Američka komisija za vrijednosne papire i burze (SEC) predložila je nova pravila upravljanja rizikom kibernetičke sigurnosti za korporacije koja bi zahtijevala da budu transparentnije s otkrivanjem podataka o klijentima.
Nova pravila bi se implementirala kao izmjene i dopune različitih oblika u vezi s objavama kibernetičke sigurnosti i posebno bi ciljala na investicijske savjetnike, investicijske fondove i tvrtke za razvoj poslovanja.
Nema više skrivanja hakova za kibernetičku sigurnost
Uvođenje strožih propisa u vezi s otkrivanjem podataka o kibernetičkoj sigurnosti nije novi napor SEC-a. U 2018., bivši povjerenik SEC-a Robert J. Jackson Jr. rekao je da su trenutni zahtjevi za otkrivanje podataka “pogrešili na strani neotkrivanja” i često ostavljali investitore u mraku kada su tvrtke doživjele hakove ili druge napade na kibernetičku sigurnost.
Trenutačno se od uprave tvrtke traži samo da informira odbore o pitanjima kibernetičke sigurnosti, bez obveze da ih dijeli s investitorima ili drugim klijentima. Međutim, zajedničko izvješće za 2021. pokazalo je da je 2020. godine samo 17% anketiranih tvrtki s liste Fortune 100 prijavilo probleme kibernetičke sigurnosti članovima uprave godišnje ili tromjesečno.
Čini se da DIP želi to promijeniti jer je veći dio 2022. proveo uvodeći različite prijedloge koji bi — ako budu usvojeni — zahtijevali od javnih poduzeća da izvještavaju o cyber napadima i incidentima.
To je slučaj sa Upravljanje rizikom kibernetičke sigurnosti za investicijske savjetnike, registrirana investicijska društva i tvrtke za razvoj poslovanja prijedlog, objavljen 9. veljače.
U dokumentu SEC predlaže uvođenje novih pravila u skladu sa Zakonom o investicijskim savjetnicima iz 1940. i Zakonom o investicijskim tvrtkama iz 1940. kako bi se zahtijevala sredstva i savjetnici za provedbu novih politika kibernetičke sigurnosti. Prema dokumentu, ove politike i postupci su posebno osmišljeni za rješavanje kibernetičkih rizika tako što zahtijevaju od tvrtki da SEC-u prijave značajne incidente kibernetičke sigurnosti koji utječu na savjetnika, njegov fond ili klijente privatnog fonda.
“Vjerujemo da bi zahtijevanje od savjetnika i sredstava da prijave pojavu značajnih incidenata kibernetičke sigurnosti pojačalo učinkovitost i djelotvornost naših napora da zaštitimo ulagače, druge sudionike na tržištu i financijska tržišta u vezi s incidentima kibernetičke sigurnosti”, navodi DIP u prijedlogu.
Jamil Farshchi, glavni službenik za informacijsku sigurnost u Equifaxu, rekao Bloomberg News da će predložena pravila donijeti prijeko potrebnu transparentnost korporativnom vodstvu i zahtijevati odgovornost bez presedana kada je u pitanju kibernetička sigurnost.
Više pravila jednako je jačem SEC-u
Mnogi vjeruju da je nedavni pokušaj SEC-a da igra aktivniju ulogu u jačanju pravila o kibernetičkoj sigurnosti izravan rezultat hakiranja SolarWindsa. Zloglasni događaj se naširoko smatra jednim od najgorih incidenata kibernetičke špijunaže koje su pretrpjele SAD, budući da su mnogi dijelovi svoje savezne vlade bili na meti grupe hakera koje podržava Rusija.
Napadači su zarazili ažuriranja američkog saveznog izvođača, koristeći to kao odskočnu dasku za upad u razne vladine agencije i tvrtke. Nakon hakiranja, SEC je poslao pisma tvrtkama za koje je vjerovao da su u opasnosti od hakova, zahtijevajući od njih da sami prijave jesu li hakirani i štetu koju su hakiranja nanijela.
Kako je Komisija primila nevjerojatan broj objava, pokrenula je program amnestije – nudeći oprost tvrtkama koje su na kraju udovoljile zahtjevu za samoprijavu, čak i ako ranije nisu otkrile incident investitorima.
U to vrijeme, Nacionalna udruga korporativnih direktora, Cyber Threat Alliance i SecurityScorecard program su nazvali “vrijednim pažnje”, jer je signalizirao evoluirajući pogled SEC-a na kibernetički rizik. Sachin Bansal, glavni poslovni i pravni službenik SecurityScorecarda, nazvao je to "prelomnim" trenutkom za SEC.
No, unatoč tome, novi prijedlog DIP-a ostavlja mnogo kamena na kamenu.
Nova pravila zahtijevat će od tvrtki da otkriju "materijalne" ili "značajne" kibernetičke incidente ako se provedu. SEC smatra "materijalnom" informacijom bilo koju informaciju s "znatnom vjerojatnošću da bi ih razumni dioničar smatrao važnima".
Mnogi smatraju da su definicije SEC-a previše nejasne da bi donijele bilo kakvu značajnu transparentnost tržištu. Neodređenost također znači da bi pravila bila podložna tumačenjima DIP-a od slučaja do slučaja, ostavljajući poduzećima prostora da se žale na presude i postavljaju presedane koji bi prijedlog mogli učiniti bezvrijednim.
Međutim, još uvijek ima prostora za poboljšanje. SEC ne planira glasovati o prijedlogu još nekoliko tjedana, ostavljajući dovoljno prostora sudionicima industrije da podijele svoje brige i prijedloge s Komisijom.
Nejasno je kako to utječe na kripto industriju – sa sve više investicijskih fondova uključujući različitu digitalnu imovinu i kripto derivati u svojim portfeljima. Međutim, predložena pravila mogu rezultirati mnogim otkrivanjima koja dolaze iz kriptoprostora.
Izvor: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/