Ang US Securities and Exchange Commission (SEC) ay nagmungkahi ng bagong cybersecurity risk management rules para sa mga korporasyon na mangangailangan sa kanila na maging mas transparent sa mga pagbubunyag ng customer.
Ang mga bagong panuntunan ay ipapatupad bilang mga pag-amyenda sa iba't ibang anyo tungkol sa mga pagsisiwalat ng cybersecurity at partikular na ita-target ang mga tagapayo sa pamumuhunan, mga pondo sa pamumuhunan, at mga kumpanya sa pagpapaunlad ng negosyo.
Wala nang pagtatago ng mga cybersecurity hack
Ang pagpapakilala ng mas mahigpit na regulasyon tungkol sa mga pagsisiwalat ng cybersecurity ay hindi isang bagong pagsisikap mula sa SEC. Noong 2018, sinabi ng dating SEC Commissioner na si Robert J. Jackson Jr. na ang kasalukuyang mga kinakailangan sa pagsisiwalat ay "nagkamali sa panig ng hindi paglalahad" at kadalasang iniiwan ang mga mamumuhunan sa dilim kapag ang mga kumpanya ay nakaranas ng mga hack o iba pang pag-atake sa cybersecurity.
Sa kasalukuyan, ang pamamahala ng kumpanya ay kinakailangan lamang na panatilihing may kaalaman ang mga board tungkol sa mga isyu sa cybersecurity, nang walang obligasyon na ibahagi ang mga ito sa mga mamumuhunan o iba pang mga customer. Gayunpaman, ipinakita ng pinagsamang ulat noong 2021 na noong 2020, 17% lang ng Fortune 100 na kumpanyang na-survey ang nag-ulat ng mga isyu sa cybersecurity sa mga miyembro ng board taun-taon o quarterly.
Ang SEC ay tila sabik na baguhin ito dahil ginugol nito ang mas magandang bahagi ng 2022 sa pagpapakilala ng iba't ibang mga panukala na - kung maipasa - ay mangangailangan ng mga pampublikong kumpanya na mag-ulat sa mga pag-atake sa cyber at mga insidente.
Ito ang kaso sa Pamamahala ng Panganib sa Cybersecurity para sa Mga Tagapayo sa Pamumuhunan, Mga Rehistradong Kumpanya sa Pamumuhunan, at Mga Kumpanya sa Pagpapaunlad ng Negosyo panukala, na inilathala noong Pebrero 9.
Sa dokumento, iminungkahi ng SEC ang pagpapakilala ng mga bagong panuntunan sa ilalim ng Investment Advisers Act of 1940 at ang Investment Company Act of 1940 upang mangailangan ng mga pondo at tagapayo na magpatupad ng mga bagong patakaran sa cybersecurity. Ayon sa dokumento, ang mga patakaran at pamamaraang ito ay partikular na idinisenyo upang tugunan ang mga panganib sa cybersecurity sa pamamagitan ng pag-aatas sa mga kumpanya na mag-ulat ng mga makabuluhang insidente sa cybersecurity na nakakaapekto sa tagapayo, pondo nito, o mga kliyente ng pribadong pondo sa SEC.
"Naniniwala kami na ang pag-aatas sa mga tagapayo at pondo upang iulat ang paglitaw ng mga makabuluhang insidente sa cybersecurity ay magpapalakas sa kahusayan at pagiging epektibo ng aming mga pagsisikap na protektahan ang mga mamumuhunan, iba pang kalahok sa merkado, at ang mga pamilihang pinansyal na may kaugnayan sa mga insidente ng cybersecurity," sabi ng SEC sa panukala.
Jamil Farshchi, ang punong opisyal ng seguridad ng impormasyon sa Equifax, Sinabi Bloomberg News na ang mga iminungkahing panuntunan ay magdadala ng higit na kinakailangang transparency sa pamumuno ng kumpanya at nangangailangan ng hindi pa nagagawang pananagutan pagdating sa cybersecurity.
Mas maraming panuntunan ang katumbas ng mas malakas na SEC
Maraming naniniwala na ang kamakailang pagtulak ng SEC na gumanap ng isang mas aktibong papel sa pagpapalakas ng mga patakaran tungkol sa cybersecurity ay isang direktang resulta ng pag-hack ng SolarWinds. Ang kasumpa-sumpa na kaganapan ay malawak na itinuturing na kabilang sa pinakamasamang insidente ng cyber-espionage na dinanas ng US, dahil nakita ng bansa ang maraming bahagi ng pederal na pamahalaan nito na na-target ng isang grupo ng mga hacker na suportado ng Russia.
Infected ng mga attacker ang mga update mula sa isang US federal contractor, gamit iyon bilang jumping board para manghimasok sa iba't ibang ahensya at kumpanya ng gobyerno. Kasunod ng hack, nagpadala ang SEC ng mga liham sa mga kumpanyang pinaniniwalaan nitong nasa panganib mula sa mga hack, na nangangailangan sa kanila na mag-ulat ng sarili kung sila ay na-hack at ang pinsalang naidulot ng mga hack.
Dahil nakatanggap ang Komisyon ng napakaraming pagsisiwalat, sinimulan nito ang Amnesty Program—nag-aalok ng kapatawaran sa mga kumpanyang kalaunan ay sumunod sa kahilingan sa pag-uulat sa sarili, kahit na hindi pa nila ibinunyag dati ang insidente sa mga namumuhunan.
Noong panahong iyon, tinawag ng National Association of Corporate Directors, Cyber Threat Alliance, at SecurityScorecard ang programa na "kapansin-pansin," dahil ito ay naghudyat ng umuusbong na pananaw ng SEC sa panganib sa cyber. Sachin Bansal, punong negosyo at legal na opisyal ng SecurityScorecard, tinawag itong "watershed" na sandali para sa SEC.
Ngunit, sa kabila nito, ang bagong panukala ng SEC ay nag-iiwan ng maraming mga bato na hindi nababago.
Ang mga bagong panuntunan ay mangangailangan sa mga kumpanya na ibunyag ang "materyal" o "makabuluhang" mga insidente sa cyber kung ipinatupad. Itinuturing ng SEC ang "materyal" na impormasyon bilang anumang impormasyon na may "malaking posibilidad na ituring ito ng isang makatwirang shareholder na mahalaga."
Sa tingin ng marami, ang mga kahulugan ng SEC ay masyadong malabo upang magdala ng anumang makabuluhang transparency sa merkado. Nangangahulugan din ang labo na ang mga patakaran ay sasailalim sa mga interpretasyon ng SEC sa bawat kaso, na nag-iiwan ng puwang para sa mga kumpanya na umapela sa mga pagpapasya at magtakda ng mga precedent na maaaring gawing walang halaga ang panukala.
Gayunpaman, mayroon pa ring puwang upang mapabuti. Ang SEC ay hindi nakatakdang bumoto sa panukala para sa isa pang ilang linggo, na nag-iiwan ng maraming puwang para sa mga kalahok sa industriya na ibahagi ang kanilang mga alalahanin at mungkahi sa Komisyon.
Hindi malinaw kung paano ito nakakaapekto sa industriya ng crypto — na may parami nang parami na pondo sa pamumuhunan kabilang ang iba't ibang digital asset at crypto derivatives sa kanilang mga portfolio. Gayunpaman, ang mga iminungkahing panuntunan ay maaaring magresulta sa maraming pagsisiwalat na nagmumula sa espasyo ng crypto.
Pinagmulan: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/