ASV Vērtspapīru un biržu komisija (SEC) ir ierosinājusi jaunus kiberdrošības riska pārvaldības noteikumus korporācijām, kas prasītu, lai tās būtu pārredzamākas attiecībā uz klientu informācijas izpaušanu.
Jaunie noteikumi tiktu ieviesti kā grozījumi dažādās formās attiecībā uz informācijas izpaušanu kiberdrošības jomā, un tie būtu īpaši vērsti uz investīciju konsultantiem, ieguldījumu fondiem un biznesa attīstības uzņēmumiem.
Vairs nav jāslēpj kiberdrošības uzlauzumi
Stingrāku noteikumu ieviešana attiecībā uz informācijas izpaušanu kiberdrošības jomā nav jauns SEC darbs. 2018. gadā bijušais SEC komisārs Roberts Džeksons jaunākais sacīja, ka pašreizējās informācijas atklāšanas prasības “kļūdījās neizpaušanas pusē” un bieži atstāja investorus neziņā, kad uzņēmumi piedzīvoja uzlaušanu vai citus kiberdrošības uzbrukumus.
Pašlaik uzņēmuma vadībai ir tikai jāinformē valdes par kiberdrošības jautājumiem, taču nav pienākuma tajos dalīties ar investoriem vai citiem klientiem. Tomēr kopīgs 2021. gada ziņojums parādīja, ka 2020. gadā tikai 17% no Fortune 100 aptaujātajiem uzņēmumiem katru gadu vai reizi ceturksnī ziņoja par kiberdrošības problēmām valdes locekļiem.
Šķiet, ka SEC vēlas to mainīt, jo lielāko 2022. gada daļu tā pavadīja, ieviešot dažādus priekšlikumus, kuri, ja tie tiks pieņemti, liktu valsts uzņēmumiem ziņot par kiberuzbrukumiem un incidentiem.
Tas ir gadījumā ar Kiberdrošības riska pārvaldība ieguldījumu konsultantiem, reģistrētām ieguldījumu sabiedrībām un biznesa attīstības kompānijām priekšlikums, publicēts 9.februārī.
Dokumentā SEC ierosina ieviest jaunus noteikumus saskaņā ar 1940. gada Investīciju konsultantu likumu un 1940. gada Ieguldījumu uzņēmumu likumu, lai pieprasītu fondiem un konsultantiem ieviest jaunas kiberdrošības politikas. Saskaņā ar dokumentu šīs politikas un procedūras ir īpaši izstrādātas, lai novērstu kiberdrošības riskus, pieprasot uzņēmumiem ziņot SEC par būtiskiem kiberdrošības incidentiem, kas ietekmē konsultantu, tā fondu vai privātā fonda klientus.
"Mēs uzskatām, ka prasība konsultantiem un fondiem ziņot par nozīmīgiem kiberdrošības incidentiem veicinātu mūsu centienus aizsargāt investorus, citus tirgus dalībniekus un finanšu tirgus saistībā ar kiberdrošības incidentiem," teikts SEC priekšlikumā.
Džemils Faršči, Equifax galvenais informācijas drošības speciālists, teica Bloomberg News norāda, ka ierosinātie noteikumi nodrošinās tik ļoti nepieciešamo pārredzamību korporatīvajā vadībā un prasīs nepieredzētu atbildību kiberdrošības jomā.
Vairāk noteikumu nozīmē spēcīgāku SEC
Daudzi uzskata, ka SEC nesenais mēģinājums spēlēt aktīvāku lomu kiberdrošības noteikumu stiprināšanā ir tiešs SolarWinds uzlaušanas rezultāts. Bēdīgi slavenais notikums tiek plaši uzskatīts par vienu no vissmagākajiem kiberspiegošanas incidentiem, kas cietuši ASV, jo valstī daudzas federālās valdības daļas bija vērstas pret Krievijas atbalstītu hakeru grupu.
Uzbrucēji inficēja atjauninājumus no ASV federālā darbuzņēmēja, izmantojot to kā dēli, lai iebruktu dažādās valdības aģentūrās un uzņēmumos. Pēc uzlaušanas SEC nosūtīja vēstules uzņēmumiem, kuri, pēc tās domām, ir pakļauti uzlaušanas riskam, pieprasot tiem pašiem ziņot par uzlaušanu un uzlaušanas nodarīto kaitējumu.
Tā kā Komisija saņēma ļoti daudz informācijas, tā sāka Amnestijas programmu, piedāvājot piedošanu uzņēmumiem, kas galu galā izpildīja pašziņojuma pieprasījumu, pat ja tie iepriekš nebija atklājuši incidentu investoriem.
Tajā laikā Nacionālā korporatīvo direktoru asociācija, Kiberdraudu alianse un SecurityScorecard programmu sauca par "ievērības cienīgu", jo tā norādīja uz SEC mainīgo viedokli par kiberrisku. Sačins Bansals, SecurityScorecard galvenais bizness un juridiskais darbinieks, nosauca to par SEC “pašķirtnes brīdi”.
Taču, neskatoties uz to, SEC jaunais priekšlikums atstāj daudzus akmeņus neapgrieztus.
Jaunie noteikumi prasīs uzņēmumiem atklāt “būtiskus” vai “nozīmīgus” kiberincidentus, ja tie tiks ieviesti. SEC uzskata par “būtisku” informāciju par jebkuru informāciju, kurai ir “būtiska iespēja, ka saprātīgs akcionārs to uzskatītu par svarīgu”.
Daudzi uzskata, ka SEC definīcijas ir pārāk neskaidras, lai nodrošinātu jēgpilnu pārredzamību tirgū. Nekonkrētība nozīmē arī to, ka noteikumi būtu pakļauti SEC interpretācijām katrā gadījumā atsevišķi, atstājot uzņēmumiem iespēju pārsūdzēt nolēmumus un radīt precedentus, kas varētu padarīt priekšlikumu būtībā nevērtīgu.
Tomēr vēl ir ko uzlabot. SEC nav paredzēts balsot par priekšlikumu vēl dažas nedēļas, atstājot daudz vietas nozares dalībniekiem, lai dalītos savās bažās un ieteikumos ar Komisiju.
Nav skaidrs, kā tas ietekmē kriptovalūtu nozari — arvien vairāk investīciju fondu, tostarp dažādu digitālo aktīvu un kriptoatvasinājumi savos portfeļos. Tomēr ierosinātie noteikumi varētu izraisīt daudzas informācijas izpaušanas no kriptovalūtas.
Avots: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/