Камісія па каштоўных паперах і біржам ЗША (SEC) прапанавала новыя правілы кіравання рызыкамі кібербяспекі для карпарацый, якія патрабуюць ад іх большай празрыстасці ў раскрыцці інфармацыі аб кліентах.
Новыя правілы будуць рэалізаваны як папраўкі да розных формаў, якія тычацца раскрыцця інфармацыі аб кібербяспецы, і будуць у прыватнасці накіраваны на інвестыцыйных кансультантаў, інвестыцыйныя фонды і кампаніі па развіцці бізнесу.
Больш не трэба хаваць хакі кібербяспекі
Увядзенне больш строгага рэгулявання ў дачыненні да раскрыцця інфармацыі аб кібербяспецы не з'яўляецца новай спробай SEC. У 2018 годзе былы камісар SEC Роберт Дж. Джэксан-малодшы заявіў, што цяперашнія патрабаванні да раскрыцця інфармацыі «памыляюцца ў бок нераскрыцця» і часта пакідаюць інвестараў у недасведчанасці, калі кампаніі сутыкаюцца з узломамі або іншымі атакамі кібербяспекі.
У цяперашні час ад кіраўніцтва кампаніі патрабуецца толькі інфармаваць саветы дырэктараў аб праблемах кібербяспекі без абавязацельстваў дзяліцца імі з інвестарамі або іншымі кліентамі. Аднак сумесная справаздача за 2021 год паказала, што ў 2020 годзе толькі 17% апытаных кампаній са спісу Fortune 100 штогод або штоквартальна паведамлялі членам праўлення аб праблемах кібербяспекі.
Здаецца, SEC імкнецца змяніць гэта, паколькі большую частку 2022 года яна правяла, прадстаўляючы розныя прапановы, якія ў выпадку прыняцця запатрабуюць ад дзяржаўных кампаній справаздачнасці аб кібератаках і інцыдэнтах.
Гэта выпадак з Кіраванне рызыкамі кібербяспекі для інвестыцыйных кансультантаў, зарэгістраваных інвестыцыйных кампаній і кампаній па развіцці бізнесу прапанова, апублікаваная 9 лютага.
У дакуменце SEC прапануе ўвесці новыя правілы ў адпаведнасці з Законам аб інвестыцыйных кансультантах 1940 года і Законам аб інвестыцыйных кампаніях 1940 года, каб патрабаваць ад сродкаў і кансультантаў рэалізацыі новай палітыкі кібербяспекі. Згодна з дакументам, гэтыя палітыкі і працэдуры спецыяльна распрацаваны для ліквідацыі рызык кібербяспекі, патрабуючы ад кампаній паведамляць SEC аб значных інцыдэнтах кібербяспекі, якія закранаюць кансультанта, яго фонд або кліентаў прыватных фондаў.
«Мы лічым, што патрабаванне ад кансультантаў і фондаў паведамляць аб узнікненні значных інцыдэнтаў кібербяспекі павысіць эфектыўнасць і выніковасць нашых намаганняў па абароне інвестараў, іншых удзельнікаў рынку і фінансавых рынкаў у сувязі з інцыдэнтамі кібербяспекі», — гаворыцца ў прапанове SEC.
Джаміль Фаршчы, дырэктар па інфармацыйнай бяспецы Equifax, сказаў Bloomberg News заявіў, што прапанаваныя правілы прынясуць гэтак неабходную празрыстасць карпаратыўнаму кіраўніцтву і запатрабуюць беспрэцэдэнтнай падсправаздачнасці, калі гаворка ідзе пра кібербяспеку.
Больш правілаў роўна больш моцнай SEC
Шмат хто лічыць, што нядаўняе імкненне SEC гуляць больш актыўную ролю ва ўзмацненні правілаў кібербяспекі з'яўляецца прамым вынікам узлому SolarWinds. Сумна вядомая падзея шырока лічыцца адным з найгоршых інцыдэнтаў кібершпіянажу, якія пацярпелі ў ЗША, паколькі ў краіне многія органы федэральнага ўрада сталі мішэнню групы хакераў, якія падтрымліваюцца Расіяй.
Зламыснікі заразілі абнаўленні ад федэральнага падрадчыка ЗША, выкарыстоўваючы іх як трамплін для ўварвання ў розныя дзяржаўныя ўстановы і кампаніі. Пасля ўзлому SEC накіравала лісты кампаніям, якія, на яе думку, знаходзяцца ў небяспецы з-за ўзлому, патрабуючы ад іх самастойна паведаміць аб тым, што яны былі ўзламаныя, і аб шкодзе, нанесенай узломамі.
Паколькі Камісія атрымала ашаламляльную колькасць раскрытых дадзеных, яна запусціла Праграму амністыі, прапаноўваючы прабачэнне кампаніям, якія ў рэшце рэшт выканалі запыт аб самасправаздачы, нават калі раней яны не паведамлялі пра інцыдэнт інвестарам.
У той час Нацыянальная асацыяцыя карпаратыўных дырэктараў, Альянс па барацьбе з кібернетычнай пагрозай і SecurityScorecard назвалі праграму «вартай увагі», бо яна сведчыць пра змяненне погляду SEC на кіберрызыку. Сачын Бансал, дырэктар па справах і правах SecurityScorecard, назваў гэты момант «пераломным» для SEC.
Але, нягледзячы на гэта, новая прапанова SEC пакідае шмат камянёў на камені.
Новыя правілы запатрабуюць ад кампаній раскрываць «істотныя» або «значныя» кіберінцыдэнты, калі яны будуць рэалізаваны. SEC разглядае «істотную» інфармацыю як любую інфармацыю з «істотнай верагоднасцю таго, што разумны акцыянер палічыць яе важнай».
Многія лічаць вызначэнні SEC занадта расплывістымі, каб прынесці значнай празрыстасці рынку. Расплывістасць таксама азначае, што правілы будуць тлумачыцца SEC у кожным канкрэтным выпадку, пакідаючы магчымасць кампаніям апеляваць да рашэнняў і ствараць прэцэдэнты, якія могуць зрабіць прапанову практычна бескарыснай.
Аднак яшчэ ёсць што палепшыць. SEC не збіраецца галасаваць па прапанове яшчэ некалькі тыдняў, што пакідае шмат месца для ўдзельнікаў галіны, каб падзяліцца сваімі праблемамі і прапановамі з Камісіяй.
Незразумела, як гэта ўплывае на крыптаіндустрыю - з усё большай колькасцю інвестыцыйных фондаў, уключаючы розныя лічбавыя актывы і вытворныя крыпты у сваіх партфелях. Аднак прапанаваныя правілы могуць прывесці да раскрыцця вялікай колькасці інфармацыі з крыптапрасторы.
Крыніца: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/