ה-SEC רוצה גילוי טוב יותר של החברה לגבי פריצות

רשות ניירות הערך של ארה"ב (SEC) הציעה כללים חדשים לניהול סיכוני אבטחת סייבר עבור תאגידים שיחייבו אותם להיות שקופים יותר עם חשיפת הלקוחות.

הכללים החדשים ייושמו כתיקונים לצורות שונות בנוגע לגילויי אבטחת סייבר ויתמקדו במיוחד ביועצי השקעות, קרנות השקעות וחברות פיתוח עסקי.

לא עוד הסתרת פריצות לאבטחת סייבר

הצגת רגולציה מחמירה יותר לגבי חשיפת אבטחת סייבר אינה מאמץ חדש של ה-SEC. בשנת 2018, נציב ה-SEC לשעבר, רוברט ג'קסון ג'וניור, אמר שדרישות הגילוי הנוכחיות "טעו בצד של אי חשיפה" ולעתים קרובות השאירו את המשקיעים בחושך כאשר חברות חוו פריצות או מתקפות אבטחת סייבר אחרות.

נכון להיום, הנהלת החברה נדרשת רק לעדכן את הדירקטוריונים על נושאי אבטחת סייבר, ללא חובה לשתף אותם עם משקיעים או לקוחות אחרים. עם זאת, דוח משותף לשנת 2021 הראה שבשנת 2020, רק 17% מחברות Fortune 100 שנסקרו דיווחו על בעיות אבטחת סייבר לחברי דירקטוריון מדי שנה או רבעוני.

ה-SEC נראה להוט לשנות זאת מכיוון שבילה את חלקו הגדול של 2022 בהצגת הצעות שונות שאם יתקבלו - יחייבו חברות ציבוריות לדווח על התקפות סייבר ותקריות.

זה המקרה עם ניהול סיכוני סייבר עבור יועצי השקעות, חברות השקעות רשומות וחברות פיתוח עסקי הצעה שפורסמה ב-9 בפברואר.

במסמך, ה-SEC מציע להכניס כללים חדשים לפי חוק יועצי ההשקעות משנת 1940 וחוק חברות ההשקעות משנת 1940 כדי לחייב קרנות ויועצים ליישם מדיניות אבטחת סייבר חדשה. על פי המסמך, מדיניות ונהלים אלה נועדו במיוחד לתת מענה לסיכוני אבטחת סייבר על ידי דרישה מחברות לדווח ל-SEC על אירועי אבטחת סייבר משמעותיים המשפיעים על היועץ, על הקרן שלו או על לקוחות הקרן הפרטית.

"אנו מאמינים שדרישת יועצים וקרנות לדווח על התרחשות של אירועי אבטחת סייבר משמעותיים תחזק את היעילות והאפקטיביות של המאמצים שלנו להגן על משקיעים, משתתפי שוק אחרים והשווקים הפיננסיים בקשר לאירועי אבטחת סייבר", נכתב בהצעה.

ג'מיל פרשצ'י, קצין אבטחת המידע הראשי ב-Equifax, אמר לי בלומברג ניוז כי הכללים המוצעים יביאו שקיפות נחוצה למנהיגות תאגידית וידרשו אחריות חסרת תקדים בכל הנוגע לאבטחת סייבר.

יותר כללים שווים ל-SEC חזק יותר

רבים מאמינים שהדחיפה האחרונה של ה-SEC לשחק תפקיד פעיל יותר בחיזוק הכללים בנוגע לאבטחת סייבר היא תוצאה ישירה של פריצת SolarWinds. האירוע הידוע לשמצה נחשב ברבים בין תקריות ריגול הסייבר הגרועות ביותר שסבלה ארה"ב, שכן המדינה ראתה חלקים רבים מהממשלה הפדרלית שלה ממוקדים על ידי קבוצה של האקרים הנתמכים על ידי רוסיה.

התוקפים הדביקו עדכונים מקבלן פדרלי בארה"ב, כשהם משתמשים בזה כקרש קפיצה כדי לחדור לסוכנויות וחברות ממשלתיות שונות. בעקבות הפריצה, ה-SEC שלחה מכתבים לחברות שלדעתה נמצאות בסיכון מהפריצות, ודרשו מהן לדווח בעצמן אם הן נפרצו והנזק שהפריצות גרמו.

מכיוון שהנציבות קיבלה מספר עצום של גילויים, היא פתחה את תוכנית אמנסטי - הציע סליחה לחברות שבסופו של דבר נענו לבקשת הדיווח העצמי, גם אם לא חשפו את התקרית לפני כן למשקיעים.

באותה תקופה, האיגוד הלאומי של מנהלי תאגידים, ברית איומי הסייבר ו-SecurityScorecard כולם כינו את התוכנית "ראויה לציון", שכן היא סימנה את ההשקפה המתפתחת של ה-SEC על סיכוני סייבר. סאצ'ין בנסל, מנהל עסקים ומנהל משפטי של SecurityScorecard, כינה את זה "קו פרשת מים" עבור ה-SEC.

אבל, למרות זאת, ההצעה החדשה של ה-SEC משאירה אבנים רבות ללא שינוי.

הכללים החדשים יחייבו חברות לחשוף אירועי סייבר "מהותיים" או "משמעותיים" אם ייושמו. ה-SEC רואה במידע "מהותי" כל מידע עם "סבירות משמעותית שבעל מניות סביר יראה אותו חשוב".

רבים מוצאים שההגדרות של ה-SEC מעורפלות מכדי להביא שקיפות משמעותית כלשהי לשוק. הערפול גם אומר שהכללים יהיו כפופים לפרשנויות של ה-SEC על בסיס כל מקרה לגופו, מה שמותיר מקום לחברות לערער על פסיקות ולקבוע תקדימים שעלולים להפוך את ההצעה לחסרת ערך בעצם.

עם זאת, עדיין יש מקום לשיפור. ה-SEC לא אמור להצביע על ההצעה עוד כמה שבועות, מה שמשאיר הרבה מקום למשתתפים בתעשייה לחלוק את דאגותיהם והצעותיהם עם הנציבות.

לא ברור כיצד זה משפיע על תעשיית הקריפטו - עם יותר ויותר קרנות השקעה הכוללות נכסים דיגיטליים שונים ו נגזרות בתיקים שלהם. עם זאת, הכללים המוצעים עלולים לגרום לגילויים רבים שיגיעו ממרחב הקריפטו.