US Securities and Exchange Commission (SEC) har foreslått nye regler for håndtering av cybersikkerhetsrisiko for selskaper som krever at de er mer transparente med kundeopplysninger.
De nye reglene vil bli implementert som endringer i ulike former for cybersikkerhetsavsløringer og vil spesifikt være rettet mot investeringsrådgivere, investeringsfond og forretningsutviklingsselskaper.
Ikke flere skjulte hacks for cybersikkerhet
Å innføre strengere regulering angående avsløringer av cybersikkerhet er ikke en ny innsats fra SEC. I 2018 sa tidligere SEC-kommissær Robert J. Jackson Jr. at gjeldende avsløringskrav "feilet på siden av ikke-avsløring" og ofte lot investorer stå i mørket når selskaper opplevde hacks eller andre cybersikkerhetsangrep.
Foreløpig er bedriftsledelsen kun pålagt å holde styrene informert om cybersikkerhetsspørsmål, uten forpliktelse til å dele dem med investorer eller andre kunder. En felles 2021-rapport viste imidlertid at i 2020 var det bare 17 % av de spurte Fortune 100-selskapene som rapporterte cybersikkerhetsproblemer til styremedlemmer årlig eller kvartalsvis.
SEC ser ut til å være ivrig etter å endre dette ettersom den brukte mesteparten av 2022 på å introdusere ulike forslag som – hvis de ble vedtatt – ville kreve at offentlige selskaper rapporterer om cyberangrep og hendelser.
Dette er tilfellet med Risikostyring for cybersikkerhet for investeringsrådgivere, registrerte investeringsselskaper og forretningsutviklingsselskaper forslag, publisert 9. februar.
I dokumentet foreslår SEC å innføre nye regler under Investment Advisers Act av 1940 og Investment Company Act av 1940 for å kreve at fond og rådgivere implementerer nye retningslinjer for nettsikkerhet. I følge dokumentet er disse retningslinjene og prosedyrene spesielt utformet for å adressere cybersikkerhetsrisiko ved å kreve at selskaper rapporterer betydelige cybersikkerhetshendelser som påvirker rådgiveren, dets fond eller private fondskunder til SEC.
"Vi mener å kreve at rådgivere og fond rapporterer forekomsten av betydelige cybersikkerhetshendelser, vil styrke effektiviteten og effektiviteten av vår innsats for å beskytte investorer, andre markedsaktører og finansmarkedene i forbindelse med cybersikkerhetshendelser," heter det i forslaget fra SEC.
Jamil Farshchi, sjef for informasjonssikkerhet ved Equifax, fortalte Bloomberg News at de foreslåtte reglene ville gi sårt tiltrengt åpenhet til bedriftsledelse og krever enestående ansvarlighet når det gjelder cybersikkerhet.
Flere regler tilsvarer en sterkere SEC
Mange tror at SECs nylige fremstøt for å spille en mer aktiv rolle i å styrke reglene angående cybersikkerhet er et direkte resultat av SolarWinds-hacket. Den beryktede hendelsen er ansett blant de verste cyberspionasjehendelsene USA har lidd, ettersom landet så mange deler av sin føderale regjering målrettet av en gruppe Russland-støttede hackere.
Angriperne infiserte oppdateringer fra en amerikansk føderal entreprenør, og brukte det som et hoppebrett for å trenge inn på ulike offentlige etater og selskaper. Etter hacket sendte SEC brev til selskaper de mente var i faresonen fra hackene, og krevde at de selv skulle rapportere om de hadde blitt hacket og skaden hackene påførte.
Ettersom kommisjonen mottok et overveldende antall avsløringer, startet den Amnesty-programmet – og ga tilgivelse til selskaper som til slutt fulgte forespørselen om egenrapport, selv om de ikke tidligere hadde avslørt hendelsen til investorer.
På den tiden kalte National Association of Corporate Directors, Cyber Threat Alliance og SecurityScorecard programmet "bemerkelsesverdig", ettersom det signaliserte SECs utviklende syn på cyberrisiko. Sachin Bansal, forretningssjef og juridisk ansvarlig for SecurityScorecard, kalte det et "vannskille"-øyeblikk for SEC.
Men til tross for dette, etterlater SECs nye forslag mange steiner.
De nye reglene vil kreve at selskaper avslører «materielle» eller «betydelige» cyberhendelser hvis de implementeres. SEC betrakter "vesentlig" informasjon som all informasjon med en "vesentlig sannsynlighet for at en rimelig aksjonær vil anse den som viktig."
Mange finner SECs definisjoner for vage til å bringe noen meningsfull åpenhet til markedet. Uklarheten betyr også at reglene vil bli gjenstand for tolkninger av SEC fra sak til sak, noe som gir rom for selskaper til å appellere til kjennelser og sette presedenser som kan gjøre forslaget i det vesentlige verdiløst.
Det er imidlertid fortsatt rom for forbedring. SEC er ikke satt til å stemme over forslaget før om noen uker, noe som gir god plass for industrideltakere til å dele sine bekymringer og forslag med kommisjonen.
Det er uklart hvordan dette påvirker kryptoindustrien — med flere og flere investeringsfond inkludert ulike digitale eiendeler og kryptoderivater i sine porteføljer. Imidlertid kan de foreslåtte reglene føre til at mange avsløringer kommer fra kryptorommet.
Kilde: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/