Yhdysvaltain arvopaperi- ja pörssiviranomainen (SEC) on ehdottanut uusia kyberturvallisuusriskien hallintasääntöjä yrityksille, jotka edellyttäisivät niiden olevan läpinäkyvämpiä asiakkaiden tietojen kanssa.
Uudet säännöt otettaisiin käyttöön muutoksina erilaisiin kyberturvallisuusilmoitusten muotoihin ja ne kohdistuisivat erityisesti sijoitusneuvojille, sijoitusrahastoille ja liiketoiminnan kehittämisyhtiöille.
Ei enää piilotettuja kyberturvallisuushakkereita
Kyberturvallisuustietojen tiukemman sääntelyn käyttöönotto ei ole SEC:n uusi yritys. Vuonna 2018 SEC:n entinen komissaari Robert J. Jackson Jr. sanoi, että nykyiset tiedonantovaatimukset "eräsivät salassapitovelvollisuuden puolelle" ja jättivät sijoittajat usein hämärään, kun yritykset joutuivat hakkeroimaan tai muihin kyberturvallisuushyökkäuksiin.
Tällä hetkellä yrityksen johdon on vain tiedotettava hallituksille kyberturvallisuusasioista, eikä niillä ole velvollisuutta jakaa niitä sijoittajien tai muiden asiakkaiden kanssa. Vuoden 2021 yhteinen raportti kuitenkin osoitti, että vuonna 2020 vain 17 % kyselyyn vastanneista Fortune 100 -yrityksistä ilmoitti kyberturvallisuusongelmista hallituksen jäsenille vuosittain tai neljännesvuosittain.
SEC näyttää olevan innokas muuttamaan tätä, koska se käytti suurimman osan vuodesta 2022 esitellen erilaisia ehdotuksia, jotka - jos ne hyväksytään - vaatisivat julkisia yrityksiä raportoimaan kyberhyökkäyksistä ja -välikohtauksista.
Näin on asian kanssa Kyberturvallisuusriskien hallinta sijoitusneuvojille, rekisteröidyille sijoitusyhtiöille ja liiketoiminnan kehitysyhtiöille ehdotus, julkaistu 9. helmikuuta.
Asiakirjassa SEC ehdottaa uusien sääntöjen käyttöönottoa vuoden 1940 Investment Advisers Actin ja vuoden 1940 Investment Company Act -lain nojalla, jotta varoja ja neuvonantajia vaadittaisiin ottamaan käyttöön uusia kyberturvallisuuskäytäntöjä. Asiakirjan mukaan nämä käytännöt ja menettelyt on suunniteltu erityisesti kyberturvallisuusriskeihin puuttumiseksi vaatimalla yrityksiä ilmoittamaan SEC:lle merkittävistä kyberturvallisuushäiriöistä, jotka vaikuttavat neuvonantajaan, sen rahastoon tai yksityisten rahastojen asiakkaisiin.
"Uskomme, että neuvonantajien ja rahastojen vaatiminen ilmoittamaan merkittävistä kyberturvallisuushäiriöistä vahvistaisi ponnistelujemme tehokkuutta ja tehokkuutta suojella sijoittajia, muita markkinatoimijoita ja rahoitusmarkkinoita kyberturvallisuustapahtumien yhteydessä", SEC sanoi ehdotuksessa.
Jamil Farshchi, Equifaxin tietoturvapäällikkö, kertoi Bloomberg News kertoo, että ehdotetut säännöt toisivat kaivattua läpinäkyvyyttä yritysten johtamiseen ja edellyttäisivät ennennäkemätöntä vastuullisuutta kyberturvallisuuden suhteen.
Enemmän sääntöjä vastaa vahvempaa SEC:tä
Monet uskovat, että SEC:n äskettäinen pyrkimys toimia aktiivisemmin kyberturvallisuutta koskevien sääntöjen vahvistamisessa on suoraa seurausta SolarWinds-hakkerista. Surullisen tapahtumaa pidetään laajalti Yhdysvaltojen pahimpien kybervakoilutapahtumien joukossa, sillä Venäjän tukema hakkeriryhmä joutui maan useisiin liittohallituksen osiin.
Hyökkääjät tartuttavat yhdysvaltalaisen liittovaltion urakoitsijan päivityksiä käyttämällä niitä hyppytauluna tunkeutuakseen useisiin valtion virastoihin ja yrityksiin. Hakkeroinnin jälkeen SEC lähetti kirjeitä yrityksille, joiden se uskoi olevan hakkeroinnin vaarassa, ja vaati niitä itse ilmoittamaan, jos ne oli hakkeroitu ja hakkeroinnin aiheuttamista vahingoista.
Koska komissio sai valtavan määrän ilmoituksia, se aloitti Amnesty-ohjelman tarjoten anteeksiantoa yrityksille, jotka lopulta täyttivät itseraportointipyynnön, vaikka ne eivät olisi aiemmin paljastaneet tapausta sijoittajille.
Tuolloin National Association of Corporate Directors, Cyber Threat Alliance ja SecurityScorecard kutsuivat ohjelmaa "huomautuksen arvoiseksi", koska se osoitti SEC:n kehittyvää näkemystä kyberriskeistä. Sachin Bansal, SecurityScorecardin liiketoimintajohtaja ja lakimies, kutsui sitä "vedenjakajaksi" SEC:lle.
Mutta tästä huolimatta SEC:n uusi ehdotus jättää monia kiviä kääntämättä.
Uudet säännöt edellyttävät yrityksiä paljastamaan "olennaiset" tai "merkittävät" kybertapahtumat, jos ne toteutetaan. SEC pitää "olennaista" tietoa mitä tahansa tietoa, jolla on "olennainen todennäköisyys, että järkevä osakkeenomistaja pitää sitä tärkeänä".
Monet pitävät SEC:n määritelmät liian epämääräisinä tuodakseen mielekästä avoimuutta markkinoille. Epämääräisyys tarkoittaa myös sitä, että SEC voisi tulkita sääntöjä tapauskohtaisesti, mikä jättää yrityksille tilaa valittaa päätöksiin ja luoda ennakkotapauksia, jotka voivat tehdä ehdotuksesta olennaisesti arvottoman.
Parantamisen varaa on kuitenkin vielä. SEC:n ei ole määrä äänestää ehdotuksesta vielä muutamaan viikkoon, jolloin alan toimijoille jää runsaasti tilaa jakaa huolensa ja ehdotuksensa komission kanssa.
On epäselvää, kuinka tämä vaikuttaa kryptoteollisuuteen – yhä useammat sijoitusrahastot sisältävät erilaisia digitaalisia omaisuuseriä ja kryptojohdannaiset salkuissaan. Ehdotetut säännöt voivat kuitenkin johtaa moniin salausavaruuden paljasteisiin.
Lähde: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/