Комисията за ценни книжа и борси на САЩ (SEC) предложи нови правила за управление на риска за киберсигурността за корпорации, които ще изискват от тях да бъдат по-прозрачни с разкриването на информация за клиентите.
Новите правила ще бъдат въведени като изменения в различни форми по отношение на разкриването на информация за киберсигурността и ще бъдат насочени конкретно към инвестиционни консултанти, инвестиционни фондове и компании за развитие на бизнеса.
Няма повече криене на хакове за киберсигурност
Въвеждането на по-строга регулация по отношение на разкриването на информация за киберсигурността не е ново усилие от SEC. През 2018 г. бившият комисар на SEC Робърт Дж. Джаксън-младши каза, че настоящите изисквания за оповестяване са „грешили от страната на неразкриването“ и често оставят инвеститорите на тъмно, когато компаниите са претърпели хакове или други атаки за киберсигурност.
Понастоящем от ръководството на компанията се изисква само да информира бордовете за проблеми с киберсигурността, без задължение да ги споделя с инвеститори или други клиенти. Съвместен доклад за 2021 г. обаче показа, че през 2020 г. само 17% от анкетираните компании от Fortune 100 са съобщавали за проблеми с киберсигурността на членовете на борда годишно или тримесечно.
SEC изглежда нетърпеливо да промени това, тъй като прекара по-голямата част от 2022 г., представяйки различни предложения, които — ако бъдат приети — ще изискват публичните компании да докладват за кибератаки и инциденти.
Такъв е случаят с Управление на риска за киберсигурност за инвестиционни съветници, регистрирани инвестиционни компании и компании за бизнес развитие предложение, публикувано на 9 февруари.
В документа SEC предлага въвеждане на нови правила съгласно Закона за инвестиционните съветници от 1940 г. и Закона за инвестиционните компании от 1940 г., за да се изискват средства и съветници за прилагане на нови политики за киберсигурност. Според документа тези политики и процедури са специално разработени за справяне с рисковете за киберсигурността, като изискват от компаниите да докладват на SEC за значителни инциденти в областта на киберсигурността, засягащи съветника, неговия фонд или клиенти на частни фондове.
„Вярваме, че изискването от съветници и фондове да докладват за възникването на значителни инциденти в областта на киберсигурността ще засили ефективността и ефективността на нашите усилия за защита на инвеститорите, другите участници на пазара и финансовите пазари във връзка с инциденти в киберсигурността“, се казва в предложението на SEC.
Джамил Фарши, главен директор по информационна сигурност в Equifax, каза Bloomberg News, че предложените правила ще донесат така необходимата прозрачност на корпоративното ръководство и ще изискват безпрецедентна отчетност, когато става въпрос за киберсигурност.
Повече правила се равняват на по-силен SEC
Мнозина смятат, че скорошният натиск на SEC да играе по-активна роля в укрепването на правилата по отношение на киберсигурността е пряк резултат от хакването на SolarWinds. Скандалното събитие се счита за един от най-тежките инциденти с кибершпионаж, претърпяни от САЩ, тъй като страната видя много части от федералното си правителство, обект на група подкрепяни от Русия хакери.
Нападателите заразиха актуализации от федерален изпълнител на САЩ, използвайки това като скачане, за да нахлуят в различни правителствени агенции и компании. След хакването SEC изпрати писма до компании, за които смяташе, че са изложени на риск от хакването, изисквайки от тях да докладват сами, ако са били хакнати и щетите, нанесени от хакването.
Тъй като Комисията получи огромен брой разкрития, тя стартира програмата за амнистия – предлагайки прошка на компаниите, които в крайна сметка изпълниха искането за самоотчитане, дори ако преди това не са разкрили инцидента на инвеститорите.
По това време Националната асоциация на корпоративните директори, Cyber Threat Alliance и SecurityScorecard нарекоха програмата „забележима“, тъй като тя сигнализира за променящия се възглед на SEC за киберриска. Сачин Бансал, главен бизнес и правен директор на SecurityScorecard, нарече това „преломен“ момент за SEC.
Но въпреки това новото предложение на SEC оставя много камъни на камък.
Новите правила ще изискват от компаниите да разкриват „съществени“ или „значителни“ кибер инциденти, ако бъдат приложени. SEC разглежда „съществена“ информация като всяка информация със „значителна вероятност разумният акционер да я сметне за важна“.
Мнозина намират определенията на SEC за твърде неясни, за да донесат някаква значима прозрачност на пазара. Неяснотата също така означава, че правилата ще подлежат на тълкуване от SEC за всеки отделен случай, оставяйки място на компаниите да обжалват решения и да създават прецеденти, които биха могли да направят предложението по същество безполезно.
Въпреки това, все още има какво да се подобри. SEC няма да гласува предложението още няколко седмици, оставяйки достатъчно място на участниците в индустрията да споделят своите опасения и предложения с Комисията.
Не е ясно как това се отразява на крипто индустрията - с все повече и повече инвестиционни фондове, включително различни цифрови активи и крипто производни в техните портфейли. Предложените правила обаче могат да доведат до много разкрития, идващи от крипто пространството.
Източник: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/