აშშ-ის ფასიანი ქაღალდებისა და ბირჟების კომისიამ (SEC) შესთავაზა კიბერუსაფრთხოების რისკის მართვის ახალი წესები კორპორაციებს, რაც მათ მოითხოვს უფრო გამჭვირვალე იყოს მომხმარებელთა გამჟღავნების მიმართ.
ახალი წესები განხორციელდება, როგორც ცვლილებები კიბერუსაფრთხოების გამჟღავნებასთან დაკავშირებით სხვადასხვა ფორმებში და კონკრეტულად მიზნად ისახავს საინვესტიციო მრჩევლებს, საინვესტიციო ფონდებს და ბიზნესის განვითარების კომპანიებს.
აღარ არის კიბერუსაფრთხოების ჰაკერების დამალვა
კიბერუსაფრთხოების გამჟღავნებასთან დაკავშირებით უფრო მკაცრი რეგულაციების შემოღება არ არის SEC-ის ახალი მცდელობა. 2018 წელს, SEC-ის ყოფილმა კომისარმა რობერტ ჯეკსონ უმცროსმა თქვა, რომ გამჟღავნების მიმდინარე მოთხოვნები „გაუმჟღავნების მხრივ ცდებოდა“ და ხშირად ტოვებდა ინვესტორებს სიბნელეში, როდესაც კომპანიები განიცდიდნენ ჰაკებს ან კიბერუსაფრთხოების სხვა შეტევებს.
ამჟამად, კომპანიის მენეჯმენტს მოეთხოვება მხოლოდ დაფების ინფორმირება კიბერუსაფრთხოების საკითხებზე, ინვესტორებთან ან სხვა კლიენტებთან მათი გაზიარების ვალდებულების გარეშე. თუმცა, 2021 წლის ერთობლივმა მოხსენებამ აჩვენა, რომ 2020 წელს Fortune 17 გამოკითხული კომპანიის მხოლოდ 100% აცნობებდა კიბერუსაფრთხოების საკითხებს საბჭოს წევრებს ყოველწლიურად ან კვარტალურად.
როგორც ჩანს, SEC-ს სურს შეცვალოს ეს, რადგან მან გაატარა 2022 წლის უმეტესი ნაწილი სხვადასხვა წინადადებების დანერგვაში, რომლებიც - თუ მიღებული იქნება - საჯარო კომპანიებს მოეთხოვებათ მოხსენებულიყვნენ კიბერშეტევებისა და ინციდენტების შესახებ.
ეს ასეა კიბერუსაფრთხოების რისკების მართვა საინვესტიციო მრჩევლებისთვის, რეგისტრირებული საინვესტიციო კომპანიებისთვის და ბიზნესის განვითარების კომპანიებისთვის წინადადება გამოქვეყნდა 9 თებერვალს.
დოკუმენტში SEC სთავაზობს ახალი წესების შემოღებას 1940 წლის საინვესტიციო მრჩეველთა აქტისა და 1940 წლის საინვესტიციო კომპანიის აქტის მიხედვით, რათა მოითხოვონ სახსრები და მრჩევლები ახალი კიბერუსაფრთხოების პოლიტიკის განსახორციელებლად. დოკუმენტის თანახმად, ეს პოლიტიკა და პროცედურები სპეციალურად შექმნილია კიბერუსაფრთხოების რისკების მოსაგვარებლად, კომპანიებისგან მოთხოვნით, რომ SEC-ს მოახსენონ მნიშვნელოვანი კიბერუსაფრთხოების ინციდენტები, რომლებიც გავლენას ახდენენ მრჩეველზე, მის ფონდზე ან კერძო ფონდის კლიენტებზე.
„ჩვენ გვჯერა, რომ მრჩევლებისგან და სახსრების მოთხოვნილება, რათა შეატყობინონ მნიშვნელოვანი კიბერუსაფრთხოების ინციდენტების შესახებ, გააძლიერებს ჩვენი ძალისხმევის ეფექტურობას და ეფექტურობას, რათა დავიცვათ ინვესტორები, ბაზრის სხვა მონაწილეები და ფინანსური ბაზრები კიბერუსაფრთხოების ინციდენტებთან დაკავშირებით“, - ნათქვამია SEC-ის წინადადებაში.
ჯამილ ფარშჩი, Equifax-ის ინფორმაციული უსაფრთხოების მთავარი ოფიცერი, განუცხადა Bloomberg News-ის თანახმად, შემოთავაზებული წესები კორპორატიულ ხელმძღვანელობას მოუტანს ძალიან საჭირო გამჭვირვალობას და მოითხოვს უპრეცედენტო ანგარიშვალდებულებას, როდესაც საქმე ეხება კიბერუსაფრთხოებას.
მეტი წესი უდრის უფრო ძლიერ SEC-ს
ბევრი თვლის, რომ SEC-ის ბოლოდროინდელი ბიძგი ითამაშოს უფრო აქტიური როლი კიბერუსაფრთხოებასთან დაკავშირებით წესების გამყარებაში არის SolarWinds-ის ჰაკერების პირდაპირი შედეგი. სამარცხვინო მოვლენა ფართოდ განიხილება აშშ-ს მიერ განხორციელებული კიბერ-შპიონაჟის ყველაზე უარეს ინციდენტთა შორის, რადგან ქვეყანამ დაინახა, რომ მისი ფედერალური მთავრობის მრავალი ნაწილი რუსეთის მიერ მხარდაჭერილი ჰაკერების ჯგუფის სამიზნე იყო.
თავდამსხმელებმა დააინფიცირეს შეერთებული შტატების ფედერალური კონტრაქტორის განახლებები, გამოიყენეს ის, როგორც გადახტომის დაფა სხვადასხვა სამთავრობო უწყებებსა და კომპანიებში შესაჭრელად. ჰაკერების შემდეგ, SEC-მა გაუგზავნა წერილები კომპანიებს, რომლებიც თვლიდა, რომ ჰაკერების რისკის ქვეშ იმყოფებოდნენ და მოითხოვდა, რომ თავად ეცნობებინათ გატეხილი და ჰაკერების მიყენებული ზიანის შესახებ.
ვინაიდან კომისიამ მიიღო არასაკმარისი რაოდენობის გამჟღავნება, მან დაიწყო ამნისტიის პროგრამა - პატიება შესთავაზა კომპანიებს, რომლებმაც საბოლოოდ დააკმაყოფილეს თვითმოხსენების მოთხოვნა, მაშინაც კი, თუ მათ ადრე არ გაუმჟღავნებიათ ინვესტორებისთვის ინციდენტი.
იმ დროს, კორპორატიულ დირექტორთა ეროვნულმა ასოციაციამ, კიბერ საფრთხის ალიანსმა და SecurityScorecard-მა უწოდა პროგრამას „აღსანიშნავი“, რადგან ეს მიუთითებდა SEC-ის განვითარებად შეხედულებაზე კიბერრისკებზე. საჩინ ბანსალმა, SecurityScorecard-ის მთავარმა ბიზნესმა და იურიდიულმა ოფიცერმა, მას უწოდა "წყალგამყოფი" მომენტი SEC-ისთვის.
მაგრამ, ამის მიუხედავად, SEC-ის ახალი წინადადება ბევრ ქვას ტოვებს.
ახალი წესები კომპანიებს ავალდებულებს "მატერიალური" ან "მნიშვნელოვანი" კიბერ ინციდენტების გამჟღავნებას, თუ განხორციელდება. SEC განიხილავს "მატერიალურ" ინფორმაციას, როგორც ნებისმიერ ინფორმაციას "არსებითი ალბათობით, რომ გონივრული აქციონერი ჩათვლის მას მნიშვნელოვანად".
ბევრი მიიჩნევს, რომ SEC-ის განმარტებები ძალიან ბუნდოვანია, რათა ბაზარზე რაიმე მნიშვნელოვანი გამჭვირვალობა შემოიტანოს. გაურკვევლობა ასევე ნიშნავს, რომ წესები ექვემდებარება SEC-ის მიერ ინდივიდუალურ ინტერპრეტაციას, რაც კომპანიებს უტოვებს გადაწყვეტილებების გასაჩივრებას და პრეცედენტების შექმნას, რამაც შეიძლება წინადადება არსებითად უსარგებლო გახადოს.
თუმცა, ჯერ კიდევ არის გასაუმჯობესებელი ადგილი. SEC არ აპირებს კენჭისყრას წინადადებაზე კიდევ რამდენიმე კვირის განმავლობაში, რაც უამრავ ადგილს უტოვებს ინდუსტრიის მონაწილეებს კომისიას გაუზიარონ თავიანთი შეშფოთება და წინადადებები.
გაურკვეველია, როგორ აისახება ეს კრიპტო ინდუსტრიაზე - უფრო და უფრო მეტი საინვესტიციო ფონდებით, მათ შორის სხვადასხვა ციფრული აქტივები და კრიპტო წარმოებულები მათ პორტფელებში. თუმცა, შემოთავაზებულმა წესებმა შეიძლება გამოიწვიოს მრავალი გამჟღავნება კრიპტო სივრციდან.
წყარო: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/