اقترحت لجنة الأوراق المالية والبورصات الأمريكية (SEC) قواعد جديدة لإدارة مخاطر الأمن السيبراني للشركات التي تتطلب منها أن تكون أكثر شفافية مع إفصاحات العملاء.
سيتم تنفيذ القواعد الجديدة كتعديلات على الأشكال المختلفة المتعلقة بالإفصاح عن الأمن السيبراني وستستهدف على وجه التحديد مستشاري الاستثمار وصناديق الاستثمار وشركات تطوير الأعمال.
لا مزيد من إخفاء المتسللين للأمن السيبراني
إن تقديم تنظيم أكثر صرامة فيما يتعلق بالإفصاح عن الأمن السيبراني ليس جهدًا جديدًا من هيئة الأوراق المالية والبورصات. في عام 2018 ، قال مفوض هيئة الأوراق المالية والبورصات السابق روبرت جيه جاكسون جونيور إن متطلبات الإفصاح الحالية "أخطأت في جانب عدم الإفشاء" وغالبًا ما تركت المستثمرين في الظلام عندما تعرضت الشركات لاختراق أو هجمات أخرى للأمن السيبراني.
في الوقت الحالي ، لا يُطلب من إدارة الشركة سوى إبقاء المجالس على علم بقضايا الأمن السيبراني ، دون أي التزام بمشاركتها مع المستثمرين أو العملاء الآخرين. ومع ذلك ، أظهر تقرير مشترك لعام 2021 أنه في عام 2020 ، أبلغت 17٪ فقط من شركات Fortune 100 التي شملها الاستطلاع عن مشكلات تتعلق بالأمن السيبراني لأعضاء مجلس الإدارة سنويًا أو ربع سنوي.
يبدو أن لجنة الأوراق المالية والبورصات حريصة على تغيير هذا لأنها أمضت الجزء الأكبر من عام 2022 في تقديم مقترحات مختلفة - إذا تم إقرارها - ستطلب من الشركات العامة الإبلاغ عن الهجمات والحوادث السيبرانية.
هذا هو الحال مع إدارة مخاطر الأمن السيبراني لمستشاري الاستثمار وشركات الاستثمار المسجلة وشركات تطوير الأعمال مقترح ، نُشر في 9 فبراير.
في الوثيقة ، تقترح لجنة الأوراق المالية والبورصات (SEC) إدخال قواعد جديدة بموجب قانون مستشاري الاستثمار لعام 1940 وقانون شركة الاستثمار لعام 1940 للمطالبة بالأموال والمستشارين لتنفيذ سياسات الأمن السيبراني الجديدة. وفقًا للوثيقة ، تم تصميم هذه السياسات والإجراءات خصيصًا لمعالجة مخاطر الأمن السيبراني من خلال مطالبة الشركات بالإبلاغ عن حوادث الأمن السيبراني الكبيرة التي تؤثر على المستشار أو صندوقه أو عملاء الصندوق الخاص إلى لجنة الأوراق المالية والبورصات.
وقالت لجنة الأوراق المالية والبورصات في الاقتراح: "نعتقد أن طلب المستشارين والأموال للإبلاغ عن وقوع حوادث أمن إلكتروني كبيرة من شأنه أن يعزز كفاءة وفعالية جهودنا لحماية المستثمرين والمشاركين الآخرين في السوق والأسواق المالية فيما يتعلق بحوادث الأمن السيبراني".
جميل فرششي ، كبير مسؤولي أمن المعلومات في Equifax ، قال بلومبرج نيوز أن القواعد المقترحة ستجلب الشفافية التي تشتد الحاجة إليها لقيادة الشركات وتتطلب مساءلة غير مسبوقة عندما يتعلق الأمر بالأمن السيبراني.
المزيد من القواعد يساوي SEC أقوى
يعتقد الكثيرون أن الدفع الأخير الذي قامت به هيئة الأوراق المالية والبورصات للعب دور أكثر نشاطًا في تعزيز القواعد المتعلقة بالأمن السيبراني هو نتيجة مباشرة لاختراق SolarWinds. يعتبر هذا الحدث الشائن على نطاق واسع من بين أسوأ حوادث التجسس الإلكتروني التي تعرضت لها الولايات المتحدة ، حيث شهدت البلاد استهداف أجزاء كثيرة من حكومتها الفيدرالية من قبل مجموعة من المتسللين المدعومين من روسيا.
أصاب المهاجمون تحديثات من مقاول فيدرالي أمريكي ، مستخدمين ذلك كلوح قفز للتطفل على مختلف الوكالات والشركات الحكومية. بعد الاختراق ، أرسلت هيئة الأوراق المالية والبورصات رسائل إلى الشركات التي تعتقد أنها معرضة لخطر الاختراق ، وتطلب منهم الإبلاغ الذاتي عما إذا كان قد تم اختراقها والأضرار التي سببتها الاختراق.
نظرًا لأن اللجنة تلقت عددًا هائلاً من الإفصاحات ، فقد بدأت برنامج العفو - حيث تقدم العفو للشركات التي امتثلت في النهاية لطلب التقرير الذاتي ، حتى لو لم تكن قد كشفت مسبقًا عن الحادث للمستثمرين.
في ذلك الوقت ، وصفت الرابطة الوطنية لمديري الشركات ، وتحالف التهديدات الإلكترونية ، و SecurityScorecard جميعًا البرنامج بأنه "جدير بالملاحظة" ، لأنه يشير إلى وجهة نظر SEC المتطورة بشأن المخاطر الإلكترونية. وصفها ساشين بانسال ، كبير مسؤولي الأعمال والمسؤول القانوني في SecurityScorecard ، بأنها لحظة فاصلة بالنسبة للجنة الأوراق المالية والبورصات.
ولكن ، على الرغم من ذلك ، فإن الاقتراح الجديد للجنة الأوراق المالية والبورصات يترك الكثير من الأحجار دون تغيير.
ستلزم القواعد الجديدة الشركات بالكشف عن الحوادث الإلكترونية "الجوهرية" أو "الهامة" إذا تم تنفيذها. تعتبر لجنة الأوراق المالية والبورصات المعلومات "الجوهرية" على أنها أية معلومات ذات "احتمال كبير أن يعتبرها مساهم معقول أنها مهمة".
يجد الكثيرون أن تعريفات لجنة الأوراق المالية والبورصات غامضة للغاية بحيث لا تجلب أي شفافية ذات مغزى إلى السوق. يعني الغموض أيضًا أن القواعد ستخضع لتفسيرات لجنة الأوراق المالية والبورصات على أساس كل حالة على حدة ، مما يترك مجالًا للشركات للطعن في الأحكام ووضع السوابق التي قد تجعل الاقتراح عديم القيمة بشكل أساسي.
ومع ذلك ، لا يزال هناك مجال للتحسين. لم يتم تعيين لجنة الأوراق المالية والبورصات (SEC) للتصويت على الاقتراح لبضعة أسابيع أخرى ، مما يترك مجالًا كبيرًا للمشاركين في الصناعة لمشاركة مخاوفهم واقتراحاتهم مع المفوضية.
من غير الواضح كيف يؤثر ذلك على صناعة التشفير - مع المزيد والمزيد من صناديق الاستثمار بما في ذلك الأصول الرقمية المختلفة و مشتقات التشفير في محافظهم. ومع ذلك ، يمكن أن تؤدي القواعد المقترحة إلى العديد من الإفصاحات القادمة من مساحة التشفير.
المصدر: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/