The U.S. Securities and Exchange Commission (SEC) has proposed new cybersecurity risk management rules for corporations that would require them to be more transparent with customer disclosures.
Новые правила будут реализованы в виде поправок к различным формам, касающимся раскрытия информации о кибербезопасности, и будут направлены в первую очередь на инвестиционных консультантов, инвестиционные фонды и компании по развитию бизнеса.
Больше не нужно скрывать взломы систем кибербезопасности
Введение более жесткого регулирования в отношении раскрытия информации о кибербезопасности — не новая попытка SEC. В 2018 году бывший комиссар SEC Роберт Дж. Джексон-младший заявил, что существующие требования к раскрытию информации «ошибочны в сторону неразглашения» и часто оставляют инвесторов в неведении, когда компании сталкиваются со взломами или другими атаками в области кибербезопасности.
Currently, company management is only required to keep boards informed about cybersecurity issues, with no obligation to share them with investors or other customers. However, a joint 2021 report showed that in 2020, only 17% of Fortune 100 companies surveyed reported cybersecurity issues to board members annually or quarterly.
Похоже, что SEC стремится изменить Изменение - понятие, актуальное для криптовалют, использующих модель UTXO, - это количество монет, отправленных обратно пользователю после того, как он использовал свои неизрасходованные выходы для инициирования транзакции. эту ситуацию, поскольку она провела большую часть 2022 года, представляя различные предложения, которые — в случае принятия — потребуют от публичных компаний отчитываться о кибер-атаках и инцидентах.
Это относится к Управление рисками кибербезопасности для инвестиционных консультантов, зарегистрированных инвестиционных компаний и компаний по развитию бизнеса предложение, опубликованное 9 февраля.
В документе SEC предлагает ввести новые правила в соответствии с Законом об инвестиционных консультантах 1940 года и Законом об инвестиционных компаниях 1940 года, требующие от фондов и консультантов внедрения новых политик кибербезопасности. Согласно документу, эти политики и процедуры специально разработаны для устранения рисков кибербезопасности, требуя от компаний сообщать в SEC о значительных инцидентах кибербезопасности, затрагивающих советника, его фонд или клиентов частного фонда.
«Мы считаем, что требование к консультантам и фондам сообщать о возникновении значительных инцидентов в сфере кибербезопасности повысит эффективность и результативность наших усилий по защите инвесторов, других участников рынка и финансовых рынков в связи с инцидентами в сфере кибербезопасности», — говорится в предложении SEC.
Джамиль Фаршчи, главный специалист по информационной безопасности компании Equifax, рассказал Bloomberg News that the proposed rules would bring much-needed transparency to corporate leadership and require unprecedented accountability when it comes to cybersecurity.
Больше правил — сильнее SEC
Многие считают, что недавнее стремление SEC играть более активную роль в укреплении правил кибербезопасности является прямым результатом взлома SolarWinds. Это печально известное событие считается одним из худших инцидентов кибершпионажа, произошедших в США, поскольку группа поддерживаемых Россией хакеров атаковала многие подразделения федерального правительства.
Злоумышленники заразили обновления одного из федеральных подрядчиков США и использовали их в качестве трамплина для проникновения в различные государственные учреждения и компании. После взлома SEC разослала письма компаниям, которые, по ее мнению, подвергались риску взлома, требуя от них самостоятельно сообщить, были ли они взломаны и какой ущерб был нанесен в результате взлома.
Поскольку Комиссия получила недостаточное количество раскрытий, она начала программу амнистии, предлагая прощение компаниям, которые в конечном итоге выполнили просьбу о самоотчете, даже если они ранее не раскрыли инцидент инвесторам.
В то время Национальная ассоциация корпоративных директоров, Cyber Threat Alliance и SecurityScorecard назвали программу «заслуживающей внимания», поскольку она сигнализирует об эволюции взглядов SEC на киберриски. Сачин Бансал, директор по бизнесу и правовым вопросам компании SecurityScorecard, назвал это «переломным» моментом для SEC.
Но, несмотря на это, новое предложение SEC оставляет много камней нераскрытыми.
Новые правила потребуют от компаний раскрывать информацию о «существенных» или «значительных» кибер-инцидентах в случае их реализации. SEC рассматривает «существенную» информацию как любую информацию с «существенной вероятностью того, что разумный акционер сочтет ее важной».
Многие считают, что определения SEC слишком расплывчаты, чтобы обеспечить значимую прозрачность рынка. Неясность также означает, что правила будут интерпретироваться SEC в каждом конкретном случае, оставляя компаниям возможность апеллировать к решениям и создавать прецеденты, которые могут сделать предложение по сути бесполезным.
However, there is still room to improve. The SEC isn’t set to vote on the proposal for another few weeks, leaving plenty of room for industry participants to share their concerns and suggestions with the Commission.
Пока неясно, как это повлияет на криптоиндустрию — ведь все больше и больше инвестиционных фондов включают в себя различные цифровые активы и криптовалютные деривативы в своих портфелях. Однако предложенные правила могут привести к тому, что многие раскрытия информации будут поступать из криптовалютного пространства.
