Az Egyesült Államok Értékpapír- és Tőzsdefelügyelete (SEC) új kiberbiztonsági kockázatkezelési szabályokat javasolt a vállalatok számára, amelyek megkövetelik, hogy átláthatóbbak legyenek az ügyfelek tájékoztatása során.
Az új szabályok a kiberbiztonsági közzétételek különféle formáinak módosításaként lépnének életbe, és kifejezetten a befektetési tanácsadókat, befektetési alapokat és üzletfejlesztési társaságokat céloznák meg.
Nincs többé rejtőzködő kiberbiztonsági hackelés
A kiberbiztonsági közzétételekre vonatkozó szigorúbb szabályozás bevezetése nem új törekvés a SEC-től. 2018-ban a SEC korábbi biztosa, Robert J. Jackson Jr. azt mondta, hogy a jelenlegi közzétételi követelmények „eltévedtek a nyilvánosságra hozatal mellett”, és gyakran a befektetők homályában maradtak, amikor a vállalatok feltöréseket vagy más kiberbiztonsági támadásokat tapasztaltak.
Jelenleg a cégvezetésnek csak a kiberbiztonsági kérdésekről kell tájékoztatnia az igazgatóságokat, és nem köteles megosztani ezeket a befektetőkkel vagy más ügyfelekkel. Egy 2021-es közös jelentés azonban kimutatta, hogy 2020-ban a megkérdezett Fortune 17-as cégeknek csak 100%-a jelentett kiberbiztonsági problémákat az igazgatóság tagjainak évente vagy negyedévente.
Úgy tűnik, hogy a SEC alig várja, hogy ezen változtasson, mivel 2022 nagy részét azzal töltötte, hogy különféle javaslatokat terjesztett elő, amelyek elfogadása esetén az állami vállalatoknak jelentést kellene tenniük a kibertámadásokról és incidensekről.
Ez a helyzet a Kiberbiztonsági kockázatkezelés befektetési tanácsadók, bejegyzett befektetési társaságok és üzletfejlesztési cégek számára február 9-én közzétett javaslat.
A dokumentumban a SEC új szabályok bevezetését javasolja az 1940-es befektetési tanácsadói törvény és az 1940-es befektetési társaságokról szóló törvény értelmében, amelyek előírják az alapok és tanácsadók számára, hogy új kiberbiztonsági politikákat hajtsanak végre. A dokumentum szerint ezeket az irányelveket és eljárásokat kifejezetten a kiberbiztonsági kockázatok kezelésére tervezték azáltal, hogy megkövetelik a vállalatoktól, hogy jelentsék a tanácsadót, annak alapját vagy magánalap ügyfeleit érintő jelentős kiberbiztonsági incidenseket a SEC-nek.
„Úgy gondoljuk, hogy a tanácsadók és az alapok jelentésének előírása a jelentős kiberbiztonsági incidensek megtörténtéről megerősítené azon erőfeszítéseink hatékonyságát és eredményességét, hogy megvédjük a befektetőket, más piaci szereplőket és a pénzügyi piacokat a kiberbiztonsági incidensekkel kapcsolatban” – áll a SEC javaslatában.
Jamil Farshchi, az Equifax információs biztonsági igazgatója, mondta A Bloomberg News szerint a javasolt szabályok az égetően szükséges átláthatóságot hoznák meg a vállalati vezetésben, és soha nem látott elszámoltathatóságot követelnének meg a kiberbiztonság terén.
Több szabály erősebb SEC-vel egyenlő
Sokan úgy vélik, hogy a SEC közelmúltban tett erőfeszítése, hogy aktívabb szerepet játsszon a kiberbiztonsági szabályok megerősítésében, a SolarWinds feltörésének közvetlen következménye. A hírhedt eseményt széles körben az Egyesült Államok által elszenvedett legrosszabb kiberkémkedési incidensek között tartják számon, mivel az ország szövetségi kormányának számos részét vette célba Oroszország által támogatott hackerek csoportja.
A támadók egy amerikai szövetségi vállalkozótól származó frissítéseket fertőztek meg, és ezt ugródeszkaként használták különböző kormányzati szervek és cégek behatolására. A feltörést követően a SEC leveleket küldött azoknak a cégeknek, amelyekről úgy vélte, hogy veszélyben vannak a feltörések, és felszólította őket, hogy maguk jelentsék be, ha feltörték őket, és a feltörések által okozott károkat.
Mivel a Bizottság elsöprő számú bejelentést kapott, elindította az Amnesty Programot – megbocsátást kínálva azoknak a vállalatoknak, amelyek végül eleget tettek az önfeljelentési kérésnek, még akkor is, ha korábban nem hozták nyilvánosságra az incidenst a befektetőknek.
Akkoriban a Vállalati Igazgatók Országos Szövetsége, a Cyber Threat Alliance és a SecurityScorecard „figyelemre méltónak” nevezte a programot, mivel ez jelezte a SEC fejlődő nézetét a kiberkockázatokkal kapcsolatban. Sachin Bansal, a SecurityScorecard üzleti és jogi igazgatója „vízválasztó” pillanatnak nevezte a SEC számára.
Ennek ellenére a SEC új javaslata sok követ megmunkálatlanul hagy.
Az új szabályok értelmében a vállalatoknak nyilvánosságra kell hozniuk a „lényeges” vagy „jelentős” kiberincidenseket, ha bevezetésre kerülnek. A SEC „lényeges” információnak tekint minden olyan információt, amelynél „lényeges a valószínűsége annak, hogy egy ésszerű részvényes ezt fontosnak tartaná”.
Sokan úgy találják, hogy a SEC meghatározásai túl homályosak ahhoz, hogy érdemi átláthatóságot hozzanak létre a piacon. A homályosság egyúttal azt is jelenti, hogy a szabályokat a SEC eseti alapon értelmezné, teret engedve a vállalatoknak, hogy fellebbezzenek az ítéletekhez, és precedenseket teremtsenek, amelyek a javaslatot lényegében értéktelenné tehetik.
Van azonban még mit javítani. A SEC még néhány hétig nem szavaz a javaslatról, így bőven marad teret az iparági szereplőknek, hogy megosszák aggályaikat és javaslataikat a Bizottsággal.
Nem világos, hogy ez hogyan érinti a kriptoipart – egyre több befektetési alap, köztük különféle digitális eszközök és kriptoszármazékok portfóliójukban. A javasolt szabályok azonban számos közzétételt eredményezhetnek a kriptográfiai térből.
Forrás: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/