US Securities and Exchange Commission (SEC) har foreslået nye cybersikkerhedsrisikostyringsregler for virksomheder, der vil kræve, at de er mere gennemsigtige med kundeoplysninger.
De nye regler vil blive implementeret som ændringer af forskellige former for cybersikkerhedsoplysninger og vil specifikt målrette investeringsrådgivere, investeringsfonde og forretningsudviklingsselskaber.
Ikke flere skjulte cybersikkerhedshack
Indførelse af strengere regulering vedrørende afsløringer af cybersikkerhed er ikke en ny indsats fra SEC. I 2018 sagde tidligere SEC-kommissær Robert J. Jackson Jr., at de nuværende oplysningskrav "fejlede på siden af hemmeligholdelse" og ofte efterlod investorer i mørket, når virksomheder oplevede hacks eller andre cybersikkerhedsangreb.
I øjeblikket er virksomhedsledelsen kun forpligtet til at holde bestyrelser orienteret om cybersikkerhedsproblemer uden forpligtelse til at dele dem med investorer eller andre kunder. En fælles 2021-rapport viste imidlertid, at i 2020 rapporterede kun 17 % af de adspurgte Fortune 100-virksomheder cybersikkerhedsproblemer til bestyrelsesmedlemmer årligt eller kvartalsvis.
SEC ser ud til at være ivrig efter at ændre dette, da det brugte den største del af 2022 på at introducere forskellige forslag, der - hvis de blev vedtaget - ville kræve, at offentlige virksomheder rapporterer om cyberangreb og hændelser.
Dette er tilfældet med Cybersikkerhedsrisikostyring for investeringsrådgivere, registrerede investeringsselskaber og forretningsudviklingsselskaber forslag, offentliggjort den 9. februar.
I dokumentet foreslår SEC at indføre nye regler under Investment Advisers Act af 1940 og Investment Company Act af 1940 for at kræve, at fonde og rådgivere implementerer nye cybersikkerhedspolitikker. Ifølge dokumentet er disse politikker og procedurer specifikt designet til at imødegå cybersikkerhedsrisici ved at kræve, at virksomheder rapporterer væsentlige cybersikkerhedshændelser, der påvirker rådgiveren, dens fond eller private fondskunder til SEC.
"Vi mener, at det vil styrke effektiviteten og effektiviteten af vores bestræbelser på at beskytte investorer, andre markedsdeltagere og de finansielle markeder i forbindelse med cybersikkerhedshændelser," siger SEC i forslaget.
Jamil Farshchi, Chief Information Security Officer hos Equifax, fortalt Bloomberg News, at de foreslåede regler ville bringe tiltrængt gennemsigtighed til virksomhedsledelse og kræve hidtil uset ansvarlighed, når det kommer til cybersikkerhed.
Flere regler er lig med en stærkere SEC
Mange mener, at SEC's nylige fremstød for at spille en mere aktiv rolle i at styrke reglerne vedrørende cybersikkerhed er et direkte resultat af SolarWinds-hacket. Den berygtede begivenhed anses i vid udstrækning blandt de værste cyberspionagehændelser, som USA har lidt, da landet så mange dele af sin føderale regering målrettet af en gruppe russisk-støttede hackere.
Angriberne inficerede opdateringer fra en amerikansk føderal entreprenør, der brugte det som et springbræt til at trænge ind på forskellige offentlige agenturer og virksomheder. Efter hacket sendte SEC breve til virksomheder, som den mente var i fare for hackene, og krævede, at de selv skulle rapportere, om de var blevet hacket og den skade, hackene påførte.
Da Kommissionen modtog et overvældende antal afsløringer, startede den Amnesty-programmet – der tilbød tilgivelse til virksomheder, der til sidst efterkom anmodningen om selvrapportering, selvom de ikke tidligere havde afsløret hændelsen til investorer.
På det tidspunkt kaldte National Association of Corporate Directors, Cyber Threat Alliance og SecurityScorecard alle programmet "bemærkelsesværdigt", da det signalerede SEC's skiftende syn på cyberrisiko. Sachin Bansal, forretningschef og juridisk leder af SecurityScorecard, kaldte det et "vandskel"-øjeblik for SEC.
Men på trods af dette efterlader SEC's nye forslag mange sten uvendt.
De nye regler vil kræve, at virksomheder afslører "væsentlige" eller "væsentlige" cyberhændelser, hvis de implementeres. SEC betragter "væsentlig" information som enhver information med en "væsentlig sandsynlighed for, at en fornuftig aktionær ville anse det for vigtigt."
Mange finder SEC's definitioner for vage til at bringe nogen meningsfuld gennemsigtighed til markedet. Uklarheden betyder også, at reglerne vil være genstand for fortolkninger af SEC fra sag til sag, hvilket giver plads til, at virksomheder kan appellere til afgørelser og skabe præcedens, der kan gøre forslaget i det væsentlige værdiløst.
Der er dog stadig plads til forbedring. SEC er ikke indstillet til at stemme om forslaget i endnu et par uger, hvilket giver masser af plads til industrideltagere til at dele deres bekymringer og forslag med Kommissionen.
Det er uklart, hvordan dette påvirker kryptoindustrien - med flere og flere investeringsfonde, herunder forskellige digitale aktiver og kryptoderivater i deres porteføljer. De foreslåede regler kan dog resultere i, at mange afsløringer kommer fra kryptorummet.
Kilde: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/