Комиссия по ценным бумагам и биржам США (SEC) предложила корпорациям новые правила управления рисками кибербезопасности, которые требуют от них большей прозрачности при раскрытии информации о клиентах.
Новые правила будут реализованы в виде поправок к различным формам раскрытия информации о кибербезопасности и будут конкретно нацелены на инвестиционных консультантов, инвестиционные фонды и компании по развитию бизнеса.
Больше не нужно скрывать взломы кибербезопасности
Введение более строгого регулирования в отношении раскрытия информации о кибербезопасности не является новым усилием со стороны SEC. В 2018 году бывший комиссар SEC Роберт Дж. Джексон-младший заявил, что нынешние требования к раскрытию информации «ошибались в сторону неразглашения» и часто оставляли инвесторов в неведении, когда компании подвергались взлому или другим атакам кибербезопасности.
В настоящее время от руководства компании требуется только информировать советы директоров о проблемах кибербезопасности без обязательств делиться ими с инвесторами или другими клиентами. Однако совместный отчет за 2021 год показал, что в 2020 году только 17% опрошенных компаний из списка Fortune 100 сообщали о проблемах кибербезопасности членам совета директоров ежегодно или ежеквартально.
SEC, похоже, стремится изменить это, поскольку большую часть 2022 года она провела, внося различные предложения, которые, если они будут приняты, потребуют от публичных компаний сообщать о кибератаках и инцидентах.
Это в случае с Управление рисками кибербезопасности для инвестиционных консультантов, зарегистрированных инвестиционных компаний и компаний по развитию бизнеса предложение, опубликованное 9 февраля.
В документе SEC предлагает ввести новые правила в соответствии с Законом об инвестиционных консультантах 1940 года и Законом об инвестиционных компаниях 1940 года, чтобы требовать от фондов и консультантов внедрения новых политик кибербезопасности. Согласно документу, эти политики и процедуры специально разработаны для устранения рисков кибербезопасности, требуя от компаний сообщать в SEC о значительных инцидентах кибербезопасности, затрагивающих консультанта, его фонд или клиентов частного фонда.
«Мы считаем, что требование к консультантам и фондам сообщать о серьезных инцидентах в области кибербезопасности повысит эффективность и результативность наших усилий по защите инвесторов, других участников рынка и финансовых рынков в связи с инцидентами в области кибербезопасности», — говорится в предложении SEC.
Джамиль Фарщи, директор по информационной безопасности Equifax, заявил Bloomberg News, что предлагаемые правила принесут столь необходимую прозрачность корпоративному руководству и потребуют беспрецедентной подотчетности, когда речь идет о кибербезопасности.
Чем больше правил, тем сильнее SEC
Многие считают, что недавнее стремление SEC играть более активную роль в усилении правил, касающихся кибербезопасности, является прямым результатом взлома SolarWinds. Это печально известное событие широко считается одним из самых серьезных инцидентов кибершпионажа, от которых пострадали США, поскольку в стране многие части федерального правительства стали мишенью группы поддерживаемых Россией хакеров.
Злоумышленники заразили обновления от федерального подрядчика США, используя их как плацдарм для проникновения в различные правительственные учреждения и компании. После взлома SEC разослала письма компаниям, которым, по ее мнению, угрожал взлом, требуя от них самостоятельно сообщать о том, были ли они взломаны, и об ущербе, нанесенном взломами.
Поскольку Комиссия получила незначительное количество раскрытий информации, она запустила программу амнистии, предлагая прощение компаниям, которые в конечном итоге выполнили запрос на самоотчет, даже если они ранее не сообщали об инциденте инвесторам.
В то время Национальная ассоциация корпоративных директоров, Альянс киберугроз и SecurityScorecard назвали программу «заслуживающей внимания», поскольку она сигнализировала о меняющемся взгляде SEC на киберриски. Сачин Бансал, главный специалист по бизнесу и правовым вопросам SecurityScorecard, назвал это «переломным моментом» для SEC.
Но, несмотря на это, новое предложение SEC оставляет много камня на камне.
Новые правила потребуют от компаний раскрывать «существенные» или «значимые» киберинциденты, если они будут реализованы. SEC рассматривает «существенную» информацию как любую информацию с «существенной вероятностью того, что разумный акционер сочтет ее важной».
Многие считают определения SEC слишком расплывчатыми, чтобы обеспечить хоть какую-то прозрачность на рынке. Неопределенность также означает, что правила будут подлежать толкованию SEC в каждом конкретном случае, оставляя компаниям возможность обжаловать решения и создавать прецеденты, которые могут сделать предложение по существу бесполезным.
Тем не менее, есть еще возможности для улучшения. Комиссия по ценным бумагам и биржам не собирается голосовать по этому предложению еще несколько недель, что дает участникам отрасли достаточно времени, чтобы поделиться своими проблемами и предложениями с Комиссией.
Неясно, как это повлияет на криптоиндустрию — все больше и больше инвестиционных фондов, включая различные цифровые активы и криптопроизводные в своих портфелях. Однако предлагаемые правила могут привести к раскрытию информации из криптопространства.
Источник: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/