Amerykańska Komisja Papierów Wartościowych i Giełd (SEC) zaproponowała nowe zasady zarządzania ryzykiem cyberbezpieczeństwa dla korporacji, które wymagałyby od nich większej przejrzystości przy ujawnianiu informacji o klientach.
Nowe przepisy zostałyby wdrożone jako poprawki do różnych formularzy dotyczących ujawniania informacji o cyberbezpieczeństwie i byłyby skierowane w szczególności do doradców inwestycyjnych, funduszy inwestycyjnych i firm zajmujących się rozwojem biznesu.
Koniec z ukrywaniem hacków związanych z cyberbezpieczeństwem
Wprowadzenie bardziej rygorystycznych przepisów dotyczących ujawniania informacji o cyberbezpieczeństwie nie jest nowym wysiłkiem ze strony SEC. W 2018 r. były komisarz SEC Robert J. Jackson Jr. powiedział, że obecne wymogi dotyczące ujawniania informacji „błądziły po stronie nieujawniania” i często pozostawiały inwestorów w ciemności, gdy firmy doświadczyły włamań lub innych ataków cyberbezpieczeństwa.
Obecnie zarząd firmy jest zobowiązany jedynie do informowania zarządów o kwestiach związanych z cyberbezpieczeństwem, bez obowiązku udostępniania ich inwestorom lub innym klientom. Jednak wspólny raport z 2021 r. wykazał, że w 2020 r. tylko 17% ankietowanych firm z listy Fortune 100 zgłaszało członkom zarządu problemy z cyberbezpieczeństwem rocznie lub kwartalnie.
SEC wydaje się być chętna do zmiany tego, ponieważ większą część 2022 roku spędziła na przedstawianiu różnych propozycji, które – jeśli zostaną przyjęte – będą wymagały od spółek publicznych zgłaszania cyberataków i incydentów.
Tak jest w przypadku Zarządzanie ryzykiem cyberbezpieczeństwa dla doradców inwestycyjnych, zarejestrowanych firm inwestycyjnych i firm zajmujących się rozwojem biznesu wniosek, opublikowany 9 lutego
W dokumencie SEC proponuje wprowadzenie nowych zasad na podstawie Ustawy o doradcach inwestycyjnych z 1940 r. i Ustawy o spółkach inwestycyjnych z 1940 r., aby wymagać od funduszy i doradców wdrażania nowych polityk cyberbezpieczeństwa. Zgodnie z dokumentem, te zasady i procedury zostały opracowane specjalnie w celu przeciwdziałania zagrożeniom związanym z cyberbezpieczeństwem, wymagając od firm zgłaszania do SEC istotnych incydentów związanych z cyberbezpieczeństwem dotykających doradcę, jego fundusz lub klientów funduszy prywatnych.
„Uważamy, że wymaganie od doradców i funduszy zgłaszania wystąpienia znaczących incydentów cyberbezpieczeństwa wzmocniłoby wydajność i skuteczność naszych wysiłków na rzecz ochrony inwestorów, innych uczestników rynku i rynków finansowych w związku z incydentami cyberbezpieczeństwa” – powiedział SEC we wniosku.
Jamil Farshchi, dyrektor ds. bezpieczeństwa informacji w Equifax, powiedział Bloomberg News, że proponowane przepisy przyniosą bardzo potrzebną przejrzystość kierownictwu korporacji i będą wymagały bezprecedensowej odpowiedzialności, jeśli chodzi o cyberbezpieczeństwo.
Więcej zasad oznacza silniejszy SEC
Wielu uważa, że niedawne dążenie SEC do odgrywania bardziej aktywnej roli we wzmacnianiu przepisów dotyczących cyberbezpieczeństwa jest bezpośrednim wynikiem włamania do SolarWinds. To niesławne wydarzenie jest powszechnie uważane za jeden z najgorszych incydentów cyberszpiegowskich, jakich doświadczyły Stany Zjednoczone, ponieważ w kraju tym grupa hakerów wspieranych przez Rosję była celem wielu części rządu federalnego.
Osoby atakujące zainfekowały aktualizacje od amerykańskiego kontrahenta federalnego, wykorzystując je jako platformę do włamywania się do różnych agencji rządowych i firm. Po włamaniu SEC wysłała listy do firm, które, jak sądziła, są zagrożone włamaniami, wymagając od nich samodzielnego zgłoszenia, czy zostały zhakowane i jakie szkody wyrządziły włamania.
Ponieważ Komisja otrzymała zbyt małą liczbę ujawnień, uruchomiła Program Amnesty – oferując przebaczenie firmom, które ostatecznie spełniły prośbę o raport własny, nawet jeśli wcześniej nie ujawniły tego incydentu inwestorom.
W tamtym czasie National Association of Corporate Directors, Cyber Threat Alliance i SecurityScorecard nazwały ten program „wartym uwagi”, ponieważ sygnalizował ewoluujący pogląd SEC na ryzyko cybernetyczne. Sachin Bansal, dyrektor ds. biznesowych i prawnych w SecurityScorecard, nazwał to „przełomowym” momentem dla SEC.
Ale mimo to nowa propozycja SEC pozostawia wiele kamieni bez zmian.
Nowe przepisy będą wymagać od firm ujawniania „istotnych” lub „istotnych” incydentów cybernetycznych, jeśli zostaną wdrożone. SEC uważa „istotne” informacje za wszelkie informacje o „istotnym prawdopodobieństwie, że rozsądny akcjonariusz uzna je za ważne”.
Wiele osób uważa, że definicje SEC są zbyt niejasne, aby zapewnić rynkowi jakąkolwiek znaczącą przejrzystość. Niejasność oznacza również, że przepisy będą podlegać interpretacji przez SEC w poszczególnych przypadkach, pozostawiając spółkom możliwość odwołania się od orzeczeń i ustanawiania precedensów, które mogłyby uczynić propozycję zasadniczo bezwartościową.
Jednak wciąż jest miejsce na poprawę. SEC ma głosować nad wnioskiem jeszcze przez kilka tygodni, co pozostawia wiele miejsca dla przedstawicieli branży, aby mogli podzielić się swoimi obawami i sugestiami z Komisją.
Nie jest jasne, jak wpływa to na branżę kryptograficzną — z coraz większą liczbą funduszy inwestycyjnych, w tym różnych aktywów cyfrowych i kryptopochodne w swoich portfelach. Jednak proponowane zasady mogą skutkować wieloma ujawnieniami pochodzącymi z przestrzeni kryptowalut.
Źródło: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/