USA väärtpaberi- ja börsikomisjon (SEC) on pakkunud ettevõtetele välja uued küberturvalisuse riskijuhtimise reeglid, mis nõuaksid neilt klientide teavitamisel läbipaistvamat tegevust.
Uued reeglid rakenduksid muudatustena erinevates vormides, mis puudutavad küberjulgeolekut puudutavaid avalikustamisi ning oleksid suunatud konkreetselt investeerimisnõustajatele, investeerimisfondidele ja äriarendusettevõtetele.
Enam pole vaja varjata küberturvalisuse häkke
Küberturvalisuse avalikustamise rangemate eeskirjade kehtestamine ei ole SEC-i uus jõupingutus. 2018. aastal ütles endine SEC-i volinik Robert J. Jackson Jr, et praegused avalikustamisnõuded "eksisid mitteavaldamise poolel" ja jätsid investorid sageli teadmatusse, kui ettevõtted kogesid häkkimisi või muid küberturvalisuse rünnakuid.
Praegu on ettevõtte juhtkonnal kohustus hoida juhatusi kursis vaid küberjulgeolekuga seotud probleemidega, ilma kohustuseta neid investorite või teiste klientidega jagada. 2021. aasta ühine aruanne näitas aga, et 2020. aastal teatas vaid 17% küsitletud Fortune 100 ettevõtetest igal aastal või kord kvartalis juhatuse liikmetele küberturvalisuse probleemidest.
SEC näib innukalt seda muutma, kuna kulutas suurema osa 2022. aastast erinevate ettepanekute tutvustamisele, mis vastuvõtmise korral nõuaksid riigiettevõtetelt küberrünnakute ja intsidentide kohta aruandlust.
See on nii Küberturvalisuse riskijuhtimine investeerimisnõustajate, registreeritud investeerimisettevõtete ja äriarendusettevõtete jaoks ettepanek, avaldatud 9. veebruaril.
Dokumendis teeb SEC ettepaneku kehtestada 1940. aasta investeerimisnõustajate seaduse ja 1940. aasta investeerimisühingute seaduse alusel uued reeglid, et nõuda fondidelt ja nõustajatelt uute küberjulgeolekupoliitikate rakendamist. Dokumendi kohaselt on need eeskirjad ja protseduurid välja töötatud spetsiaalselt küberjulgeolekuriskidega tegelemiseks, nõudes ettevõtetelt nõustajat, tema fondi või erafondi kliente mõjutavatest olulistest küberjulgeolekuintsidentidest SEC-ile teatamist.
"Usume, et nõustajatelt ja fondidelt oluliste küberjulgeolekuintsidentide esinemisest teatamise nõudmine tugevdaks meie jõupingutusi, et kaitsta investoreid, teisi turuosalisi ja finantsturge seoses küberjulgeolekuintsidentidega," seisab SEC ettepanekus.
Jamil Farshchi, Equifaxi infoturbe juht, ütles Bloomberg News, et kavandatavad reeglid tooksid ettevõtte juhtkonnale väga vajaliku läbipaistvuse ja nõuavad küberjulgeoleku osas enneolematut vastutust.
Rohkem reegleid võrdub tugevama SEC-ga
Paljud usuvad, et SEC-i hiljutine tõuge mängida aktiivsemat rolli küberturvalisuse reeglite tugevdamisel on SolarWindsi häkkimise otsene tagajärg. Kurikuulsat sündmust peetakse laialdaselt USA halvimateks küberspionaažiintsidentideks, kuna riigis sattusid paljud oma föderaalvalitsuse osad Venemaa toetatud häkkerite sihikule.
Ründajad nakatasid USA föderaaltöövõtja värskendusi, kasutades seda hüppelauana, et tungida erinevatesse valitsusasutustesse ja ettevõtetesse. Pärast häkkimist saatis SEC kirju ettevõtetele, keda ta arvas olevat häkkimise tõttu ohus, nõudes neilt enesest teatamist, kui neid on häkitud ja kui häkkimine tekitas kahju.
Kuna komisjon sai tohutul hulgal avalikustamisi, alustas ta Amnesty programmi, pakkudes andestust ettevõtetele, kes lõpuks täitsid enesearuande nõudmise, isegi kui nad polnud juhtumit varem investoritele avalikustanud.
Sel ajal nimetasid riiklik ettevõtete direktorite assotsiatsioon, küberohtude liit ja SecurityScorecard programmi tähelepanuväärseks, kuna see andis märku SECi arenevast vaatest küberriskide kohta. Sachin Bansal, SecurityScorecardi äri- ja jurist, nimetas seda SEC-i jaoks "valakeseks".
Kuid vaatamata sellele jätab SECi uus ettepanek palju kive pööramata.
Uued reeglid nõuavad, et ettevõtted avalikustaksid "olulised" või "olulised" küberintsidendid, kui neid rakendatakse. SEC käsitleb "olulist" teavet kui mis tahes teavet, millel on "oluline tõenäosus, et mõistlik aktsionär peab seda oluliseks".
Paljud leiavad, et SEC-i määratlused on turule sisulise läbipaistvuse toomiseks liiga ebamäärased. Ebamäärasus tähendab ka seda, et SEC tõlgendab reegleid igal üksikjuhul eraldi, jättes ettevõtetele ruumi edasikaebamiseks ja pretsedentide loomiseks, mis võivad muuta ettepaneku sisuliselt väärtusetuks.
Siiski on veel arenguruumi. SEC ei kavatse ettepaneku üle veel mõne nädala jooksul hääletada, jättes tööstuses osalejatele palju ruumi oma murede ja ettepanekute komisjoniga jagamiseks.
On ebaselge, kuidas see mõjutab krüptotööstust — üha enam investeerimisfonde, sealhulgas erinevaid digitaalseid varasid ja krüptoderivaadid nende portfellides. Kavandatud reeglid võivad aga kaasa tuua krüptoruumist palju avalikustamise.
Allikas: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/