüfung, Analyse und musterte die typische Cyber-Incident-Response-Workflow und so genannte "Workstreams", dass die meisten Cyber-Attacken folgen. Durch die Analyse und die Gegebenheiten und Wirtschaftlichkeit dieser erneuten Besuch von Abläufen kann ein Unternehmen zusammenarbeiten, dann mit ihrer Versicherung Handelsvertreter und Urhebern Risiko, verantwortungsvoll zu verteilen und zu bestimmen, bevor eine Cyber-Attacke auftritt, die Kosten Workstream Berichterstattung auslösen wird; die Workstream Kosten, die außerhalb der Reichweite sein wird; und die Kosten nicht versicherbar Workstream sein könnten.

Es ist auch wichtig, dass Vorstände die erforderlichen Due Diligence durchzuführen um sicher zu sein, dass die Cyber-Versicherungsträger ihre Unternehmen nutzt eine gute Ansprüche zu bezahlen und Schadenbearbeitung Geschichte und hat eine nachgewiesene Geschichte der schnellen und unterstützende Antwort. Wenn eine Cyber-Attacke auftritt, zu oft gibt es Zweifel an Berichterstattung, die die Reaktion auf Vorfälle beeinflussen können.

Unabhängig von der Art der Versicherung, die von einem Unternehmen gehalten, wird ein Versicherungsfall zweifellos folgen, und Versicherungssachverständige werden alle Rechnungen überprüfen, um die Arbeitsabläufe im Zusammenhang in diesem Artikel aufgezählt und erfordert Briefings und Dokumentation in Bezug auf alle Ermittlungsbemühungen. Für eine maximale Objektivität, Glaubwürdigkeit und defensibility, anstatt das Unternehmen selbst, die unabhängige digitale Forensik Unternehmen die Verletzung zu untersuchen, auf Anweisung des Anwalts, sollten alle Briefings mit Versicherungsträger führen.

Als beiseite, sollten Aufsichtsräte stellen Sie sicher, dass bei jeder Art von Datenschutzverletzungen Antwort, ein Profi auf der Incident Response Team, vorzugsweise Rat, halten wird sorgfältig schriftliche Dokumentation aller Bemühungen der Antwort. Dies wird helfen, später, wenn die "Dokumentationspaket" Sammlung zu einem neugierigen Havarie zu präsentieren, wenn eine Versicherung die Erstattung für die Kosten der Verletzung zu suchen.

Third Party Cyber ​​Due Diligence.

Outsourcing von Dienstleistungen (wie IT, Abrechnung, Buchhaltung, Pensions- und sonstige Finanzdienstleistungen), die in der Regel die Übertragung von beinhalten, oder den Zugang zu, PII von einem Unternehmen an seine Verkäufer hat immer häufiger für Unternehmen von heute.

Da die Cyber-Angreifer oft über das Netzwerk eines Unternehmens durchqueren und in die Netzwerke seiner Lieferanten oder umgekehrt, können Cyber-Angriffen führen oft zu Streitigkeiten über die Strafbarkeit für einen Angriff. Als Ergebnis durchbrechen in den meisten Datenszenarien, Anbieter und Unternehmen können sich mit dem Finger auf einander für ihre jeweiligen Cyber-Ausfälle zu beenden.

Daher sollten Bretter besorgt sein, wenn eine Drittanbieter Zugriff auf die Netzwerke des Unternehmens hat, Kundendaten oder andere sensible Informationen - oder wenn es irgendeine Art von anderen Cyber-Risiko der ausgelagerten Funktion vorhanden ist.

Darüber hinaus sollten Bretter verstehen, ob und wie die Anforderungen des Unternehmens in Bezug auf Cyber-Risiko in ihre Verträge mit den Lieferanten enthält, können diese Anforderungen Benachrichtigung Verantwortlichkeiten auslösen. Im Falle einer Datenschutzverletzung, wird Corporate-Anbieter wollen alle relevanten Fakten zu den Cyber-Angriff im Zusammenhang zu wissen, vor allem: wenn ihre Daten gefährdet potenziell worden ist; wenn Dienste kann eine Unterbrechung erfahren; die Art der Sanierungsbemühungen; wenn es irgendwelche offiziellen oder inoffiziellen Ergebnisse jeder Untersuchung; oder wenn es irgendwelche anderen Informationen, die ihre Operationen, Reputation auswirken können, usw.

Anbieter können auch Bilder von Malware und IOCs anfordern oder das Unternehmen mit einer eigenen Untersuchungsteam besuchen / inspizieren. Venders für wöchentliche oder sogar tägliche Briefings stellen und Beglaubigungen in schriftlicher Form in Bezug auf die Feststellungen in Bezug auf ihre Daten zu verlangen. Einige Kunden haben auch Vertragssprache Festlegung ihrer Rechte, wenn ein Cyber-Angriff stattfindet, die von der Anmeldung reichen kann, zu Inspektionen vor Ort, um die Option eines unabhängigen Risiko- und Sicherheitsbewertung des Opfers Unternehmen (auf das Opfer Unternehmens und nicht die Kunden, Kosten).

Außerdem, wenn Drittanbieter Fernwartung eines Unternehmens Netzwerke und Geräte durchzuführen, im Falle eines Cyber-Angriff, so kann die Gesellschaft bestätigen wollen, dass es Kopien aller relevanten Protokolle erhalten können, sowie den Zugang, den Dritten System zu scannen für IOCs.

Vorstände sollten die Praktiken und Verfahren in Bezug auf die Internetsicherheit von Drittanbietern sondieren. Vorstände sollten über das Unternehmen Informationen Sicherheitsverfahren (einschließlich Ausbildung) über Drittanbieter autorisiert zu bitten, ein Netzwerk des Unternehmens zugreifen.

Physische Sicherheit.

Im Gegensatz zu vielen populären Vorstellungen von Cyber-Angriffen, Cyber-Angriffe können mit einer körperlichen Verletzung manchmal beginnen. , Zum Beispiel, wenn ein Außenseiter zu verstohlen Futter für Social-Engineering-Programm (wie eine Unterwasserjagd-Kampagne) sammeln oder wenn ein Insider (wie eine so genannte "Bad Leaver") erhält Zugriff auf das Netzwerk eines Unternehmens und verheerenden Schaden anrichten, ohne zunächst mit Malware oder andere geheime technische Mittel.

Daher Platten sollten auch in einer oberflächlichen Überprüfung der physischen Sicherheit von Einrichtungen engagieren, einschließlich Management-Pläne für den Empfang und Eingangskontrollen; ID-Scanner und andere Zugriffsdatensätze; Video- oder Filmmaterial; physische Protokolle; und sogar Aufzug und Garage Aufzeichnungen.

Eine digitale Forensik / Daten Breach Response-Firma auf Abruf.

Wenn ein Unternehmen ein Cyber-Angriff erlebt, wird das Unternehmen wahrscheinlich brauchen eine kompetente und erfahrene digitale Forensik / Datenschutzverletzung Antwort Firma zu mieten aus mehreren Gründen zu untersuchen. Erstens, nur sehr wenige Unternehmen verwenden, um die Art von Personal, das die technologische Know-how haben, zu verstehen und die heutigen Cyber-Angriffen zu sanieren. Zweitens wie jedes Unternehmen in einer Krise, eine unabhängige und objektive Ermittler Eingriff nicht nur versichert Integrität in der Antwort, sondern schafft auch eine vertretbare Datensatz, wenn später in Frage gestellt (zum Beispiel durch die Regulierungsbehörden, class action Anwälte, Partner, Kunden, etc.). Schließlich, wenn die digitale Forensik / Datenschutzverletzung Antwort Firma durch externe Berater tätig ist, kann ein Unternehmen (wohl) halten und sichern Sie den Anwalt-Mandanten-Privileg für die Berichte und andere zum Angriff für Untersuchungs- Dokumente.

In Anbetracht der knappen Zahl von Unternehmen, die einen Cyber-Angriff wirklich untersuchen können, vor allem diejenigen mit Malware Reverse-Engineering-Know-how macht es Sinn, für eine Firma zu suchen, bevor ein Cyber-Angriff erlebt.

Eine schnelle Randnotiz auf Malware: Vorstandsmitglieder soll der Begriff "Malware" erkennen, wird oft falsch verstanden. Der Begriff "Malware" wird oft als Software definiert entworfen, um mit dem Computer des normalen Funktion zu stören, wie Viren (das Chaos auf einem System von Dateien oder Verzeichnisinformationen zu löschen auslassen können); Spyware (was es zu wissen, Daten aus dem System des Benutzers ohne dass der Benutzer sammeln können.); Würmer (die sich zu verteilen, um auf andere Computer repliziert werden können - im Gegensatz zu einem Computer-Virus, ein Wurm muss sich nicht an ein bestehendes Programm zu befestigen); oder trojanische Pferde (die nicht selbst reproduzierenden Programme bösartigen Code enthalten, die, wenn sie ausgeführt wird, kann durch die Art des Trojaners bestimmt eines Angreifers Aktionen durchführen, in der Regel zu einem Verlust oder Diebstahl von Daten und mögliche System Schaden).

Allerdings ist die Definition von Malware tatsächlich viel breiter. Im Zusammenhang mit einem Cyber-Angriff, bedeutet Malware jede Art von Programm oder eine Datei, die von Angreifern verwendet wird, ein Computersystem zu infiltrieren. Wie der Schraubendreher verwendet ein Einbrecher die Illegalität der Einreise in ein Hauptquartier des Unternehmens zu gewinnen, können legitime Software tatsächlich Malware sein. Zum Beispiel während eines "Advanced Persistent Threat" oder "APT" angreifen, werden Angreifer oft verwenden "RAR" Dateien als Container für exfiltrated Informationen zu transportieren, noch RAR-Dateien haben eine breite Palette von legitimer Nutzungen und kann im Rahmen der allgemeinen verwendet werden, Unternehmensaktivitäten.

So Engineering Malware umkehren, die im normalen Anblick versteckt werden kann, ist eine Kunst und eine Wissenschaft. Forensic Ermittler, Incident-Responder, Sicherheitsingenieure und IT-Administratoren ein breites Spektrum an praktischen Fähigkeiten einsetzen, um schädliche Programme untersuchen, die Ziel, den Zugang und Firmencomputersysteme infizieren. die Fähigkeiten von Malware zu verstehen, ist nicht entscheidend, nur auf Sicherheitsvorfälle für die Reaktion, aber es ist auch entscheidend für die Fähigkeit einer Organisation Bedrohung Intelligenz abzuleiten und Verteidigung zu stärken.

Doch Malware Reverse Engineering ist teuer, mit Stundensätzen eher an eine Anwaltskanzlei Partner eher als Informationstechnologie-Spezialisten. Auch ein Spezialist mit Reverse-Malware technischen Fähigkeiten zu finden, schnell zu einer Herausforderung werden können - Bildungseinrichtungen sind nur gerade Personen mit Malware Fähigkeiten zu absolvieren beginnen und die meisten Malware-Spezialisten sind Autodidakten oder sind "home-grown" in der digitalen Forensik-Firmen. So Boards sollten bedenken, dass ohne eine kompetente digitale Forensik Firma, besetzt mit digitalen Forensik Prüfer, die auf Fach sind Malware-Reverse-Engineering, seine Führungskräfte können am Ende mit einem schnell überschwemmen Keller wie ein Hausbesitzer fühlen - noch kein Klempner für Sie zu finden das Leck und stecken sie es nach oben.

Außerhalb Legal Counsel auf Abruf.

So gut wie alle Incident-Response-Workflow erfordert eine sorgfältige rechtliche Navigation, weil unter anderem können die rechtlichen Konsequenzen eines Fehlers für einen öffentlichen oder privaten Unternehmen katastrophal oder sogar tödlich sein. Natürlich sollte externe Berater oder im Rat Ermittlungs Workflow führen, die Untersuchung und Sanierung für die C-Suite quarter und mit dem Senior Management für wichtige Entscheidungen, die letztlich die Verantwortung zu teilen. Genau wie jede andere unabhängige und gründliche Untersuchung, die zu einem Cyber-Angriff im Zusammenhang Arbeit wird ein Team von Anwälten mit unterschiedlichen Skillsets beinhalten und Know-how (zB regulatorische; ediscovery; Datenschutzverletzung Antwort; Privatsphäre, weißen Kragen Verteidigung, Rechtsstreitigkeiten; Strafverfolgungs Liaison; und die Liste geht weiter).

Neben den behördlichen Untersuchungen und Rechtsstreitigkeiten, die Liste der zivilen Schulden nach einem Cyber-Angriff ist fast endlos, einschließlich Aktionärsklagen für Cyber-Sicherheit Ausfälle; Rückgänge in der Aktienkurs des Unternehmens; und Management Fahrlässigkeit. Es kann auch Verbraucher / Kunden angetrieben Sammelklagen gegen Unternehmen zum Opfer fallen Cyber-Angriffen sein, eine Verkennung zu Cyber-Sicherheit zu halten "Best Practices".

Noch wichtiger ist, in Bezug auf Cyber-Angriff Ermittlungen, Anwaltsgeheimnis gilt wohl für die Arbeit Produkt aus den digitalen Forensik Ermittler durch externe Berater angestellt. Kommunikation mit dem Anwalt Client Privileg zu schützen, ist nicht zu verstecken Informationen gemacht. Vielmehr hilft das Privileg gegen falsche Informationen schützen, die in unkontrollierter Weise freigesetzt zu werden und ermöglicht eine sorgfältige Betrachtung und die Vorbereitung auf Rechtsstreitigkeiten oder behördliche Untersuchung / Strafverfolgung, zwei Szenarien immer häufiger auftreten.

Vorstandsmitglieder sollte das Management abzufragen und sicherzustellen, dass innerhalb der Legion von Kanzleien auf seiner Kontaktliste, eine Anwaltskanzlei mit Cyber-Know-how ist auch auf Kurzwahl.

Logging-Funktionen.

Nach einer Datenschutzverletzung, zusätzlich zu den User-Systemen (wie Laptops und Desktop-Computer), Server, etc., erfordern die Protokolle von anderen Systemen wie Firewalls und Intrusion-Detection-Systeme wird auch eine Analyse. Genau das, was Protokolle verfügbar sind im Zusammenhang mit einem Cyber-Angriff hängt von einer Gesamt Cyber-Strategien und Praktiken des Unternehmens. Logging Bindung dramatisch unter den Unternehmen unterscheiden - und einige Unternehmen dürfen keine Log-Management-System, das Logging-Informationen aggregiert, was bedeutet, dass ihre Protokollinformationen werden verstreut und ungeordnet werden. Außerdem können einige Unternehmen nur bewahren Protokolle für einen kurzen Zeitraum, wie 30 Tage, bevor "überrollen sie" und damit die Protokolle dauerhaft löschen.

Informationen Protokollierung kann mit Firewalls, Betriebssysteme, Anwendungen, Anti-Virus-Software, LANDesk, Web-Server, Web-Proxies, VPNs, Änderung Prüfer DHCPs und eine breite Palette von anderen Audit-Dateien auftreten, in Bezug Protokolle Ereignisse umfassen.

Die meisten freien und kommerziellen Betriebssystemen, Netzwerkdienste und Firewall-Technologien bieten Anmeldefunktionen und können eine Fundgrube an relevanten Beweise erfordern investigative Analyse und Ressourcen (wie zum Beispiel eine SIM / SEM) sowie Humanressourcen in Form von speziell qualifizierten digitalen Forensik enthalten Prüfer.

Logging-Informationen während einer Cyber-Attacke Reaktion kritischer Gebrauch sein, und es ist auch oft etwas Management als Priorität mit Blick auf; so sollten Bretter fragen Management zumindest ein paar Fragen über ihre Protokollierung Praktiken und Verfahren.

Penetration Testing / Risiko- und Sicherheitsbewertungen / NIST Framework.

Genau wie eine jährliche körperliche Check-up von einem Arzt, einem Unternehmen sollte eine Risiko- und Sicherheitsbewertung ihrer inneren Cyber-Arbeiten unterziehen. Die Umsetzung der Cyber-Lösungen erfordert eine umfassende Risikobewertung Verteidigungsfähigkeiten und Schwächen und sorgen für die kluge Anwendung der Ressourcen zu bestimmen. Was funktioniert am besten ist eine disziplinierte und dennoch flexible Methodik, die eines Unternehmens Organisationskultur, betriebliche Anforderungen und Toleranz für Risiko und gleicht dann die gegen aktuelle technologische Bedrohungen und Risiken einschließt. Am Ende quantifiziert eine angemessene Risiko- und Sicherheitsrisikobewertung entwickelt aussagekräftige Risikokennzahlen und fördert die Effizienz von Risikominderungsoptionen in einer klaren und prägnanten Begriffen.

Vorstandsmitglieder stellen sollten alle Risiko- und Sicherheitsbewertungsberichte, Penetrationstestergebnisse zu überprüfen, usw. Eine Einschränkung allerdings - Unternehmen vermeiden sollten Berater eingreifen, die zu erbringenden Leistungen präsentieren, die eine schriftliche Liste der Wäsche Probleme brauchen Lösungen oder auch eine so genannte "Wärme liefern Karte ", die die schwersten möglichen Schwächen identifiziert. Der Grund? Denn die Realität ist, dass die meisten Unternehmen nicht in der Lage sein, alle Schwächen zu heilen (weil zum Beispiel aus Kostengründen, logistische Unmöglichkeiten, praktische Hindernisse, etc.). obwohl also für eines Unternehmens profitieren soll, können die Wärmekarten und Wäschelisten auch Regulierungsbehörden sorgen, Strafverfolgung, class action Anwälte und andere unzufriedene Parteien mit einer schnellen und einfachen Fahrplan für die Haftung.

Im Zusammenhang damit kann ein Brett beginnen zur Verbesserung kritischer Infrastrukturen Cyber ​​durch eine Überprüfung der Rahmen eines Unternehmens möglich Cyber ​​Maßnahmen beurteilen zu können, veröffentlicht von der National Institute of Standards and Technology ( "NIST") im Februar 2014. Der NIST Cyber ​​Security Framework (das "Framework" ) ist für die Verwaltung ihrer Cyber-Risiken Unternehmen mit einer Reihe von Industriestandards und best Practices zur Verfügung zu stellen. Das Framework ist eine benutzerfreundliche Text, der keinen Abschluss in Computerwissenschaften, um erfordert seine Grundbegriffe zu verstehen. NIST bietet sogar einen "Fahrplan für kritische Infrastrukturen Cyber ​​Verbesserung", die eine neunseitige Umriss ist, die für alle Unternehmensvorstandsmitglieder sollten verpflichtet werden, zu lesen.

Obwohl der Rahmen für jedes Unternehmen die freiwillige Führung ist, der so genannten Kernfunktionen dominieren Diskussion auf Cyber ​​Symposien und die Regierung stark durch Vorstände Berücksichtigung der NIST-Standards zu fördern. Zum Beispiel hat sich in einer Rede über die Internetsicherheit und Vorstände in einem New Yorker Börse Konferenz, SEC-Kommissar Luis Aguilar vor kurzem, dass "[a] ta Minimum, Boards mit dem Management arbeiten sollten ihre Unternehmenspolitik zu bewerten, um sicherzustellen, wie sie zusammenpassen -bis dem Rahmen Richtlinien -. und ob mehr erforderlich sein ", Darüber hinaus, obwohl es wahrscheinlich noch zu früh ist, um sicher zu sagen, scheinen die NIST-Standards bestimmt, eine Grundlage für best Practices von Unternehmen zu werden, einschließlich bei der Beurteilung der rechtlichen oder behördlichen Haftung.

Lehren aus Vor-Attacken.

Wenn ein Unternehmen ein Cyber-Angriff erlebt, abgesehen von der Untersuchung der Cyber-Angriff, Sanierung usw., sollte ein Unternehmen auch in einer bona fide Kritik nach der Tat engagieren - und organisieren und dokumentieren die gewonnenen Erkenntnisse.

Zum Beispiel DOS (Denial of Service) oder DDoS (Distributed Denial of Service) Angriffe weiterhin eine ernsthafte Bedrohung für die meisten Unternehmen zu stellen, vor allem diejenigen mit einer aktiven Online-Handel Komponente, um ihre Operationen - und sollte immer ein wichtiges Anliegen sein Brett. Boards sollten ein Verständnis davon, wie viele DOS / DDOS-Attacken das Unternehmen erlebt hat; die spezifischen Maßnahmen ein Unternehmen unter DOS / DDOS-Attacken zu verhindern; und wie das Unternehmen hat vor Form DOS / DDOS Versuchen gelernt.

Darüber hinaus Sanierung einer Datenschutzverletzung kann mehr verlangen als neue Hardware zu installieren und Software sowohl für die Anreicherung und Detektion - und sogar mehr als ein völlig neues Netzwerk-Security-Suite zu bauen. Sanierung kann auch in die Kategorie der Bereitstellung einer neuen Lösung erfordern "Endpunkt Erkennung und Reaktion." Endpunkt Erkennung und Reaktion bieten state-of-the-art Software / Hardware-Lösungen, die mögliche zukünftige Verstöße erkennen und relevante Daten in ein sammeln einfach und schnell durchsuchbare Datenbank.

Einige Beispiele für Endpunktdetektion und Antwort state-of-the-art Software und Hardware entwickelt Angreifer Verhalten und ihre Werkzeuge zu identifizieren, Taktiken und Verfahren sind Carbon Black, Palo Alto-Firewalls oder FireEye MIR. Diese Arten von Lösungen innerhalb des gesamten Angriffsvektor, der Domänencontroller, Datenbankserver und Benutzerarbeitsstationen installiert.

Schlussfolgerung

Cyber ​​Security hat sich als wichtige Unternehmensrisikobereich schnell entstanden und daher ein, dass ein Vorstand ansprechen sollte. So warnte kürzlich in einer Rede auf Brettern und Cyber, SEC-Kommissar Luis Aguilar ein Publikum von Corporate Board-Mitglieder:

Gute Boards erkennen auch die Notwendigkeit, neue Gegebenheiten anzupassen - wie die zunehmenden Risiken der Cyber-Attacken. Zu diesem Zweck Board Aufsicht über Cyber-Risikomanagement ist von entscheidender Bedeutung, um sicherzustellen, dass die Unternehmen eine angemessene Schritte unternehmen, um zu verhindern, und die Vorbereitungen für, die Schäden, die aus solchen Angriffen führen kann. Es gibt keinen Ersatz für die richtige Vorbereitung, Beratung und Engagement zu Cyber-Fragen. In Anbetracht der erhöhten Bewusstsein für diese sich schnell entwickelnden Risiken sollten Direktoren ernst nehmen ihre Pflicht dafür zu sorgen, dass die Unternehmen angemessen, diese Risiken adressieren.

Doch leider ist die Ansicht der Öffentlichkeit von Cyber-Angriff Opfer geht es weniger um das Verständnis und Sympathie und mehr über Zorn, Misstrauen und Fingerzeigen. Die Welt der Incident Response ist eine auf dem Kopf nach unten ein: statt wie kriminelle Opfer behandelt zu werden, Unternehmen Datenverletzungen erleben oft wie Kriminelle behandelt, Angeklagten in Bund und Ländern Durchsetzungsmaßnahmen, Klasse Streitigkeiten und anderen Verfahren werden. Und insbesondere angesichts der 47 oder so getrennte Regelungen Zustand Privatsphäre, zusammen mit einer wachsenden Palette von Bundesagentur die Zuständigkeit, statt eine helfende Hand zu akzeptieren, Cyber-Angriff Opfer anstatt zu akzeptieren Zustellung der Ladung mehrerer Vorladungen.

Diese harten Realitäten zusammen mit der Flut von großen und Schlagzeile Grabbing Cyber-Angriffe im vergangenen Jahr erlebt (und dass die meisten Experten glauben, dass dies nur der Anfang einer neuen Ära der Cyber-Verteidigung), bedeuten, dass die Mitglieder der Organe der Gesellschaft wird sich viel aktiver bei der Sicherstellung der beteiligten Organisationen sie beaufsichtigen angemessen Cyber-Adressierung. Für Unternehmen ist dies der Beginn einer neuen Ära der Datenschutzverletzung und die Reaktion auf Vorfälle, in denen ein Cyber-Angriff zu verhindern versuchen, ist wie der Versuch, einen Kindergartener von einer Erkältung während des Schuljahres zu verhindern.

Früher betrachtete als das Problem der IT-Direktor, Cyber ​​in ein Brett Ausgabe und Verantwortung schnell entwickelt hat, die der Vorstand eine Fürsorgepflicht hat, zu verstehen und zu beaufsichtigen. In der Zeit nach einer Corporate Cyber-Angriff, Bretter und die Unternehmen, die sie regieren werden unmittelbare Kontrolle durch die Öffentlichkeit ausgesetzt, und in vielen Fällen unberechtigte Kritik. Diese neue Cyber-Realität hat im Wesentlichen die Unterscheidung zwischen Vorstand und IT Executive entfernt.

Aber Cyber-Engagement für die Mitglieder des Board of Directors, bedeutet nicht, dass die Mitglieder sollten Informatik Grad erhalten oder persönlich Firewall Roll-outs Implementierung und Intrusion-Detection-System zu überwachen. Vorstände können Aufsicht der Sicherheit im Internet auf zwei Arten erreichen. Erstens durch die Bedenken in diesem Artikel beschrieben mit aktiv beteiligt zu werden, die Organisationen bei der Sicherstellung sie beaufsichtigen angemessen Cyber-Adressierung. Zweitens und am wichtigsten, durch das Thema in der gleichen Weise nähern, wie ein Prüfungsausschuss eines Unternehmens Abschlüsse und Berichte Sonden: mit einem kräftigen, skeptisch, intelligent und methodische Untersuchung.

* John Reed Stark ist Präsident von John Reed Stark Consulting LLC, Reaktion einer Datenschutzverletzung Vorfall und digitale Einhaltung fest. Herr Stark hat Cyber-Projekte verwaltet und Incident-Response-Untersuchungen seit zwei Jahrzehnten, darunter 11 Jahre als Gründer und Chef des Amtes SEC von Internet Enforcement. Er diente auch seit 15 Jahren als Adjunct Professor an der Georgetown University Law School ein Recht und Technik Kurs zu unterrichten. David R. Fontaine ist Executive Vice President, Chief Legal & Administrative Officer und Corporate Secretary von Altegrity, ein privat geführtes Unternehmen, dass unter anderen Unternehmen besitzt Kroll Datenschutzverletzung Response Services.

Constituencies die Mitteilung verlangen können, Briefings und andere Informationen gehören Kunden, Partner, Mitarbeiter, Partner, Versicherungsträger und eine Reihe von anderen interessierten Parteien.

Economist Intelligence Unit Report "Reputationsrisiko: Gefahr von Risiken", verfügbar unter.

Die Aktionäre sind nicht die einzigen Kreisen, Vorstände zu überwachen Cyber ​​Probleme erwarten; Die Bundesregierung nimmt eine ähnliche Haltung. Zum Beispiel, Andrew Ozment, stellvertretender Sekretär, Office of Cyber ​​Security und Kommunikation bei der DHS, sagte kürzlich DHS die Grundsätze gebilligt in der "NACD Directors 'Handbuch zum Thema Cyber-Risikoüberwachung", veröffentlicht von der National Association of Corporate Directors Dinkel, die über hat 14.000 Mitglieder, die Direktoren für öffentliche, private und gemeinnützige Organisationen. Das DHS wird die NACD das Handbuch über die US-CERT Website als Informationsquelle für Unternehmen umfassen. In jeder Organisation ist der Vorstand dort seine allgemeine Richtung zu überwachen, einschließlich, wie gut das obere Management ausführt. "Homeland Security will Unternehmen Board of Directors mehr in Cyber-Sicherheit" von Ellen Messmer, NetworkWorld.com (29. Juli 2014), erhältlich bei

Als Cyber-Experten festgestellt haben: "Es gibt in der Cyber-Industrie einen sagen, dass es zwei Arten von Unternehmen heute. Diejenigen, die verletzt worden sind und wissen es und diejenigen, die verletzt worden sind und nur wissen es nicht" "Wie geht es weiter für Cyber-Versicherung? "von Andrea Wells, Insurance Journal (21. April 2014) finden Sie unter.

"Mehr CISO benötigt Battle Cyberbedrohungen im Jahr 2015" von Clint Boulton, Wall Street Journal (18. Dezember 2014) finden Sie unter.

Natürlich, die Notwendigkeit, Software zu aktualisieren, wenn ein Patch scheint exponierter Software Sicherheitslücken ausgegeben wird, zu adressieren so grundlegenden Fragen wie die Notwendigkeit, am Ende des Tages den Abfall herauszunehmen - und auf den ersten Blick nicht, spezifischer Board Aufsicht würdig erscheinen . Dennoch treten viele Sicherheitslücken noch da Software nicht in angemessener Zeit aktualisiert wurde. Mit anderen Worten, Software-Versionen mit bekannten Sicherheitslücken weiterhin trotz ihrer Risiken eingesetzt werden. Basic-Prozeduren zu aktualisieren Software mit Patches den aktuellsten Schutz sind eine Notwendigkeit und die grundlegenden Erwartungen aller Stakeholder des Unternehmens bieten - so ist es wert, zumindest, das Management über seine Software-Patching Praktiken Sondieren.

Wenn ein Cyber-Angriff Ziele elektronisch übermittelt, gesammelt oder gespeichert Zahlungskarteninformationen, untersucht so genannte Payment Card Industry Data Security Standards ( "PCI-DSS") die Einhaltung ist oft eine der ersten Aspekte. Die Payment Card Industry Security Standards Council ist die internationale Organisation gegründet von American Express, Discover Financial Services, JCB International, Mastercard Worldwide und Visa Inc. im Jahr 2006, die entwickelt und bestimmte Standards Kreditkartenindustrie verwaltet, einschließlich der PCI-DSS. PCI-DSS ist eine Reihe von Anforderungen erstellt, um die Sicherheit des elektronischen Zahlungskartentransaktionen zu schützen, die PII der Karteninhaber sind, und arbeiten als Industriestandard für die Sicherheit für Organisationen Kreditkarteninformationen nutzen. PCI-DSS gilt für alle Organisationen, die Verfahren halten oder Kreditkarteninhaber Informationen weitergeben und legt Anforderungen an diesen Unternehmen für Sicherheitsmanagement, Richtlinien, Verfahren, Netzwerkarchitektur, SoftwareDesign und andere wichtige Maßnahmen, die Kunden Kredit- und Debitkartenkontodaten schützen helfen. Wenn ein Cyber-Angriff gegen ein Unternehmen, Kreditkarten oder andere ähnliche Arten der Zahlung beinhaltet und löst PCI-DSS-Compliance kann der Workflow den PCI-DSS beteiligt sein extrem teuer, umständlich und störend. Zum Beispiel sind Händler verantwortlich für alle mit irgendwelchen Systemänderungen verbundenen Kosten erforderlich PCI-DSS-Compliance und die Kartenmarken zu erreichen, können erhebliche Bußgelder und Strafen auf Händlern erheben, die nicht in Übereinstimmung mit den PCI-DSS sind. Solche Strafen und Bußgelder, die von jedem Kartengesellschaft auferlegt separat können, umfassen:

• Hefty Geldbußen (in Vielfachen von $ 100.000) für verbotene Datenerhalt;
• Erhebliche zusätzliche monatliche Bußgelder (kann $ 100.000 oder mehr pro Monat, je nach Art der gespeicherten Daten) bis zur Bestätigung beurteilt vorgesehen ist darauf hinweist, dass verbotene Daten nicht mehr gespeichert werden;
• Separate Geldbußen (in Vielfachen von $ 10.000) für PCI-DSS Nichteinhaltung;
• Zusätzliche monatliche Bußgelder (wahrscheinlich 25.000 $ pro Monat), bis eine Bestätigung von einem qualifizierten Sicherheitsprüfer festgestellt, dass der Händler ist PCI-DSS-konform;
• Die Zahlung der Überwachung (kann so hoch wie $ 25 sein) und Neuausstellung (bis zu $ ​​5) Beurteilungen für jede Karte durch den Karten Verband identifiziert als potenziell gefährdet; und
• Die Erstattung für jede und alle betrügerische Aktivitäten der Card Association identifiziert, als ein Sicherheitsdatenschutzverletzung gebunden zu sein.

"Ponemon Institute Mitteilungen 2014 Kosten von Datenpannen: Globale Analyse," finden Sie unter.

A "gelöscht erzielbare Datei" ist eine Datei, die normalerweise leicht mit Forensik-Software, wie ein Microsoft Word-Dokument, Powerpoint-Präsentation, PDF-Datei oder andere Daten, wo, vielleicht ohne Wissen des Benutzers, eine Dateidatensatz für diese Daten noch wiederhergestellt ist vorhanden innerhalb des Dateisystems.

Die nicht zugeordneten Speicherplatz und Datei schlaff von Desktop- oder Laptop-PCs bieten in der Regel wichtige Anhaltspunkte für die digitale Forensik Prüfer. Hier ist der Grund: Die Dateien auf der Festplatte eines Computers gespeichert werden in der Regel als mit Wohnsitz in '' zugewiesenen Raum "beschrieben" das heißt Platz auf der Festplatte durch das Dateisystem zugeordnet. Wenn ein Benutzer löscht diese sogenannten '' aktive Dateien '', die in der Regel Dateien verschwinden nicht von der Festplatte. Vielmehr weist das Betriebssystem nicht mehr oder speichert, dass Festplattenspeicher für die Datei und einfach bezeichnet diesen Bereich von der Festplatte als nicht zugewiesenen (das heißt, nicht verwendet) Raum. Die Daten bleiben tatsächlich noch das Dateisystem markiert nur den Teil des Antriebs als verwendbar für andere Dateien. Innerhalb von nicht zugeordneten Speicherplatz, ein digitales kann Forensik Prüfer in der Regel Datei Artefakte zu extrahieren, wie gelöschte Dateien, temporäre Dateien (erstellt, wenn ein Benutzer eine Datei öffnet), Dateifragmente, gelöscht Internet-Geschichte und andere, wenn auch schlecht organisiert, aber lesbar, Datenbits. Tatsächlich Beweiseentnommen aus nicht zugewiesenen Speicherplatz hat im Rahmen von Rechtsstreitigkeiten so wichtig geworden, dass ein '' Wisch Programm '' aus dem nicht zugeordneten Speicherplatz die Artefakte können sogar eine Entdeckung Sanktion von einem Richter ziehen nicht behebbar zu machen verwenden. Siehe auch TR Investoren v LLC. Genger, Nr 3994-VCS (Del. Ch. 9. Dezember 2009) (zu finden Beklagte Arie Genger in Missachtung des Gerichts für '' Wischen 'die' 'nicht zugeordneten Speicherplatz' '' von der Fest Antrieb seiner Arbeit Computer und Fileserver in das Gesicht eines Auftrags, der ihn aus '' Manipulation, Zerstörung oder in irgendeiner Art und Weise der Entsorgung von unternehmensbezogenen Dokumente, Bücher oder Aufzeichnungen '') verboten. Dieser Ansatz gilt in ähnlicher Weise auf sogenannte '' slack space '' (der Teil eines Clusters ungenutzt durch eine aktive Datei), die auch ähnliche Informationen enthalten.

Ein Boot-Sektor ist ein kleines Stück von der Festplatte oder eine externe Speichervorrichtung Raum und die erste Datei ein Basic Input / Output System ( "BIOS") lädt, wenn ein Computer eingeschaltet ist. Es gibt zwei Haupttypen von Sektoren: der Master Boot Record ( "MBR") und Volume Boot Record ( "VBR"). Der Bootsektor kann Computerviren enthalten, die am häufigsten sind verbreitet physischen Medien. Eine infizierte Diskette oder USB-Stick an einen Computer angeschlossen wird übertragen, wenn das VBR des Laufwerks gelesen wird, dann ändern oder die vorhandene Boot-Code zu ersetzen. Das nächste Mal, wenn ein Benutzer versucht, ihren Desktop zu booten, wird der Virus geladen und sofort als Teil des Master Boot Record laufen. Es ist auch möglich, E-Mail-Anhänge Boot-Virus-Code enthalten. Wenn geöffnet, infizieren diese Anlagen den Host-Computer und kann Anweisungen enthalten, um weitere Chargen von E-Mail an ein Benutzerkontaktliste senden. Verbesserungen in der BIOS-Architektur haben, die Ausbreitung von Boot-Viren reduziert. Kaspersky Lab: "Was ist ein Bootsektor-Virus," verfügbarbeim .

PII Schutz für Einzelpersonen vor Identitätsdiebstahl im Zusammenhang hat sich zu einem bedeutenden Schwerpunkt der US-bundesstaatlichen und staatlichen Agenturen werden, und der neue Zustand und Bundesgesetze und Verordnungen. In den USA variieren Gesetze und Vorschriften von Staat zu Staat, und zwischen den staatlichen und bundesstaatlichen Gesetzen, wie genau das, was Informationen umfasst PII. Im allgemeinen erfordert die Definition sowohl einen Namen und einige zusätzliche Information, die verwendet werden könnten, die Identität einer Person zu stehlen oder seine finanzielle Konten zugreifen (oder, in einigen Fällen, Gesundheitsinformationen) ohne Genehmigung. N. B. dass für die Zwecke dieses Artikels finden wir in der Regel zu geschützten Informationen über eine Person als PII, obwohl einige staatliche oder Bundesgesetze eine andere Nomenklatur oder Kategorisierungen verwenden. Siehe unten "Workstream. Einzelne Benachrichtigungen / Monitoring Services"

Der Cyber-Angriff Untersuchung haben von einem Kunden Auswuchs, der sich beschwert, dass seine Daten für einen Betrug verwendet wurde; aus einem Bericht, der ein Computersystem zu kommunizieren mit einem skrupellosen Internet-Adresse wurde; vom FBI, der US-Air Force Office of Special Investigations ( "OSI"); US-Geheimdienst oder andere Strafverfolgungsbehörde Benachrichtigung eines Unternehmens eines möglichen Cyber-Angriff in seine Systeme; oder eine ganze Reihe von anderen Quellen. Unter keinen Umständen werden die Ermittler zunächst analysieren, was erste Informationen vorgelegt wird und die vorläufige Beweise für die möglichen Standorten für zusätzliche Beweise zu helfen, verwenden zu identifizieren. Ein Ermittler werden alle Computer-Geräte als möglichen Standorten berücksichtigen für die Untersuchung zu zielen. Diese Geräte werden in der Regel umfassen: Unternehmen Laptops und Workstations; Netzwerk-Storage-Server; Firewalls; Intrusion-Detection-Systeme; Web-Servern; Kundendatenbanken; und E-Mail-Servern.

Siehe z.B. "Innerhalb von sechs Jahren, wir gehen auf dem Weg zu sein, gut zu jeder mit Cyber-Versicherung als nur ein Basis-Set von Versicherungen, wie Sachversicherungen", sagte Ari Schwartz, Direktor für Internetsicherheit auf dem Weißen Haus National Security Council, während ein 8. September 2014 Podiumsdiskussion auf der Konferenz Nextgov Prime. "Cyber ​​Abdeckung wird eine Grundversicherung bis 2020 sein", von Aliya Sternstein, den 8. September 2014 verfügbar bei; ( "Cyber ​​Insurance mindernden Verlust von Cyber-Attacken" von Rene L. Siemens, David L. Beck, Pillsbury Perspektiven für die Versicherung Erholung Newsletter (Sommer 2012) ( "Der Markt wächst schnell für die Versicherung, die speziell gedacht ist zur Deckung der Verluste entstehen von Cyber-Attacken und andere Privatsphäre und des Datensicherheitsverletzungen. Diese Versicherungen werden unter Namen wie "Cyber-Haftpflichtversicherung", "Verletzung der Privatsphäre Versicherung" und "Netzwerk-Sicherheit Versicherung vermarktet." Viele Unternehmen und andere Institutionen, die rechtlich Informationen jetzt geschützt Griff

"Mängel in der Sicherheitsprotokollierung und Analyse können Angreifer ermöglichen, ihre Lage, Malware und Aktivitäten auf den befallenen Computer zu verstecken. Auch wenn die Opfer wissen, dass ihre Systeme kompromittiert wurden, ohne geschützt und vollständige Protokollierung Aufzeichnungen können Opfer blind bleiben, um die Details des Angriffs und zu weiteren Aktionen von den Angreifern getroffen. Manchmal sind Logging-Sätze der einzige Beweis für einen erfolgreichen Angriff und ohne solide Prüfprotokolle, kann ein Angriff unbemerkt bleiben auf unbestimmte Zeit und die insbesondere für Schäden, getan können unumkehrbar sein. Viele Organisationen halten nützliche Protokolle für Compliance-Zwecke, aber Angreifer beruhen auf der Tatsache, dass solche Organisationen könnten nur selten ihre Protokolle zu überprüfen und nie entdecken, dass ihre Systeme gefährdet. Wegen der schlechten oder nicht vorhandenen Prozesse Log-Analyse, Angreifer steuern manchmal Opfer Maschinen für Monate oder Jahre, ohne dass jemand in der Zielorganisation zu wissen, auch wenn die Beweise für den Angriff aufgezeichnet wurde, inungeprüfte Log-Dateien. ".

"LANDesk ist eine Asset-Management-Software-System aus der Ferne Inventar und Management von Desktop-Computern verwendet. Es hat die Fähigkeit, sich auf die installierte Software und Hardware zu berichten, Remote-Unterstützung zu ermöglichen, und das Betriebssystem Sicherheits-Patches installieren. "American University Office of Information Technology Häufig gestellte Fragen Über LANDesk gestellte.

Eine virtuelle private Netzwerke ( "VPN") ist ein Netzwerk, das durch die Verwendung von öffentlichen Leitungen aufgebaut ist - in der Regel das Internet - mit einem privaten Netzwerk, wie ein firmeninternes Netzwerk zu verbinden.

Dynamic Host Configuration Protocol ( "DHCP") ist ein Netzwerkprotokoll, das einen Server ermöglicht, automatisch eine IP-Adresse an einen Computer aus einem definierten Bereich von Zahlen zuweisen (das heißt ein Bereich) für ein bestimmtes Netzwerk konfiguriert.

Für die besten Ergebnisse sollten solche Protokollierung aktiviert werden, mit Protokollen zur zentralen Protokollierung-Server gesendet. Firewalls, Proxies und Remote-Access-Systeme (VPN, Dial-up, etc.) sollten alle für die ausführliche Protokollierung konfiguriert werden, die Speicherung aller verfügbaren Informationen für die Ereignisprotokollierung eine Follow-up-Untersuchung erforderlich ist. Betriebssysteme, insbesondere solche von Servern, sollte so konfiguriert werden, um Zugriffskontrolle Protokolle zu erstellen, wenn ein Benutzer ohne die entsprechenden Berechtigungen auf Ressourcen zuzugreifen versucht. Um zu bewerten, ob eine solche Protokollierung vorhanden ist, sollte eine Organisation regelmäßig über seine Protokolle scannen und vergleichen sie mit dem Inventar Asset zusammengestellt, um zu gewährleisten, dass jedes verwaltete Element aktiv mit dem Netzwerk verbunden ist, Protokolle in regelmäßigen Abständen zu erzeugen.

Analytische Programme wie SIM / SEM ( "Sicherheit Incident Management" oder "Security Event Management") Lösungen für die Protokolle der Überprüfung kann nur Wert liefern, wenn die richtigen Experten die Analyse durchführt. Die tatsächliche Korrelation Tools können Prüfprotokolle viel nützlicher für die anschließende manuelle Inspektion machen und kann bei der Identifizierung von subtilen Angriffe sehr hilfreich sein. Allerdings sind diese Werkzeuge weder ein Allheilmittel noch ein Ersatz für qualifizierte Informationen Sicherheitspersonal und Systemadministratoren. Auch mit automatisierten Log-Analyse-Tools werden menschliche Kompetenz und Intuition oft zu identifizieren und zu verstehen, was erforderlich aus den Log-Dateien zu entnehmen ist.

Es gibt keine Standardisierung über Penetrationstests (wie eine Art von Emissionen oder DNA-Test) und einige Kommentatoren haben sehr starke Meinungen über den Nutzen und den Wert der Penetrationstests. Siehe z.B. "Penetration Testing Sollte nicht eine Verschwendung von Zeit," von Jim Bird (4. Oktober 2014) finden Sie unter. Daher sollte vorsichtig geprüft werden, wie man, und wer sollte, führen Sie eine Penetrationstests des Unternehmens und wie die Ergebnisse interpretiert werden. "Penetrationstests" Die Durchführung einer Penetrationstest auf einer Organisation "Sans Institute InfoSec Lesesaal, verfügbar unter.

Das Nationale Institut für Standards und Technologie Rahmen für die Verbesserung kritischer Infrastrukturen Cyber ​​(12. Februar 2014) (der "NIST Cyber ​​Security Framework"), erhältlich bei, wurde als Reaktion auf Präsident Obamas ausgegeben Executive Order 13636, mit dem Titel "Verbesserung der kritischer Infrastrukturen Cyber ​​veröffentlicht vom 12. Februar legt ", fünf 2013. die NIST Cyber ​​Security Framework-Kernfunktionen und Kategorien von Tätigkeiten für Unternehmen, die im allgemeinen auf Cyber-Risikomanagement und Aufsicht, beziehen sich auf die Umsetzung der NIST Streifen nach unten zu fünf Rahmen Kernfunktionen: Identifizieren, Schützen reagieren und wiederherstellen, erkennen. Dieser Kern im Grunde bedeutet: Unternehmen sollten (i), um ihre Infrastruktur bekannt Cyber-Risiken zu identifizieren; (Ii) die Entwicklung sichert die Lieferung und Wartung von Infrastrukturdiensten zu schützen; (Iii) Umsetzung Methoden, um das Auftreten eines Ereignisses Cyber ​​zu erfassen; (Iv) Entwicklung von Methoden zu einer erfassten Cyber ​​Ereignis zu reagieren; und (v)Pläne entwickeln sich zu erholen und die Unternehmen, die Fähigkeiten wiederherzustellen, die als Folge eines Cyber-Ereignis beeinträchtigt wurden. Sehen Sie auf p. 8.

NIST Roadmap zur Verbesserung kritischer Infrastrukturen Cyber ​​(12. Februar 2015).

"Boards of Directors, Corporate Governance und Cyber-Risiken: den Fokus schärfen", Rede von SEC-Kommissar Luis Aguilar verfügbar unter (10. Juni 2013).

"DDoS-Attacken im Jahr 2014: Smarter, Größer, schneller, stärker", von Gur Shatz, (20. April 2014) finden Sie unter.

"Carbon Black, in der Bit9 Carbon Black-Lösung liefert die erste echte kontinuierliche Reaktion Lösung. Carbon Black das primäre Ziel ist es, die Kosten und die Komplexität der Reaktion auf Vorfälle zu reduzieren durch kontinuierliche Endpunkt Sichtbarkeit und signatur weniger Erkennungsfunktionen bietet vollen Kontext, Angriff Klassifizierung und Situationsbewusstsein der Ihr Unternehmen angreifen Bedrohungen. Carbon Black durch kontinuierliche Aufzeichnung und das Verständnis der Beziehungen der kritischen Daten, die zu entwirren den gesamten Lebenszyklus und töten Kette eines Angriffs. "Sehen Sie sich die mühsame und zeitaufwändige Datenerfassung zu automatisieren.

"Palo Alto-Firewalls Teil der großen Suite von Palo Alto Cyber-Appliances, zu verwalten sind, zu implementieren und neue Zeitalter Firewall-Systeme optimieren die sichere Anwendungen ermöglichen und die Gefahr des modernen Malware bekämpfen." Sehen Sie.

Unter anderem MIR, im Besitz von Feuer Auge, ist so konzipiert, Malware und andere Zeichen des Kompromisses auf Endpunkten im gesamten Unternehmen zu erkennen und zu: 1) Tausende von Endpunkten für Beweise des Kompromisses fegen, wie Malware und unregelmäßige Aktivitäten; 2) die Fern untersuchen sicher über jedes Netzwerk, ohne Zugangsberechtigung erfordern; und 3) sammeln gezielt forensischer Daten, mit intelligenten Filtern nur die Daten zurück benötigt. Siehe.

"Boards of Directors, Corporate Governance und Cyber-Risiken: den Fokus schärfen", Rede von SEC-Kommissar Luis Aguilar verfügbar unter (10. Juni 2013).

"Führungskräfte in Davos Express Sorgen über mehr Disruptive Cyber-Attacken" von David Gilles, New York Times (22. Januar 2015) ( "Sie werden eine Datenschutzverletzung erhalten, Punkt... Wenn Sie denken, Sie haben nicht angegriffen worden, Sie bist zu sich selbst liegen. ") finden Sie unter.

"Corporate Boards Race to Shore-up Cyber: Directors mit Fragen Grapple Einmal versandten Tech-Experten, von Danny Hadron, Wall Street Journal (29. Juni 2014) finden Sie unter. Siehe auch: "Homeland Security will Unternehmens Board of Directors mehr in Cyber-Sicherheit" von Ellen Messmer, NetworkWorld.com (29. Juli 2014) finden Sie unter ( "Einstellen Corporate Cyber-Sicherheitspolitik und Ergreifen von Maßnahmen um es sein muss, Hauptanliegen für den Vorstand bei jedem Unternehmen, nicht nur die informationstechnische Abteilung, zeigte das Department of Homeland Security (DHS) als ein hochrangiger Beamter ein privatwirtschaftlichen Aufwand gesichert Bewusstsein auf Board-Ebene zu heben. " ).