Americká komisia pre cenné papiere a burzu (SEC) navrhla nové pravidlá riadenia kybernetického rizika pre korporácie, ktoré by od nich vyžadovali väčšiu transparentnosť pri zverejňovaní informácií o zákazníkoch.
Nové pravidlá by sa implementovali ako dodatky k rôznym formám zverejňovania informácií o kybernetickej bezpečnosti a konkrétne by sa zamerali na investičných poradcov, investičné fondy a spoločnosti na rozvoj podnikania.
Už žiadne skrývanie kybernetických bezpečnostných hackov
Zavedenie prísnejšej regulácie týkajúcej sa zverejňovania informácií o kybernetickej bezpečnosti nie je novým úsilím SEC. V roku 2018 bývalý komisár SEC Robert J. Jackson Jr. povedal, že súčasné požiadavky na zverejnenie „chybili na strane nezverejnenia“ a často nechali investorov v nevedomosti, keď spoločnosti zažili hacky alebo iné útoky na kybernetickú bezpečnosť.
V súčasnosti sa od vedenia spoločnosti vyžaduje iba informovanie predstavenstva o problémoch kybernetickej bezpečnosti, bez povinnosti zdieľať ich s investormi alebo inými zákazníkmi. Spoločná správa z roku 2021 však ukázala, že v roku 2020 len 17 % opýtaných spoločností z rebríčka Fortune 100 každoročne alebo štvrťročne hlásilo problémy s kybernetickou bezpečnosťou členom predstavenstva.
Zdá sa, že SEC to chce zmeniť, keďže väčšiu časť roku 2022 strávila predstavovaním rôznych návrhov, ktoré – ak budú schválené – budú vyžadovať, aby verejné spoločnosti podávali správy o kybernetických útokoch a incidentoch.
To je prípad s Riadenie rizika kybernetickej bezpečnosti pre investičných poradcov, registrované investičné spoločnosti a spoločnosti pre rozvoj podnikania návrh, zverejnený 9. februára.
V dokumente SEC navrhuje zaviesť nové pravidlá v rámci zákona o investičných poradcoch z roku 1940 a zákona o investičných spoločnostiach z roku 1940, ktoré by od fondov a poradcov vyžadovali implementáciu nových politík v oblasti kybernetickej bezpečnosti. Podľa dokumentu sú tieto zásady a postupy špecificky navrhnuté tak, aby riešili riziká kybernetickej bezpečnosti tým, že spoločnostiam sa vyžaduje, aby hlásili SEC významné incidenty kybernetickej bezpečnosti ovplyvňujúce poradcu, jeho fond alebo klientov súkromného fondu.
„Veríme, že požiadavka, aby poradcovia a fondy hlásili výskyt významných incidentov kybernetickej bezpečnosti, by posilnili efektívnosť a účinnosť nášho úsilia chrániť investorov, ostatných účastníkov trhu a finančné trhy v súvislosti s incidentmi kybernetickej bezpečnosti,“ uviedla SEC v návrhu.
Jamil Farshchi, šéf informačnej bezpečnosti spoločnosti Equifax, Hovoril som Bloomberg News, že navrhované pravidlá by priniesli veľmi potrebnú transparentnosť do vedenia spoločností a vyžadovali by bezprecedentnú zodpovednosť, pokiaľ ide o kybernetickú bezpečnosť.
Viac pravidiel rovná sa silnejšia SEC
Mnohí veria, že nedávny tlak SEC na to, aby zohrávala aktívnejšiu úlohu pri posilňovaní pravidiel týkajúcich sa kybernetickej bezpečnosti, je priamym výsledkom hacku SolarWinds. Neslávne známa udalosť je všeobecne považovaná za jeden z najhorších incidentov v oblasti kybernetickej špionáže, ktoré postihli USA, keďže v krajine sa skupina hackerov podporovaných Ruskom stala terčom mnohých častí federálnej vlády.
Útočníci infikovali aktualizácie od amerického federálneho dodávateľa a použili to ako skokanský mostík na preniknutie do rôznych vládnych agentúr a spoločností. Po hacknutí SEC poslala spoločnostiam, o ktorých sa domnievala, že sú ohrozené hackingom, listy a požadovala od nich, aby samy nahlásili, či boli hacknuté a aké škody hackeri spôsobili.
Keďže Komisia dostala ohromujúci počet zverejnených informácií, spustila program Amnesty, ktorý ponúka odpustenie spoločnostiam, ktoré nakoniec vyhoveli žiadosti o samohlásenie, aj keď predtým o incidente investorom neinformovali.
V tom čase National Association of Corporate Directors, Cyber Threat Alliance a SecurityScorecard označili program za „pozoruhodný“, pretože signalizoval meniaci sa pohľad SEC na kybernetické riziko. Sachin Bansal, hlavný obchodný a právny riaditeľ spoločnosti SecurityScorecard, to označil za „prelomový“ moment pre SEC.
Ale napriek tomu nový návrh SEC necháva veľa kameňov na kameni.
Nové pravidlá budú vyžadovať, aby spoločnosti zverejňovali „závažné“ alebo „významné“ kybernetické incidenty, ak sa zavedú. SEC považuje „podstatné“ informácie za akékoľvek informácie, pri ktorých je „podstatná pravdepodobnosť, že by ich rozumný akcionár považoval za dôležité“.
Mnohí považujú definície SEC za príliš vágne na to, aby na trh priniesli zmysluplnú transparentnosť. Nejasnosť tiež znamená, že pravidlá by podliehali výkladu zo strany SEC od prípadu k prípadu, čo by spoločnostiam ponechalo priestor na odvolanie sa na rozhodnutia a vytvorenie precedensov, ktoré by mohli urobiť návrh v podstate bezcenným.
Stále je však čo zlepšovať. SEC nie je pripravená hlasovať o návrhu ešte niekoľko týždňov, čo ponecháva dostatok priestoru pre účastníkov priemyslu, aby sa podelili o svoje obavy a návrhy s Komisiou.
Nie je jasné, ako to ovplyvňuje kryptopriemysel – s čoraz väčším množstvom investičných fondov vrátane rôznych digitálnych aktív a krypto deriváty vo svojich portfóliách. Navrhované pravidlá by však mohli viesť k mnohým odhaleniam pochádzajúcim z kryptopriestoru.
Zdroj: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/