Американската Комисија за хартии од вредност (SEC) предложи нови правила за управување со ризикот од сајбер безбедноста за корпорациите кои ќе бараат од нив да бидат потранспарентни со обелоденувањата на клиентите.
Новите правила ќе бидат имплементирани како амандмани на различни форми во врска со обелоденувањата на сајбер безбедноста и конкретно ќе ги таргетираат инвестициските советници, инвестициските фондови и компаниите за развој на бизнисот.
Нема повеќе криење хакери за сајбер-безбедност
Воведувањето построга регулатива во врска со обелоденувањата на сајбер безбедноста не е нов напор на ДИК. Во 2018 година, поранешниот комесар на ДИК Роберт Џеј Џексон Џуниор рече дека сегашните барања за обелоденување „грешат на страната на необјавување“ и често ги оставаат инвеститорите во темнина кога компаниите доживеале хакирање или други напади на сајбер безбедноста.
Во моментов, од менаџментот на компанијата се бара само да ги информира одборите за прашањата за сајбер-безбедноста, без обврска да ги споделува со инвеститорите или другите клиенти. Сепак, заедничкиот извештај за 2021 година покажа дека во 2020 година, само 17% од анкетираните компании на Fortune 100 пријавиле проблеми со сајбер безбедноста на членовите на одборот годишно или квартално.
Се чини дека ДИК сака да го промени ова, бидејќи поголемиот дел од 2022 година го помина во воведување на различни предлози кои - доколку бидат усвоени - ќе бараат од јавните компании да известуваат за сајбер напади и инциденти.
Ова е случај со Управување со сајбер-безбедносен ризик за инвестициски советници, регистрирани инвестициски компании и компании за развој на бизнисот предлог, објавен на 9 февруари.
Во документот, ДИК предлага да се воведат нови правила според Законот за инвестициски советници од 1940 година и Законот за инвестициски компании од 1940 година за да се бараат средства и советници за спроведување на нови политики за сајбер безбедност. Според документот, овие политики и процедури се специјално дизајнирани за да се справат со ризиците од сајбер безбедноста со тоа што ќе бараат од компаниите да пријават значајни инциденти за сајбер-безбедност кои влијаат на советникот, неговиот фонд или клиентите на приватни фондови до ДИК.
„Сметаме дека барањето од советници и средства да пријават појава на значајни инциденти во сајбер безбедноста ќе ја зајакне ефикасноста и ефективноста на нашите напори да ги заштитиме инвеститорите, другите учесници на пазарот и финансиските пазари во врска со инциденти со сајбер безбедноста“, се вели во предлогот на ДИК.
Џамил Фаршчи, главен службеник за безбедност на информации во Equifax, изјави Bloomberg News дека предложените правила ќе ја донесат многу потребната транспарентност на корпоративното раководство и ќе бараат невидена одговорност кога станува збор за сајбер безбедноста.
Повеќе правила се еднакви на посилна ДИК
Многумина веруваат дека неодамнешниот притисок на SEC да игра поактивна улога во зајакнувањето на правилата во врска со сајбер безбедноста е директен резултат на хакирањето на SolarWinds. Неславниот настан нашироко се смета за еден од најлошите инциденти за сајбер-шпионажа што ги претрпеа САД, бидејќи земјата виде дека многу делови од нејзината федерална влада беа цел на група хакери поддржани од Русија.
Напаѓачите заразиле ажурирања од американски федерален изведувач, користејќи го како табла за скокање за да навлезат во различни владини агенции и компании. По хакирањето, ДИК испрати писма до компаниите за кои веруваше дека се изложени на ризик од хакирањето, барајќи од нив сами да пријават дали биле хакирани и штетата што ја нанеле хакерите.
Бидејќи Комисијата доби огромен број обелоденувања, таа ја започна Програмата за амнестија - нудејќи им прошка на компаниите кои на крајот го исполнија барањето за самопријавување, дури и ако претходно не го откриле инцидентот на инвеститорите.
Во тоа време, Националната асоцијација на корпоративни директори, Алијансата за сајбер закани и SecurityScorecard ја нарекоа програмата „вредна за внимание“, бидејќи го сигнализираше еволуирачкиот поглед на ДИК за сајбер ризикот. Сачин Бансал, главен бизнис и правен директор на SecurityScorecard, го нарече „слив“ момент за ДИК.
Но, и покрај ова, новиот предлог на ДИК остава многу камења наопаку.
Новите правила ќе бараат од компаниите да обелоденат „материјални“ или „значајни“ сајбер инциденти доколку се применат. КХВ ја смета „материјалната“ информација како секоја информација со „значителна веројатност дека разумниот акционер би ја сметал за важна“.
Многумина сметаат дека дефинициите на ДИК се премногу нејасни за да донесат каква било значајна транспарентност на пазарот. Нејасноста, исто така, значи дека правилата ќе бидат предмет на толкување од ДИК од случај до случај, оставајќи им простор на компаниите да се жалат на пресудите и да поставуваат преседани кои би можеле да го направат предлогот суштински безвреден.
Сепак, има уште простор за подобрување. ДИК нема да гласа за предлогот уште неколку недели, оставајќи им многу простор на учесниците во индустријата да ги споделат своите грижи и предлози со Комисијата.
Не е јасно како тоа влијае на крипто индустријата - со се повеќе и повеќе инвестициски фондови, вклучувајќи различни дигитални средства и крипто-деривати во нивните портфолија. Сепак, предложените правила може да резултираат со многу обелоденувања кои доаѓаат од крипто просторот.
Извор: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/