Komisioni Amerikan i Letrave me Vlerë dhe Shkëmbim (SEC) ka propozuar rregulla të reja për menaxhimin e rrezikut të sigurisë kibernetike për korporatat që do t'u kërkonin atyre të jenë më transparente me zbulimet e klientëve.
Rregullat e reja do të zbatohen si ndryshime në forma të ndryshme në lidhje me zbulimet e sigurisë kibernetike dhe do të synojnë veçanërisht këshilltarët e investimeve, fondet e investimeve dhe kompanitë e zhvillimit të biznesit.
Nuk ka më fshehje të hakimeve të sigurisë kibernetike
Futja e rregulloreve më të rrepta në lidhje me zbulimet e sigurisë kibernetike nuk është një përpjekje e re nga SEC. Në vitin 2018, ish-komisioneri i KSHZ-së, Robert J. Jackson Jr. tha se kërkesat aktuale të zbulimit "gabuan në anën e moszbulimit" dhe shpesh i lanë investitorët në errësirë kur kompanitë përjetuan hakime ose sulme të tjera të sigurisë kibernetike.
Aktualisht, menaxhmentit të kompanisë i kërkohet vetëm të mbajë bordet të informuar për çështjet e sigurisë kibernetike, pa asnjë detyrim për t'i ndarë ato me investitorët ose klientët e tjerë. Sidoqoftë, një raport i përbashkët i vitit 2021 tregoi se në vitin 2020, vetëm 17% e kompanive të Fortune 100 të anketuara raportuan çështje të sigurisë kibernetike tek anëtarët e bordit çdo vit ose tremujor.
SEC duket e etur për ta ndryshuar këtë pasi kaloi pjesën më të mirë të vitit 2022 duke prezantuar propozime të ndryshme që – nëse miratohen – do të kërkonin që kompanitë publike të raportojnë për sulmet dhe incidentet kibernetike.
Ky është rasti me Menaxhimi i rrezikut të sigurisë kibernetike për këshilltarët e investimeve, kompanitë e regjistruara të investimeve dhe kompanitë e zhvillimit të biznesit propozim, i publikuar më 9 shkurt.
Në dokument, SEC propozon futjen e rregullave të reja sipas Aktit të Këshilltarëve të Investimeve të vitit 1940 dhe Aktit të Kompanive të Investimeve të vitit 1940 për të kërkuar fonde dhe këshilltarë për të zbatuar politika të reja të sigurisë kibernetike. Sipas dokumentit, këto politika dhe procedura janë krijuar posaçërisht për të adresuar rreziqet e sigurisë kibernetike duke u kërkuar kompanive të raportojnë incidente të rëndësishme të sigurisë kibernetike që prekin këshilltarin, fondin e tij ose klientët e fondeve private në SEC.
“Ne besojmë se kërkesa për këshilltarë dhe fonde për të raportuar ndodhjen e incidenteve të rëndësishme të sigurisë kibernetike do të forconte efikasitetin dhe efektivitetin e përpjekjeve tona për të mbrojtur investitorët, pjesëmarrësit e tjerë të tregut dhe tregjet financiare në lidhje me incidentet e sigurisë kibernetike,” tha SEC në propozim.
Jamil Farshchi, shefi i sigurisë së informacionit në Equifax, tha Bloomberg News se rregullat e propozuara do të sillnin transparencën shumë të nevojshme për udhëheqjen e korporatës dhe do të kërkonin llogaridhënie të paprecedentë kur bëhet fjalë për sigurinë kibernetike.
Më shumë rregulla janë të barabarta me një SEC më të fortë
Shumë besojnë se shtytja e fundit e SEC për të luajtur një rol më aktiv në forcimin e rregullave në lidhje me sigurinë kibernetike është një rezultat i drejtpërdrejtë i hakimit të SolarWinds. Ngjarja famëkeqe konsiderohet gjerësisht ndër incidentet më të këqija të spiunazhit kibernetik të pësuar nga SHBA, pasi vendi pa shumë pjesë të qeverisë së saj federale të shënjestruar nga një grup hakerash të mbështetur nga Rusia.
Sulmuesit infektuan përditësime nga një kontraktor federal i SHBA-së, duke e përdorur atë si një tabelë kërcimi për të ndërhyrë në agjenci dhe kompani të ndryshme qeveritare. Pas hakimit, SEC u dërgoi letra kompanive që besonte se ishin në rrezik nga hakimet, duke u kërkuar atyre që të raportonin vetë nëse ishin hakuar dhe dëmin e shkaktuar nga hakimet.
Meqenëse Komisioni mori një numër dërrmues zbulimesh, ai filloi Programin e Amnistisë – duke u ofruar falje kompanive që përfundimisht përmbushën kërkesën e vetë-raportimit, edhe nëse nuk ua kishin zbuluar më parë incidentin investitorëve.
Në atë kohë, Shoqata Kombëtare e Drejtorëve të Korporatave, Aleanca e Kërcënimeve Kibernetike dhe SecurityScorecard e quajtën të gjithë programin "të rëndësishëm", pasi sinjalizonte pikëpamjen në zhvillim të SEC për rrezikun kibernetik. Sachin Bansal, shefi i biznesit dhe zyrtari ligjor i SecurityScorecard, e quajti atë një moment "pellg ujëmbledhës" për SEC.
Por, përkundër kësaj, propozimi i ri i KSHZ-së lë shumë gurë pa lëvizur.
Rregullat e reja do t'u kërkojnë kompanive të zbulojnë incidente kibernetike "materiale" ose "të rëndësishme" nëse zbatohen. SEC e konsideron informacionin "material" si çdo informacion me një "gjasë të konsiderueshme që një aksionar i arsyeshëm do ta konsideronte të rëndësishëm".
Shumë mendojnë se përkufizimet e KSHZ-së janë shumë të paqarta për të sjellë ndonjë transparencë domethënëse në treg. Paqartësia do të thotë gjithashtu se rregullat do t'i nënshtrohen interpretimeve nga KSHZ-ja rast pas rasti, duke i lënë hapësirë kompanive për të apeluar ndaj vendimeve dhe për të vendosur precedentë që mund ta bëjnë propozimin në thelb të pavlefshëm.
Megjithatë, ka ende vend për të përmirësuar. SEC nuk është vendosur të votojë mbi propozimin për disa javë të tjera, duke lënë shumë hapësirë për pjesëmarrësit e industrisë për të ndarë shqetësimet dhe sugjerimet e tyre me Komisionin.
Është e paqartë se si kjo ndikon në industrinë e kriptove – me gjithnjë e më shumë fonde investimi duke përfshirë asete të ndryshme dixhitale dhe derivatet e kriptos në portofolet e tyre. Megjithatë, rregullat e propozuara mund të rezultojnë në shumë zbulime që vijnë nga hapësira e kriptove.
Burimi: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/