Americká komise pro cenné papíry a burzy (SEC) navrhla nová pravidla pro řízení rizik kybernetické bezpečnosti pro korporace, která by od nich vyžadovala větší transparentnost při zveřejňování informací o zákaznících.
Nová pravidla by byla implementována jako dodatky k různým formám zveřejňování informací o kybernetické bezpečnosti a konkrétně by se zaměřovala na investiční poradce, investiční fondy a společnosti pro rozvoj podnikání.
Už žádné skrývání kybernetických bezpečnostních hacků
Zavedení přísnější regulace týkající se zveřejňování informací o kybernetické bezpečnosti není novým úsilím SEC. V roce 2018 bývalý komisař SEC Robert J. Jackson Jr. řekl, že současné požadavky na zveřejnění „chybovaly na straně nezveřejnění“ a často nechávaly investory v nevědomosti, když společnosti zažily hackery nebo jiné útoky na kybernetickou bezpečnost.
V současné době je vedení společnosti povinno pouze informovat správní rady o problémech kybernetické bezpečnosti, bez povinnosti sdílet je s investory nebo jinými zákazníky. Společná zpráva z roku 2021 však ukázala, že v roce 2020 pouze 17 % dotázaných společností ze seznamu Fortune 100 hlásilo členům správní rady ročně nebo čtvrtletně problémy s kybernetickou bezpečností.
Zdá se, že SEC to chce změnit, protože větší část roku 2022 strávila zaváděním různých návrhů, které – pokud budou schváleny – budou vyžadovat, aby veřejné společnosti podávaly zprávy o kybernetických útocích a incidentech.
To je případ s Řízení rizik kybernetické bezpečnosti pro investiční poradce, registrované investiční společnosti a společnosti pro rozvoj podnikání návrh, zveřejněný 9. února.
V dokumentu SEC navrhuje zavést nová pravidla podle zákona o investičních poradcích z roku 1940 a zákona o investičních společnostech z roku 1940, která by po fondech a poradcích vyžadovala zavedení nových zásad kybernetické bezpečnosti. Podle dokumentu jsou tyto zásady a postupy speciálně navrženy tak, aby řešily rizika kybernetické bezpečnosti tím, že vyžadují, aby společnosti hlásily významné kybernetické bezpečnostní incidenty ovlivňující poradce, jeho fond nebo klienty soukromého fondu SEC.
„Věříme, že požadavek, aby poradci a fondy hlásili výskyt významných kybernetických bezpečnostních incidentů, by posílily efektivitu a efektivitu našeho úsilí chránit investory, další účastníky trhu a finanční trhy v souvislosti s kybernetickými bezpečnostními incidenty,“ uvedla SEC v návrhu.
Jamil Farshchi, ředitel informační bezpečnosti ve společnosti Equifax, řekl Bloomberg News, že navrhovaná pravidla by přinesla tolik potřebnou transparentnost vedení společností a vyžadovala by bezprecedentní odpovědnost, pokud jde o kybernetickou bezpečnost.
Více pravidel rovná se silnější SEC
Mnozí věří, že nedávný tlak SEC hrát aktivnější roli při posilování pravidel týkajících se kybernetické bezpečnosti je přímým důsledkem hacku SolarWinds. Tato nechvalně známá událost je široce považována za jeden z nejhorších incidentů kybernetické špionáže, které utrpěly USA, protože v této zemi se skupina hackerů podporovaných Ruskem stala terčem mnoha částí federální vlády.
Útočníci infikovali aktualizace od amerického federálního dodavatele a použili to jako můstek k narušení různých vládních agentur a společností. Po hacknutí SEC rozeslala dopisy společnostem, o kterých se domnívala, že jsou hackery ohroženy, a požadovaly, aby samy nahlásily, zda byly hacknuty a jaké škody hackery způsobily.
Vzhledem k tomu, že Komise obdržela ohromující množství informací, zahájila program Amnesty – nabízející odpuštění společnostem, které nakonec vyhověly žádosti o vlastní zprávu, i když předtím o incidentu investory nesdělily.
V té době National Association of Corporate Directors, Cyber Threat Alliance a SecurityScorecard označily program za „pozoruhodný“, protože signalizoval vyvíjející se pohled SEC na kybernetická rizika. Sachin Bansal, hlavní obchodní a právní ředitel společnosti SecurityScorecard, to označil za „předělový“ okamžik pro SEC.
Ale navzdory tomu nový návrh SEC nechává mnoho kamenů neotočených.
Nová pravidla budou vyžadovat, aby společnosti zveřejnily „závažné“ nebo „významné“ kybernetické incidenty, pokud budou zavedeny. SEC považuje „významné“ informace za jakékoli informace, u nichž je „podstatná pravděpodobnost, že by je rozumný akcionář považoval za důležité“.
Mnozí považují definice SEC za příliš vágní na to, aby přinesly na trh jakoukoli smysluplnou transparentnost. Vágnost také znamená, že pravidla by podléhala výkladu ze strany SEC případ od případu, což by společnostem ponechalo prostor, aby se odvolaly na rozhodnutí a vytvořily precedenty, které by mohly učinit návrh v podstatě bezcenným.
Stále je však co zlepšovat. SEC nebude o návrhu hlasovat dalších několik týdnů, což ponechává účastníkům průmyslu dostatek prostoru, aby se podělili o své obavy a návrhy s Komisí.
Není jasné, jak to ovlivňuje kryptoprůmysl – se stále více investičními fondy včetně různých digitálních aktiv a krypto derivátů v jejich portfoliích. Navrhovaná pravidla by však mohla vést k mnoha odhalením pocházejícím z kryptoprostoru.
Zdroj: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/