Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) πρότεινε νέους κανόνες διαχείρισης κινδύνων στον κυβερνοχώρο για τις εταιρείες που θα απαιτούσαν από αυτές να είναι πιο διαφανείς με τις γνωστοποιήσεις πελατών.
Οι νέοι κανόνες θα εφαρμοστούν ως τροποποιήσεις σε διάφορες μορφές σχετικά με τις αποκαλύψεις κυβερνοασφάλειας και θα στοχεύουν συγκεκριμένα σε συμβούλους επενδύσεων, επενδυτικά κεφάλαια και εταιρείες ανάπτυξης επιχειρήσεων.
Όχι πια να κρύβονται τα hacks στον κυβερνοχώρο
Η θέσπιση αυστηρότερων ρυθμίσεων σχετικά με τις αποκαλύψεις κυβερνοασφάλειας δεν είναι μια νέα προσπάθεια από την SEC. Το 2018, ο πρώην Επίτροπος της SEC Robert J. Jackson Jr. είπε ότι οι τρέχουσες απαιτήσεις αποκάλυψης «λάθουν από την πλευρά της μη αποκάλυψης» και συχνά αφήνουν τους επενδυτές στο σκοτάδι όταν οι εταιρείες αντιμετώπιζαν hacks ή άλλες επιθέσεις στον κυβερνοχώρο.
Επί του παρόντος, η διοίκηση της εταιρείας υποχρεούται μόνο να ενημερώνει τα συμβούλια για θέματα κυβερνοασφάλειας, χωρίς καμία υποχρέωση να τα κοινοποιεί με επενδυτές ή άλλους πελάτες. Ωστόσο, μια κοινή έκθεση του 2021 έδειξε ότι το 2020, μόνο το 17% των εταιρειών του Fortune 100 που συμμετείχαν στην έρευνα ανέφεραν ζητήματα κυβερνοασφάλειας στα μέλη του διοικητικού συμβουλίου ετησίως ή ανά τρίμηνο.
Η SEC φαίνεται πρόθυμη να το αλλάξει αυτό, καθώς πέρασε το μεγαλύτερο μέρος του 2022 παρουσιάζοντας διάφορες προτάσεις που - εάν εγκριθούν - θα απαιτούσαν από τις δημόσιες εταιρείες να αναφέρουν τις επιθέσεις στον κυβερνοχώρο και τα περιστατικά.
Αυτό συμβαίνει με το Διαχείριση κινδύνου κυβερνοασφάλειας για συμβούλους επενδύσεων, εγγεγραμμένες εταιρείες επενδύσεων και εταιρείες ανάπτυξης επιχειρήσεων πρόταση, που δημοσιεύτηκε στις 9 Φεβρουαρίου.
Στο έγγραφο, η SEC προτείνει τη θέσπιση νέων κανόνων βάσει του νόμου περί συμβούλων επενδύσεων του 1940 και του νόμου περί επενδυτικών εταιρειών του 1940, προκειμένου να απαιτείται από τα κεφάλαια και τους συμβούλους να εφαρμόζουν νέες πολιτικές ασφάλειας στον κυβερνοχώρο. Σύμφωνα με το έγγραφο, αυτές οι πολιτικές και οι διαδικασίες έχουν σχεδιαστεί ειδικά για την αντιμετώπιση κινδύνων κυβερνοασφάλειας απαιτώντας από τις εταιρείες να αναφέρουν σημαντικά περιστατικά κυβερνοασφάλειας που επηρεάζουν τον σύμβουλο, το ταμείο του ή τους πελάτες ιδιωτικών κεφαλαίων στην SEC.
«Πιστεύουμε ότι η απαίτηση από συμβούλους και ταμεία να αναφέρουν την εμφάνιση σημαντικών περιστατικών κυβερνοασφάλειας θα ενίσχυε την αποτελεσματικότητα και την αποτελεσματικότητα των προσπαθειών μας για την προστασία των επενδυτών, άλλων συμμετεχόντων στην αγορά και των χρηματοπιστωτικών αγορών σε σχέση με περιστατικά ασφάλειας στον κυβερνοχώρο», ανέφερε η SEC στην πρόταση.
Ο Jamil Farshchi, επικεφαλής της ασφάλειας πληροφοριών στην Equifax, είπε Το Bloomberg News ότι οι προτεινόμενοι κανόνες θα φέρουν την τόσο αναγκαία διαφάνεια στην εταιρική ηγεσία και θα απαιτούν άνευ προηγουμένου λογοδοσία όσον αφορά την ασφάλεια στον κυβερνοχώρο.
Περισσότεροι κανόνες ισοδυναμούν με ισχυρότερο SEC
Πολλοί πιστεύουν ότι η πρόσφατη ώθηση της SEC να διαδραματίσει πιο ενεργό ρόλο στην ενίσχυση των κανόνων σχετικά με την ασφάλεια στον κυβερνοχώρο είναι άμεσο αποτέλεσμα του hack της SolarWinds. Το περιβόητο γεγονός θεωρείται ευρέως ένα από τα χειρότερα περιστατικά κυβερνοκατασκοπείας που υπέστησαν οι ΗΠΑ, καθώς η χώρα είδε πολλά τμήματα της ομοσπονδιακής κυβέρνησής της να στοχοποιούνται από μια ομάδα χάκερ που υποστηρίζονται από τη Ρωσία.
Οι επιτιθέμενοι μόλυναν ενημερώσεις από έναν ομοσπονδιακό εργολάβο των Η.Π.Α., χρησιμοποιώντας το ως άλμα για να εισβάλουν σε διάφορες κυβερνητικές υπηρεσίες και εταιρείες. Μετά το χακάρισμα, η SEC έστειλε επιστολές σε εταιρείες που πίστευε ότι κινδύνευαν από τις εισβολές, απαιτώντας από αυτές να αναφέρουν μόνοι τους εάν είχαν παραβιαστεί και τη ζημιά που προκάλεσαν οι εισβολές.
Καθώς η Επιτροπή έλαβε έναν τεράστιο αριθμό αποκαλύψεων, ξεκίνησε το Πρόγραμμα Αμνηστίας — προσφέροντας συγχώρεση σε εταιρείες που τελικά συμμορφώθηκαν με το αίτημα αυτοαναφοράς, ακόμη και αν δεν είχαν προηγουμένως αποκαλύψει το περιστατικό στους επενδυτές.
Εκείνη την εποχή, η Εθνική Ένωση Εταιρικών Διευθυντών, η Cyber Threat Alliance και η SecurityScorecard αποκαλούσαν το πρόγραμμα «άξιο προσοχής», καθώς σηματοδοτούσε την εξελισσόμενη άποψη της SEC για τον κίνδυνο στον κυβερνοχώρο. Ο Sachin Bansal, επικεφαλής των επιχειρήσεων και νομικός υπεύθυνος της SecurityScorecard, το χαρακτήρισε μια «κρίσιμη στιγμή» για την SEC.
Ωστόσο, παρά το γεγονός αυτό, η νέα πρόταση της Επιτροπής Κεφαλαιαγοράς αφήνει πολλά πράγματα ανοιχτά.
Οι νέοι κανόνες θα απαιτούν από τις εταιρείες να αποκαλύπτουν «ουσιώδη» ή «σημαντικά» περιστατικά στον κυβερνοχώρο, εάν εφαρμοστούν. Η SEC θεωρεί «ουσιώδεις» πληροφορίες ως οποιαδήποτε πληροφορία με «ουσιαστική πιθανότητα ότι ένας λογικός μέτοχος θα τη θεωρούσε σημαντική».
Πολλοί βρίσκουν τους ορισμούς της SEC πολύ ασαφείς για να φέρουν ουσιαστική διαφάνεια στην αγορά. Η ασάφεια σημαίνει επίσης ότι οι κανόνες θα υπόκεινται σε ερμηνείες από την Επιτροπή Κεφαλαιαγοράς κατά περίπτωση, αφήνοντας περιθώριο στις εταιρείες να προσφύγουν σε αποφάσεις και να δημιουργήσουν προηγούμενα που θα μπορούσαν να καταστήσουν την πρόταση ουσιαστικά άχρηστη.
Ωστόσο, υπάρχουν ακόμη περιθώρια βελτίωσης. Η SEC δεν πρόκειται να ψηφίσει επί της πρότασης για άλλες λίγες εβδομάδες, αφήνοντας άφθονο περιθώριο στους συμμετέχοντες του κλάδου να μοιραστούν τις ανησυχίες και τις προτάσεις τους με την Επιτροπή.
Δεν είναι σαφές πώς αυτό επηρεάζει τη βιομηχανία κρυπτογράφησης — με όλο και περισσότερα επενδυτικά κεφάλαια, συμπεριλαμβανομένων διαφόρων ψηφιακών περιουσιακών στοιχείων και κρυπτοπαράγωγα στα χαρτοφυλάκια τους. Ωστόσο, οι προτεινόμενοι κανόνες θα μπορούσαν να οδηγήσουν σε πολλές αποκαλύψεις που προέρχονται από τον χώρο κρυπτογράφησης.
Πηγή: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/