SEC خواهان افشای اطلاعات بهتر شرکتی در مورد هک است

کمیسیون بورس و اوراق بهادار ایالات متحده (SEC) قوانین جدیدی برای مدیریت ریسک امنیت سایبری برای شرکت‌ها پیشنهاد کرده است که از آنها می‌خواهد در مورد افشای مشتریان شفاف‌تر باشند.

قوانین جدید به عنوان اصلاحاتی در اشکال مختلف در مورد افشای امنیت سایبری اجرا می شود و به طور خاص مشاوران سرمایه گذاری، صندوق های سرمایه گذاری و شرکت های توسعه تجارت را هدف قرار می دهد.

دیگر خبری از پنهان کردن هک های امنیت سایبری نیست

ارائه مقررات سختگیرانه تر در مورد افشای امنیت سایبری، تلاش جدیدی از سوی SEC نیست. در سال 2018، رابرت جکسون جونیور، کمیسر سابق SEC، گفت که الزامات افشای فعلی "در جهت عدم افشا" اشتباه می کند و اغلب زمانی که شرکت ها هک یا سایر حملات امنیت سایبری را تجربه می کنند، سرمایه گذاران را در تاریکی رها می کند.

در حال حاضر، مدیریت شرکت تنها موظف است هیئت‌ها را در مورد مسائل امنیت سایبری مطلع کند، بدون اینکه آنها را با سرمایه‌گذاران یا سایر مشتریان به اشتراک بگذارد. با این حال، یک گزارش مشترک در سال 2021 نشان داد که در سال 2020، تنها 17 درصد از شرکت های فورچون 100 مورد بررسی، مسائل امنیت سایبری را به صورت سالانه یا فصلی به اعضای هیئت مدیره گزارش کردند.

به نظر می رسد کمیسیون SEC مشتاق تغییر این موضوع است زیرا بخش عمده سال 2022 را صرف ارائه پیشنهادهای مختلفی کرد که - در صورت تصویب - شرکت های دولتی را ملزم به گزارش در مورد حملات و حوادث سایبری می کند.

این مورد در مورد است مدیریت ریسک امنیت سایبری برای مشاوران سرمایه گذاری، شرکت های سرمایه گذاری ثبت شده و شرکت های توسعه کسب و کار پیشنهاد، منتشر شده در 9 فوریه.

در این سند، SEC پیشنهاد می کند قوانین جدیدی تحت قانون مشاوران سرمایه گذاری سال 1940 و قانون شرکت های سرمایه گذاری در سال 1940 برای الزام وجوه و مشاوران برای اجرای سیاست های جدید امنیت سایبری معرفی شود. بر اساس این سند، این سیاست‌ها و رویه‌ها به‌طور خاص برای رسیدگی به خطرات امنیت سایبری طراحی شده‌اند که از شرکت‌ها می‌خواهند حوادث امنیت سایبری مهمی را که بر مشاور، صندوق آن یا مشتریان صندوق خصوصی تأثیر می‌گذارد به SEC گزارش دهند.

کمیسیون بورس و اوراق بهادار در این پیشنهاد گفت: «ما معتقدیم که الزام مشاوران و منابع مالی برای گزارش وقوع حوادث امنیت سایبری مهم، کارایی و اثربخشی تلاش‌های ما را برای محافظت از سرمایه‌گذاران، سایر فعالان بازار و بازارهای مالی در ارتباط با حوادث امنیت سایبری تقویت می‌کند.»

جمیل فرشچی، مدیر ارشد امنیت اطلاعات شرکت Equifax گفته شده بلومبرگ می گوید قوانین پیشنهادی شفافیت بسیار مورد نیاز را برای رهبری شرکت به ارمغان می آورد و در مورد امنیت سایبری نیاز به پاسخگویی بی سابقه دارد.

قوانین بیشتر برابر با SEC قوی تر است

بسیاری بر این باورند که تلاش اخیر SEC برای ایفای نقش فعال تر در تقویت قوانین مربوط به امنیت سایبری نتیجه مستقیم هک SolarWinds است. این رویداد بدنام به طور گسترده یکی از بدترین حوادث جاسوسی سایبری است که توسط ایالات متحده متحمل شده است، زیرا این کشور شاهد بود که بسیاری از بخش‌های دولت فدرال خود توسط گروهی از هکرهای مورد حمایت روسیه هدف قرار گرفتند.

مهاجمان به‌روزرسانی‌های یک پیمانکار فدرال ایالات متحده را آلوده کردند و از آن به عنوان یک تابلوی پرش برای نفوذ به سازمان‌ها و شرکت‌های دولتی مختلف استفاده کردند. پس از این هک، SEC نامه‌هایی به شرکت‌هایی که معتقد بود در معرض خطر هک‌ها هستند ارسال کرد و از آن‌ها خواست که در صورت هک شدن و آسیب‌هایی که هک‌ها وارد کرده‌اند، خود گزارش دهند.

از آنجایی که کمیسیون تعداد قابل توجهی از افشاگری ها را دریافت کرد، برنامه عفو عمومی را آغاز کرد - با ارائه بخشش به شرکت هایی که در نهایت با درخواست گزارش خود موافقت کردند، حتی اگر قبلاً این حادثه را برای سرمایه گذاران فاش نکرده بودند.

در آن زمان، انجمن ملی مدیران شرکت‌ها، اتحاد تهدید سایبری، و SecurityScorecard همگی این برنامه را «قابل توجه» خواندند، زیرا نشان‌دهنده دیدگاه در حال تحول SEC در مورد ریسک سایبری بود. ساچین بانسال، مدیر ارشد بازرگانی و حقوقی SecurityScorecard، آن را یک لحظه "حوضه" برای SEC نامید.

اما، علی‌رغم این، پیشنهاد جدید کمیسیون بورس و اوراق بهادار، سنگ‌های بسیاری را بر جای می‌گذارد.

قوانین جدید شرکت‌ها را ملزم می‌کند در صورت اجرا، رویدادهای سایبری «مادی» یا «مهم» را افشا کنند. SEC اطلاعات "ماده" را به عنوان هر اطلاعاتی با "احتمال قابل توجهی که یک سهامدار معقول آن را مهم تلقی کند" در نظر می گیرد.

بسیاری تعاریف SEC را بیش از حد مبهم می دانند که نمی تواند شفافیت معناداری را به بازار بیاورد. این ابهام همچنین به این معنی است که قوانین به صورت موردی توسط کمیسیون بورس و اوراق بهادار مورد تفسیر قرار می‌گیرند و فضایی را برای شرکت‌ها ایجاد می‌کند تا به احکام اعتراض کنند و پیشینه‌هایی ایجاد کنند که می‌تواند اساساً پیشنهاد را بی‌ارزش کند.

با این حال، هنوز جا برای بهبود وجود دارد. SEC قرار نیست برای چند هفته دیگر به این پیشنهاد رای دهد، و فضای زیادی برای شرکت کنندگان در صنعت ایجاد می کند تا نگرانی ها و پیشنهادات خود را با کمیسیون در میان بگذارند.

مشخص نیست که چگونه این صنعت بر صنعت کریپتو تأثیر می‌گذارد - با سرمایه‌گذاری‌های بیشتر و بیشتر از جمله دارایی‌های دیجیتال مختلف و مشتقات کریپتو در پرتفوی خود با این حال، قوانین پیشنهادی می تواند منجر به افشای بسیاری از فضای رمزنگاری شود.