US Securities and Exchange Commission (SEC) har föreslagit nya regler för hantering av cybersäkerhetsrisk för företag som skulle kräva att de är mer transparenta med kundupplysningar.
De nya reglerna skulle implementeras som ändringar av olika former av information om cybersäkerhet och skulle specifikt rikta sig till investeringsrådgivare, investeringsfonder och företagsutvecklingsföretag.
Inga fler gömma cybersäkerhetshack
Att införa striktare regler för cybersäkerhetsavslöjande är inte ett nytt försök från SEC. Under 2018 sa tidigare SEC-kommissionären Robert J. Jackson Jr. att nuvarande avslöjandekrav "felade på sidan av tystnadsplikten" och ofta lämnade investerare i mörkret när företag upplevde hackor eller andra cybersäkerhetsattacker.
För närvarande är företagsledningen endast skyldig att hålla styrelser informerade om cybersäkerhetsfrågor, utan skyldighet att dela dem med investerare eller andra kunder. En gemensam rapport från 2021 visade dock att under 2020 rapporterade endast 17 % av de tillfrågade Fortune 100-företagen cybersäkerhetsfrågor till styrelseledamöter årligen eller kvartalsvis.
SEC verkar ivriga att ändra på detta eftersom det tillbringade större delen av 2022 med att presentera olika förslag som – om de antogs – skulle kräva att offentliga företag rapporterar om cyberattacker och incidenter.
Detta är fallet med Cybersäkerhetsriskhantering för investeringsrådgivare, registrerade investeringsbolag och affärsutvecklingsföretag förslag, publicerat den 9 februari.
I dokumentet föreslår SEC att man inför nya regler under Investment Advisers Act från 1940 och Investment Company Act från 1940 för att kräva att fonder och rådgivare implementerar nya cybersäkerhetspolicyer. Enligt dokumentet är dessa policyer och procedurer specifikt utformade för att hantera cybersäkerhetsrisker genom att kräva att företag rapporterar betydande cybersäkerhetsincidenter som påverkar rådgivaren, dess fond eller privata fondkunder till SEC.
"Vi tror att att kräva att rådgivare och fonder rapporterar förekomsten av betydande cybersäkerhetsincidenter skulle stärka effektiviteten och effektiviteten i våra ansträngningar för att skydda investerare, andra marknadsaktörer och finansmarknaderna i samband med cybersäkerhetsincidenter", säger SEC i förslaget.
Jamil Farshchi, informationssäkerhetschef på Equifax, berättade Bloomberg News att de föreslagna reglerna skulle ge välbehövlig transparens till företagsledarskap och kräver oöverträffad ansvarsskyldighet när det kommer till cybersäkerhet.
Fler regler är lika med en starkare SEC
Många tror att SEC:s senaste push för att spela en mer aktiv roll för att stärka reglerna för cybersäkerhet är ett direkt resultat av SolarWinds-hacket. Den ökända händelsen anses allmänt vara en av de värsta cyberspionageincidenter som USA drabbats av, eftersom landet såg många delar av sin federala regering måltavla av en grupp ryskstödda hackare.
Angriparna infekterade uppdateringar från en amerikansk federal entreprenör och använde det som en hoppbräda för att inkräkta på olika statliga myndigheter och företag. Efter hacket skickade SEC brev till företag som de trodde var i riskzonen från hackarna, och krävde att de självrapporterade om de hade blivit hackade och skadan som hackarna åsamkade.
Eftersom kommissionen fick ett överväldigande antal avslöjanden startade den Amnesty-programmet – och erbjöd förlåtelse till företag som så småningom följde begäran om självrapportering, även om de inte tidigare hade avslöjat incidenten för investerare.
Vid den tiden kallade National Association of Corporate Directors, Cyber Threat Alliance och SecurityScorecard programmet "anmärkningsvärt", eftersom det signalerade SEC:s föränderliga syn på cyberrisk. Sachin Bansal, affärschef och juridisk chef för SecurityScorecard, kallade det en "vattendelare" för SEC.
Men trots detta lämnar SEC:s nya förslag många stenar ovända.
De nya reglerna kommer att kräva att företag avslöjar "väsentliga" eller "väsentliga" cyberincidenter om de implementeras. SEC betraktar "väsentlig" information som all information med "avsevärd sannolikhet att en rimlig aktieägare skulle anse det som viktigt."
Många tycker att SEC:s definitioner är för vaga för att ge någon meningsfull insyn på marknaden. Otydligheten innebär också att reglerna skulle bli föremål för tolkningar från SEC från fall till fall, vilket lämnar utrymme för företag att överklaga till domar och skapa prejudikat som kan göra förslaget väsentligt värdelöst.
Det finns dock fortfarande utrymme att förbättra. SEC kommer inte att rösta om förslaget förrän om några veckor, vilket ger gott om utrymme för industrideltagare att dela sina farhågor och förslag med kommissionen.
Det är oklart hur detta påverkar kryptoindustrin — med fler och fler investeringsfonder inklusive olika digitala tillgångar och kryptoderivat i sina portföljer. De föreslagna reglerna kan dock leda till att många avslöjanden kommer från kryptoutrymmet.
Källa: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/