АҚШ-тың Бағалы қағаздар және биржалар жөніндегі комиссиясы (SEC) корпорациялар үшін тұтынушылардың ақпаратын ашуда ашық болуды талап ететін киберқауіпсіздік тәуекелдерін басқарудың жаңа ережелерін ұсынды.
Жаңа ережелер киберқауіпсіздік туралы ақпаратты ашуға қатысты әртүрлі нысандарға түзетулер ретінде енгізілетін болады және әсіресе инвестициялық кеңесшілерге, инвестициялық қорларға және бизнесті дамыту компанияларына бағытталған.
Енді киберқауіпсіздік шабуылдарын жасырудың қажеті жоқ
Киберқауіпсіздік туралы ақпаратты ашуға қатысты қатаң реттеуді енгізу ӘКК жаңа әрекеті емес. 2018 жылы ӘКК-нің бұрынғы комиссары Роберт Джексон кіші Роберт Дж. Джексон ағымдағы ақпаратты ашу талаптары «ашырмау жағына қателескенін» және компаниялар бұзақылар немесе басқа киберқауіпсіздік шабуылдарына тап болған кезде инвесторларды қараңғыда қалдыратынын айтты.
Қазіргі уақытта компания басшылығына киберқауіпсіздік мәселелері туралы кеңестерді хабардар ету ғана талап етіледі, оларды инвесторлармен немесе басқа тұтынушылармен бөлісу міндеттемесі жоқ. Дегенмен, 2021 жылға арналған бірлескен есеп 2020 жылы сауалнамаға қатысқан Fortune 17 компанияларының тек 100%-ы жыл сайын немесе тоқсан сайын басқарма мүшелеріне киберқауіпсіздік мәселелері туралы хабарлағанын көрсетті.
ӘКК мұны өзгертуге ынталы сияқты, өйткені ол 2022 жылдың жақсы бөлігін әртүрлі ұсыныстарды енгізуге жұмсады, егер олар қабылданса - қоғамдық компаниялардан кибершабуылдар мен оқиғалар туралы есеп беруді талап етеді.
Бұл жағдай Инвестициялық кеңесшілерге, тіркелген инвестициялық компанияларға және бизнесті дамыту компанияларына арналған киберқауіпсіздік тәуекелдерін басқару 9 ақпанда жарияланған ұсыныс.
Құжатта ӘКК 1940 жылғы Инвестициялық кеңесшілер туралы заңға және 1940 жылғы Инвестициялық компания туралы заңға сәйкес қаражат пен кеңесшілерден киберқауіпсіздік саясатын жүзеге асыруды талап ететін жаңа ережелерді енгізуді ұсынады. Құжатқа сәйкес, бұл саясаттар мен процедуралар компаниялардан кеңесшіге, оның қорына немесе жеке қор клиенттеріне әсер ететін маңызды киберқауіпсіздік оқиғалары туралы ӘКК-ге хабарлауды талап ету арқылы киберқауіпсіздік тәуекелдерін шешу үшін арнайы әзірленген.
«Біз кеңесшілер мен қорлардан маңызды киберқауіпсіздік оқиғалары туралы хабарлауды талап ету инвесторларды, басқа нарық қатысушыларын және қаржы нарықтарын киберқауіпсіздік оқиғаларына байланысты қорғауға бағытталған күш-жігеріміздің тиімділігі мен тиімділігін арттырады деп сенеміз», - делінген ӘКК ұсынысында.
Джамиль Фарщи, Equifax ақпараттық қауіпсіздік жөніндегі бас маманы: деді Bloomberg News ұсынылып отырған ережелер корпоративтік басшылыққа аса қажетті ашықтық әкелетінін және киберқауіпсіздікке қатысты бұрын-соңды болмаған жауапкершілікті талап ететінін айтты.
Көбірек ережелер күштірек SEC-ке тең
Көптеген адамдар SEC-тің киберқауіпсіздікке қатысты ережелерді нығайтуда белсенді рөл атқаруға жақындауы SolarWinds бұзуының тікелей нәтижесі деп санайды. Атышулы оқиға АҚШ-тың ең ауыр кибер-тыңшылық оқиғаларының бірі болып саналады, өйткені ел өзінің федералды үкіметінің көптеген бөліктерін Ресей қолдайтын хакерлер тобының нысанасына алғанын көрді.
Шабуылдаушылар АҚШ-тың федералды мердігерінің жаңартуларын жұқтырды, оны әртүрлі мемлекеттік мекемелер мен компанияларға кіру үшін секіру тақтасы ретінде пайдаланды. Бұзылғаннан кейін ӘКК бұзу қаупі бар деп есептейтін компанияларға олар бұзылған болса және бұзулар келтірілген зиян туралы өздері есеп беруін талап ететін хаттар жіберді.
Комиссия көптеген мәліметтерді алғандықтан, ол амнистия бағдарламасын бастады — бұл оқиғаны инвесторларға бұрын ашпаса да, ақырында өзін-өзі есеп беру сұрауын орындаған компанияларға кешірім беруді ұсынады.
Сол кезде Ұлттық корпоративтік директорлар қауымдастығы, Cyberthreat Alliance және SecurityScorecard бұл бағдарламаны «ерекше» деп атады, өйткені бұл ӘКК-нің киберқауіпке деген көзқарасының өзгеретінін көрсетеді. Сачин Бансал, SecurityScorecard компаниясының бас бизнес және заң қызметкері, оны ӘКК үшін «су айырықша» сәт деп атады.
Бірақ, соған қарамастан, ӘКК-нің жаңа ұсынысы көптеген тастарды қалдырады.
Жаңа ережелер, егер іске асырылса, компаниялардан «материалдық» немесе «маңызды» киберинциденттерді ашуды талап етеді. ӘКК «маңызды» ақпаратты «ақылға қонымды акционер маңызды деп санайтын» кез келген ақпарат ретінде қарастырады.
Көптеген адамдар ӘКК анықтамаларын нарыққа кез келген мағыналы ашықтық әкелу үшін тым анық емес деп санайды. Бұлыңғырлық сонымен қатар ережелерді ӘКК әр жағдай бойынша түсіндіруге болатынын білдіреді, бұл компанияларға шешімдерге шағымдануға және ұсынысты түкке тұрғысыз ететін прецеденттерді орнатуға мүмкіндік береді.
Дегенмен, әлі де жетілдіретін жерлер бар. ӘКК ұсынысқа тағы бірнеше апта бойы дауыс беруге дайын емес, бұл сала қатысушыларына Комиссиямен өз мәселелері мен ұсыныстарын бөлісу үшін көп орын қалдырады.
Мұның криптовалюта индустриясына қалай әсер ететіні түсініксіз - барған сайын көбірек инвестициялық қорлар, соның ішінде әртүрлі цифрлық активтер мен крипто туындылары олардың портфолиоларында. Дегенмен, ұсынылған ережелер криптовалюта кеңістігінен келетін көптеген ашуларға әкелуі мүмкін.
Дереккөз: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/