Ameriška komisija za vrednostne papirje in borzo (SEC) je predlagala nova pravila za obvladovanje tveganja kibernetske varnosti za korporacije, ki bi od njih zahtevala, da so pri razkritjih strank bolj pregledne.
Nova pravila bi se izvajala kot dopolnitve različnih oblik v zvezi z razkritjem kibernetske varnosti in bi se posebej nanašala na investicijske svetovalce, investicijske sklade in podjetja za razvoj poslovanja.
Nič več skrivanja vdorov za kibernetsko varnost
Uvedba strožje ureditve v zvezi z razkritji kibernetske varnosti ni novo prizadevanje SEC. Leta 2018 je nekdanji komisar SEC Robert J. Jackson Jr. dejal, da so trenutne zahteve po razkritju "napake na strani nerazkritja" in so vlagatelje pogosto pustile v temi, ko so podjetja doživela vdore ali druge napade na kibernetsko varnost.
Trenutno mora vodstvo podjetja le obveščati uprave o vprašanjih kibernetske varnosti, brez obveznosti, da jih deli z vlagatelji ali drugimi strankami. Vendar pa je skupno poročilo za leto 2021 pokazalo, da je leta 2020 le 17 % anketiranih podjetij s seznama Fortune 100 poročalo o težavah s kibernetsko varnostjo članom uprave letno ali četrtletno.
Zdi se, da si SEC želi to spremeniti, saj je večji del leta 2022 porabil za uvedbo različnih predlogov, ki bi – če bi bili sprejeti – od javnih podjetij zahtevali, da poročajo o kibernetskih napadih in incidentih.
Tako je pri Upravljanje tveganja kibernetske varnosti za investicijske svetovalce, registrirana investicijska podjetja in podjetja za razvoj poslovanja predlog, objavljen 9. februarja.
V dokumentu SEC predlaga uvedbo novih pravil v skladu z Zakonom o investicijskih svetovalcih iz leta 1940 in Zakonom o investicijskih družbah iz leta 1940, ki bi zahtevala sredstva in svetovalce za izvajanje novih politik kibernetske varnosti. V skladu z dokumentom so te politike in postopki zasnovani posebej za obravnavo tveganj kibernetske varnosti, tako da od podjetij zahtevajo, da SEC poročajo o pomembnih incidentih kibernetske varnosti, ki vplivajo na svetovalca, njegov sklad ali stranke zasebnega sklada.
"Prepričani smo, da bi zahtevali od svetovalcev in skladov, da poročajo o pojavu pomembnih incidentov kibernetske varnosti, okrepili učinkovitost in uspešnost naših prizadevanj za zaščito vlagateljev, drugih udeležencev na trgu in finančnih trgov v zvezi z incidenti kibernetske varnosti," je v predlogu zapisala SEC.
Jamil Farshchi, glavni uradnik za informacijsko varnost pri Equifaxu, Rekel Bloomberg News, da bi predlagana pravila prinesla prepotrebno preglednost vodstvu podjetij in zahtevala odgovornost brez primere, ko gre za kibernetsko varnost.
Več pravil je enako močnejši SEC
Mnogi verjamejo, da je nedavno prizadevanje SEC za dejavnejšo vlogo pri krepitvi pravil glede kibernetske varnosti neposredna posledica vdora v SolarWinds. Zloglasni dogodek velja za enega najhujših incidentov kibernetskega vohunjenja, ki so jih utrpele ZDA, saj je bila v državi tarča skupine hekerjev, ki jih podpira Rusija, na številne dele svoje zvezne vlade.
Napadalci so okužili posodobitve ameriškega zveznega izvajalca in jih uporabili kot skakalno desko za vdor v različne vladne agencije in podjetja. Po vdoru je SEC poslala pisma podjetjem, za katera je menila, da so ogrožena zaradi vdorov, ter jih zahtevala, da sami poročajo, če so bili vdrti in škodo, ki so jo vdori povzročili.
Ker je Komisija prejela premajhno število razkritij, je začela s programom amnestije – ponudila je odpuščanje podjetjem, ki so na koncu izpolnila zahtevo za samoprijavo, tudi če incidenta predhodno niso razkrila vlagateljem.
Takrat so Nacionalno združenje korporativnih direktorjev, Cyber Threat Alliance in SecurityScorecard program označili za "vredno pozornosti", saj je nakazal razvijajoči se pogled SEC na kibernetska tveganja. Sachin Bansal, glavni poslovni in pravni direktor SecurityScorecard, je to označil za "prelomni" trenutek za SEC.
Toda kljub temu novi predlog SID pušča marsikateri kamen na kamenju.
Nova pravila bodo od podjetij zahtevala, da razkrijejo "bistvene" ali "pomembne" kibernetske incidente, če se izvajajo. SEC meni, da so »bistvene« informacije vse informacije z »veliko verjetnostjo, da bi jih razumen delničar menil, da so pomembne«.
Mnogi menijo, da so definicije SEC preveč nejasne, da bi na trg prinesle kakršno koli smiselno preglednost. Nejasnost tudi pomeni, da bi pravila razlagala SEC za vsak primer posebej, kar bi podjetjem puščalo prostor, da se pritožijo na odločitve in postavljajo precedence, zaradi katerih bi bil predlog v bistvu brez vrednosti.
Vendar pa je še vedno prostor za izboljšanje. SEC ne namerava glasovati o predlogu še nekaj tednov, kar pušča veliko prostora za udeležence v industriji, da svoje pomisleke in predloge delijo s Komisijo.
Ni jasno, kako to vpliva na kripto industrijo – z vedno več investicijskimi skladi, vključno z različnimi digitalnimi sredstvi in kripto derivati v svojih portfeljih. Vendar bi lahko predlagana pravila povzročila številna razkritja, ki prihajajo iz kriptoprostora.
Vir: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/