ԱՄՆ Արժեթղթերի և բորսաների հանձնաժողովը (SEC) առաջարկել է կորպորացիաների համար կիբերանվտանգության ռիսկերի կառավարման նոր կանոններ, որոնք կպահանջեն ավելի թափանցիկ լինել հաճախորդների բացահայտումների հետ կապված:
Նոր կանոնները կիրականացվեն որպես կիբերանվտանգության բացահայտումների հետ կապված տարբեր ձևերի փոփոխություններ և մասնավորապես ուղղված կլինեն ներդրումային խորհրդատուներին, ներդրումային հիմնադրամներին և բիզնեսի զարգացման ընկերություններին:
Այլևս չի կարելի թաքցնել կիբերանվտանգության հաքերները
Կիբերանվտանգության բացահայտումների հետ կապված ավելի խիստ կանոնակարգերի ներդրումը SEC-ի նոր ջանք չէ: 2018-ին SEC-ի նախկին հանձնակատար Ռոբերտ Ջեքսոն կրտսերն ասաց, որ բացահայտման ներկայիս պահանջները «սխալվում են չբացահայտման տեսանկյունից» և հաճախ ներդրողներին մթության մեջ են թողնում, երբ ընկերությունները ենթարկվում են հաքերների կամ կիբերանվտանգության այլ հարձակումների:
Ներկայումս ընկերության ղեկավարությունը պարտավոր է միայն խորհուրդներին տեղեկացնել կիբերանվտանգության խնդիրների մասին՝ առանց դրանք ներդրողների կամ այլ հաճախորդների հետ կիսելու պարտավորության: Այնուամենայնիվ, 2021-ի համատեղ զեկույցը ցույց է տվել, որ 2020-ին Fortune 17 ընկերությունների միայն 100%-ն է տարեկան կամ եռամսյակը մեկ հայտնել խորհրդի անդամներին կիբերանվտանգության խնդիրների մասին:
SEC-ը, կարծես, ցանկանում է փոխել սա, քանի որ 2022-ի մեծ մասը ծախսել է տարբեր առաջարկներ ներկայացնելով, որոնք, եթե ընդունվեն, հանրային ընկերություններից կպահանջեն զեկուցել կիբեր հարձակումների և միջադեպերի մասին:
Սա այն դեպքն է, երբ Կիբերանվտանգության ռիսկերի կառավարում ներդրումային խորհրդատուների, գրանցված ներդրումային ընկերությունների և բիզնեսի զարգացման ընկերությունների համար փետրվարի 9-ին հրապարակված առաջարկը։
Փաստաթղթում SEC-ն առաջարկում է նոր կանոններ ներդնել 1940 թվականի Ներդրումային խորհրդատուների ակտի և 1940 թվականի Ներդրումային ընկերությունների մասին օրենքի համաձայն՝ կիբերանվտանգության նոր քաղաքականություն իրականացնելու համար միջոցներից և խորհրդատուներից պահանջելու համար: Փաստաթղթի համաձայն՝ այս քաղաքականությունը և ընթացակարգերը հատուկ մշակված են կիբերանվտանգության ռիսկերը լուծելու համար՝ պահանջելով ընկերություններից SEC-ին զեկուցել խորհրդատուի, նրա հիմնադրամի կամ մասնավոր ֆոնդի հաճախորդների վրա ազդող կարևոր կիբերանվտանգության միջադեպերի մասին:
«Մենք կարծում ենք, որ խորհրդատուներից և միջոցներից պահանջելը, որպեսզի զեկուցեն կիբերանվտանգության հետ կապված զգալի միջադեպերի մասին, կուժեղացնեն ներդրողներին, շուկայի այլ մասնակիցներին և ֆինանսական շուկաներին պաշտպանելու մեր ջանքերի արդյունավետությունն ու արդյունավետությունը կիբերանվտանգության միջադեպերի հետ կապված», - ասվում է SEC-ի առաջարկության մեջ:
Ջամիլ Ֆարշչին, Equifax-ի տեղեկատվական անվտանգության գլխավոր աշխատակից, Ասել Bloomberg News-ը նշում է, որ առաջարկվող կանոնները կորպորատիվ ղեկավարությանը կբերեն խիստ անհրաժեշտ թափանցիկություն և կպահանջեն աննախադեպ հաշվետվողականություն, երբ խոսքը վերաբերում է կիբերանվտանգությանը:
Ավելի շատ կանոններ հավասար են ավելի ուժեղ SEC-ի
Շատերը կարծում են, որ SEC-ի վերջին մղումները՝ ավելի ակտիվ դեր խաղալ կիբերանվտանգության կանոնների ամրապնդման գործում, SolarWinds-ի հաքերային հարձակման ուղղակի արդյունքն է: Տխրահռչակ իրադարձությունը լայնորեն համարվում է ԱՄՆ-ի կողմից կրած կիբեր-լրտեսության ամենավատ միջադեպերից մեկը, քանի որ երկիրը տեսավ, որ իր դաշնային կառավարության շատ հատվածներ թիրախավորվեցին Ռուսաստանի կողմից աջակցվող հաքերների խմբի կողմից:
Հարձակվողները վարակել են ԱՄՆ դաշնային կապալառուի թարմացումները՝ օգտագործելով այն որպես ցատկող տախտակ՝ ներխուժելու տարբեր պետական մարմիններ և ընկերություններ: Հաքերից հետո SEC-ը նամակներ է ուղարկել ընկերություններին, որոնք կարծում էր, որ վտանգի տակ են գտնվում հաքերից՝ պահանջելով, որ նրանք ինքնուրույն զեկուցեն, եթե դրանք կոտրվել են և հաքերից հասցված վնասը:
Քանի որ Հանձնաժողովը ստացել է ճնշող թվով բացահայտումներ, այն սկսել է Համաներման ծրագիրը՝ ներողամտություն առաջարկելով այն ընկերություններին, որոնք, ի վերջո, կատարել են ինքնազեկուցման պահանջը, նույնիսկ եթե նրանք նախկինում չեն բացահայտել միջադեպը ներդրողներին:
Այն ժամանակ Կորպորատիվ տնօրենների ազգային ասոցիացիան, Կիբեր սպառնալիքների դաշինքը և SecurityScorecard-ը բոլորն անվանում էին ծրագիրը «ուշագրավ», քանի որ այն ազդարարում էր SEC-ի զարգացող տեսակետը կիբեր ռիսկի վերաբերյալ: SecurityScorecard-ի գլխավոր բիզնես և իրավական պատասխանատու Սաչին Բանսալն այն անվանել է «ջրբաժան» SEC-ի համար:
Բայց, չնայած սրան, ԿԸՀ-ի նոր առաջարկը շատ քարեր է թողնում:
Նոր կանոնները կպահանջեն ընկերություններից բացահայտել «նյութական» կամ «էական» կիբեր միջադեպերը, եթե դրանք կիրառվեն: SEC-ը համարում է «էական» տեղեկատվություն որպես ցանկացած տեղեկատվություն, որն ունի «էական հավանականություն, որ ողջամիտ բաժնետերը կհամարի այն կարևոր»:
Շատերը գտնում են, որ SEC-ի սահմանումները չափազանց մշուշոտ են՝ շուկայում որևէ իմաստալից թափանցիկություն բերելու համար: Անորոշությունը նաև նշանակում է, որ կանոնները ենթակա կլինեն մեկնաբանությունների SEC-ի կողմից յուրաքանչյուր դեպքի հիման վրա՝ ընկերություններին հնարավորություն թողնելով բողոքարկել որոշումները և ստեղծել նախադեպեր, որոնք կարող են առաջարկը էապես անարժեք դարձնել:
Այնուամենայնիվ, դեռ տեղ կա բարելավելու: SEC-ը մտադիր չէ քվեարկել առաջարկի վերաբերյալ ևս մի քանի շաբաթ, ինչը շատ տեղ է թողնում ոլորտի մասնակիցներին՝ կիսելու իրենց մտահոգությունները և առաջարկությունները Հանձնաժողովի հետ:
Անհասկանալի է, թե ինչպես է դա ազդում կրիպտո արդյունաբերության վրա՝ ավելի ու ավելի շատ ներդրումային ֆոնդերով, ներառյալ տարբեր թվային ակտիվներ և ծպտյալ ածանցյալներ իրենց պորտֆելներում։ Այնուամենայնիվ, առաջարկվող կանոնները կարող են հանգեցնել բազմաթիվ բացահայտումների, որոնք գալիս են կրիպտո տարածությունից:
Աղբյուր՝ https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/