Комісія з цінних паперів і бірж США (SEC) запропонувала нові правила управління ризиками кібербезпеки для корпорацій, які вимагатимуть від них більш прозорого розкриття інформації про клієнтів.
Нові правила будуть впроваджені як поправки до різних форм, що стосуються розкриття інформації про кібербезпеку, і будуть спеціально спрямовані на інвестиційних радників, інвестиційні фонди та компанії з розвитку бізнесу.
Більше не потрібно приховувати хаки кібербезпеки
Запровадження суворішого регулювання щодо розкриття інформації про кібербезпеку не є новим зусиллям SEC. У 2018 році колишній комісар SEC Роберт Дж. Джексон-молодший сказав, що поточні вимоги щодо розкриття інформації «помилилися на стороні нерозголошення» і часто залишали інвесторів у темряві, коли компанії зазнавали зломів або інших атак на кібербезпеку.
Наразі від керівництва компанії вимагається лише інформувати ради директорів про питання кібербезпеки, не зобов’язуючи ділитися ними з інвесторами чи іншими клієнтами. Однак спільний звіт за 2021 рік показав, що у 2020 році лише 17% опитаних компаній зі списку Fortune 100 повідомляли про проблеми кібербезпеки членам правління щорічно або щоквартально.
SEC, схоже, прагне змінити це, оскільки більшу частину 2022 року витратила на внесення різноманітних пропозицій, які, якщо їх ухвалять, вимагатимуть від державних компаній звітувати про кібератаки та інциденти.
Це випадок з Управління ризиками кібербезпеки для інвестиційних радників, зареєстрованих інвестиційних компаній та компаній з розвитку бізнесу пропозиція, опублікована 9 лютого.
У документі SEC пропонує запровадити нові правила відповідно до Закону про інвестиційних радників 1940 року та Закону про інвестиційні компанії 1940 року, щоб вимагати фінансування та радників для впровадження нової політики кібербезпеки. Згідно з документом, ці політики та процедури спеціально розроблені для подолання ризиків кібербезпеки, вимагаючи від компаній повідомляти SEC про значні інциденти кібербезпеки, що впливають на радника, його фонд або клієнтів приватного фонду.
«Ми вважаємо, що вимагати від консультантів та коштів повідомляти про значні інциденти кібербезпеки підвищить ефективність та результативність наших зусиль із захисту інвесторів, інших учасників ринку та фінансових ринків у зв’язку з інцидентами кібербезпеки», – йдеться в пропозиції SEC.
Джаміль Фарщі, головний спеціаліст із інформаційної безпеки компанії Equifax, сказав Bloomberg News про те, що запропоновані правила забезпечать вкрай необхідну прозорість корпоративному керівництву та вимагатимуть безпрецедентної відповідальності, коли справа доходить до кібербезпеки.
Більше правил дорівнює сильнішому SEC
Багато хто вважає, що останній прагнення SEC відігравати більш активну роль у посиленні правил щодо кібербезпеки є прямим результатом злому SolarWinds. Сумнозвісна подія широко вважається одним з найгірших інцидентів кібершпигунства, від яких зазнали США, оскільки в країні багато частин свого федерального уряду були мішенню групи підтримуваних Росією хакерів.
Зловмисники заразили оновлення від федерального підрядника США, використовуючи це як дошку для вторгнення в різні державні установи та компанії. Після злому SEC надіслала листи компаніям, які, на її думку, загрожували хакерськими атаками, вимагаючи від них самостійно повідомити, якщо вони були зламані, і про шкоду, завдану хакерськими атаками.
Оскільки Комісія отримала низьку кількість розкриттів, вона розпочала програму амністії, пропонуючи прощення компаніям, які врешті-решт виконали запит щодо самозвіту, навіть якщо вони раніше не розкривали інцидент інвесторам.
У той час Національна асоціація корпоративних директорів, Cyber Threat Alliance і SecurityScorecard назвали програму «заслуговує на увагу», оскільки вона сигналізувала про зміну погляду SEC на кіберризики. Сачин Бансал, головний бізнес-директор SecurityScorecard, назвав це «переломним» моментом для SEC.
Але, незважаючи на це, нова пропозиція SEC залишає багато каменів на камені.
Нові правила вимагатимуть від компаній розкривати «суттєві» або «значні» кіберінциденти, якщо вони будуть запроваджені. SEC розглядає «суттєву» інформацію як будь-яку інформацію з «істотною ймовірністю того, що розумний акціонер вважатиме її важливою».
Багато хто вважає визначення SEC занадто розпливчастими, щоб забезпечити будь-яку значущу прозорість на ринку. Нечіткість також означає, що правила будуть підлягати тлумаченню SEC в кожному окремому випадку, залишаючи можливість компаніям апелювати до рішень і встановлювати прецеденти, які можуть зробити пропозицію по суті марною.
Проте ще є куди вдосконалюватись. SEC не збирається голосувати за цю пропозицію ще кілька тижнів, залишаючи достатньо місця для учасників галузі, щоб поділитися своїми проблемами та пропозиціями з Комісією.
Незрозуміло, як це вплине на криптоіндустрію — все більше інвестиційних фондів, включаючи різні цифрові активи і криптовалюти у своїх портфоліо. Проте запропоновані правила можуть призвести до багатьох розкриттів, які надходять із криптопростору.
Джерело: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/