Securities and Exchange Commission (SEC) din SUA a propus noi reguli de gestionare a riscului de securitate cibernetică pentru corporații, care le-ar impune să fie mai transparente cu dezvăluirile clienților.
Noile reguli vor fi implementate ca modificări ale diferitelor forme privind dezvăluirile de securitate cibernetică și ar viza în mod special consilierii de investiții, fondurile de investiții și companiile de dezvoltare a afacerilor.
Nu mai ascundeți hackurile de securitate cibernetică
Introducerea unei reglementări mai stricte cu privire la dezvăluirile de securitate cibernetică nu este un efort nou din partea SEC. În 2018, fostul comisar SEC Robert J. Jackson Jr. a spus că cerințele actuale de dezvăluire „au greșit de partea nedezvăluirii” și adesea i-au lăsat pe investitori în întuneric atunci când companiile au suferit hack-uri sau alte atacuri de securitate cibernetică.
În prezent, conducerea companiei este obligată doar să țină consiliile de administrație informate cu privire la problemele de securitate cibernetică, fără obligația de a le împărtăși investitorilor sau altor clienți. Cu toate acestea, un raport comun din 2021 a arătat că, în 2020, doar 17% dintre companiile Fortune 100 chestionate au raportat probleme de securitate cibernetică membrilor consiliului anual sau trimestrial.
SEC pare dornic să schimbe acest lucru, deoarece a petrecut cea mai mare parte a anului 2022 introducând diverse propuneri care, dacă ar fi adoptate, ar impune companiilor publice să raporteze atacurile și incidentele cibernetice.
Acesta este cazul cu Managementul riscului de securitate cibernetică pentru consilieri de investiții, companii de investiții înregistrate și companii de dezvoltare a afacerilor propunere, publicată la 9 februarie.
În document, SEC propune introducerea de noi reguli în conformitate cu Investment Advisers Act din 1940 și Investment Company Act din 1940 pentru a solicita fondurilor și consilierilor să implementeze noi politici de securitate cibernetică. Potrivit documentului, aceste politici și proceduri sunt concepute special pentru a aborda riscurile de securitate cibernetică, solicitând companiilor să raporteze incidente semnificative de securitate cibernetică care afectează consilierul, fondul său sau clienții fondurilor private către SEC.
„Credem că solicitarea consilierilor și a fondurilor să raporteze apariția unor incidente semnificative de securitate cibernetică ar spori eficiența și eficacitatea eforturilor noastre de a proteja investitorii, alți participanți la piață și piețele financiare în legătură cu incidentele de securitate cibernetică”, a spus SEC în propunere.
Jamil Farshchi, ofițerul șef pentru securitatea informațiilor la Equifax, a spus Bloomberg News că regulile propuse ar aduce o transparență atât de necesară conducerii corporative și ar necesita o responsabilitate fără precedent atunci când vine vorba de securitatea cibernetică.
Mai multe reguli echivalează cu o SEC mai puternică
Mulți cred că recentul impuls al SEC de a juca un rol mai activ în consolidarea regulilor privind securitatea cibernetică este un rezultat direct al hack-ului SolarWinds. Evenimentul infam este considerat pe scară largă printre cele mai grave incidente de spionaj cibernetic suferite de SUA, deoarece țara a văzut multe părți ale guvernului său federal vizate de un grup de hackeri susținuți de Rusia.
Atacatorii au infectat actualizările de la un contractant federal din SUA, folosindu-le ca o tablă de săritură pentru a pătrunde în diverse agenții și companii guvernamentale. În urma hackurilor, SEC a trimis scrisori companiilor despre care credeau că erau expuse riscului de hack-uri, solicitându-le să-și raporteze dacă au fost piratate și daunele provocate de hack-uri.
Deoarece Comisia a primit un număr dezvăluitor de dezvăluiri, a început Programul Amnistie - oferind iertare companiilor care au respectat în cele din urmă cererea de auto-raportare, chiar dacă nu au dezvăluit anterior incidentul investitorilor.
La acea vreme, Asociația Națională a Directorilor de Corporații, Cyber Threat Alliance și SecurityScorecard au numit programul „demn de remarcat”, deoarece semnala viziunea în evoluție a SEC cu privire la riscul cibernetic. Sachin Bansal, director de afaceri și ofițer juridic al SecurityScorecard, a numit-o un moment de „copertură” pentru SEC.
Dar, în ciuda acestui fapt, noua propunere a SEC lasă multe pietre neîntors.
Noile reguli vor cere companiilor să dezvăluie incidente cibernetice „materiale” sau „semnificative”, dacă sunt implementate. SEC consideră că informațiile „materiale” sunt orice informații cu o „probabilitate substanțială ca un acționar rezonabil să o considere importantă”.
Mulți consideră că definițiile SEC sunt prea vagi pentru a aduce orice transparență semnificativă pe piață. Neclaritatea înseamnă, de asemenea, că regulile ar fi supuse interpretărilor de la SEC de la caz la caz, lăsând loc companiilor să facă apel la hotărâri și să stabilească precedente care ar putea face propunerea practic lipsită de valoare.
Cu toate acestea, mai este loc de îmbunătățit. SEC nu urmează să voteze propunerea pentru încă câteva săptămâni, lăsând mult loc participanților din industrie pentru a-și împărtăși preocupările și sugestiile cu Comisia.
Nu este clar cum afectează acest lucru industria cripto – cu tot mai multe fonduri de investiții, inclusiv diverse active digitale și derivați cripto în portofoliile lor. Cu toate acestea, regulile propuse ar putea duce la multe dezvăluiri provenite din spațiul cripto.
Sursa: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/