Комиссия по ценным бумагам и биржам США (SEC) предложила корпорациям новые правила управления рисками кибербезопасности, которые требуют от них большей прозрачности при раскрытии информации о клиентах.
Новые правила будут реализованы в виде поправок к различным формам раскрытия информации о кибербезопасности и будут конкретно нацелены на инвестиционных консультантов, инвестиционные фонды и компании по развитию бизнеса.
Больше не нужно скрывать взломы кибербезопасности
Введение более строгого регулирования в отношении раскрытия информации о кибербезопасности — не новая попытка SEC. В 2018 году бывший комиссар SEC Роберт Дж. Джексон-младший заявил, что нынешние требования о раскрытии информации «ошибаются в сторону неразглашения» и часто оставляют инвесторов в неведении, когда компании подвергаются взлому или другим атакам в области кибербезопасности.
В настоящее время от руководства компании требуется только информировать советы директоров о проблемах кибербезопасности без обязательств делиться ими с инвесторами или другими клиентами. Однако совместный отчет за 2021 год показал, что в 2020 году только 17% опрошенных компаний из списка Fortune 100 сообщали о проблемах кибербезопасности членам совета директоров ежегодно или ежеквартально.
SEC, похоже, стремится изменить это, поскольку большую часть 2022 года она провела, внося различные предложения, которые, если они будут приняты, потребуют от публичных компаний сообщать о кибератаках и инцидентах.
Это относится к предложению по управлению рисками кибербезопасности для инвестиционных консультантов, зарегистрированных инвестиционных компаний и компаний по развитию бизнеса, опубликованному 9 февраля.
В документе SEC предлагает ввести новые правила в соответствии с Законом об инвестиционных консультантах 1940 года и Законом об инвестиционных компаниях 1940 года, чтобы требовать от фондов и консультантов внедрения новых политик кибербезопасности. Согласно документу, эти политики и процедуры специально разработаны для устранения рисков кибербезопасности, требуя от компаний сообщать в SEC о значительных инцидентах кибербезопасности, затрагивающих консультанта, его фонд или клиентов частного фонда.
«Мы считаем, что требование к консультантам и фондам сообщать о серьезных инцидентах кибербезопасности повысит эффективность и действенность наших усилий по защите инвесторов, других участников рынка и финансовых рынков в связи с инцидентами кибербезопасности», — говорится в предложении SEC.
Джамиль Фарщи, директор по информационной безопасности Equifax, сообщил Bloomberg News, что предлагаемые правила обеспечат столь необходимую прозрачность корпоративному руководству и потребуют беспрецедентной подотчетности, когда речь идет о кибербезопасности.
Чем больше правил, тем сильнее SEC
Многие считают, что недавнее стремление SEC играть более активную роль в ужесточении правил, касающихся кибербезопасности, является прямым результатом взлома SolarWinds. Это печально известное событие широко считается одним из самых серьезных инцидентов кибершпионажа, от которых пострадали США, поскольку в стране многие части федерального правительства стали мишенью группы поддерживаемых Россией хакеров.
Злоумышленники заразили обновления от федерального подрядчика США, используя их как плацдарм для проникновения в различные правительственные учреждения и компании. После взлома SEC разослала письма компаниям, которым, по ее мнению, угрожал взлом, требуя от них самостоятельно сообщать о том, были ли они взломаны, и об ущербе, нанесенном взломами.
Поскольку Комиссия получила недостаточное количество раскрытий информации, она запустила программу амнистии, предлагая прощение компаниям, которые в конечном итоге выполнили запрос на самоотчет, даже если они ранее не сообщали об инциденте инвесторам.
В то время Национальная ассоциация корпоративных директоров, Альянс киберугроз и SecurityScorecard назвали программу «заслуживающей внимания», поскольку она сигнализировала о меняющемся взгляде SEC на киберриски. Сачин Бансал, директор SecurityScorecard по бизнесу и правовым вопросам, назвал это «переломным моментом» для SEC.
Но, несмотря на это, новое предложение SEC оставляет много камня на камне.
Новые правила потребуют от компаний раскрывать «существенные» или «значительные» киберинциденты, если они будут реализованы. SEC рассматривает «существенную» информацию как любую информацию с «существенной вероятностью того, что разумный акционер сочтет ее важной».
Многие считают определения SEC слишком расплывчатыми, чтобы обеспечить хоть какую-то прозрачность на рынке. Неопределенность также означает, что правила будут подлежать толкованию SEC в каждом конкретном случае, оставляя компаниям возможность обжаловать решения и создавать прецеденты, которые могут сделать предложение по существу бесполезным.
Тем не менее, есть еще возможности для улучшения. Комиссия по ценным бумагам и биржам не собирается голосовать по этому предложению еще несколько недель, что дает участникам отрасли достаточно времени, чтобы поделиться своими опасениями и предложениями с Комиссией.
Неясно, как это повлияет на криптоиндустрию — все больше и больше инвестиционных фондов включают в свои портфели различные цифровые активы и криптодеривативы. Однако предлагаемые правила могут привести к раскрытию информации из криптопространства.
Вооружившись классическим образованием и интересом к новостям, Анджела погрузилась в криптоиндустрию в 2018 году, потратив годы на освещение политики.