Die SEC speel hardebal met 'n nuwe kuberveiligheidsreël
Die Securities and Exchange Commission (SEC) het pas sy standpunt oor openbare maatskappye oor kuberveiligheid verskerp. Op 26 Julie het dit sy Kuberveiligheidsrisikobestuur, -strategie, -bestuur en -openbaarmaking reël. Oorspronklik voorgestel verlede jaar, is dit van toepassing op maatskappye wat in die openbaar verhandel word, wat vereis dat hulle die SEC binne vier dae in kennis stel van 'n wesenlike kuberveiligheidsoortreding.
Dit is die jongste in 'n stadige stoot om die openbaarmaking van veiligheidsvoorvalle aan te moedig wat in 2011 begin het met personeelvoorligting by die SEC. Dit het gesê dat verskeie Kommissie-regulasies die bekendmaking van kuberveiligheidsvoorvalle kan afdwing, selfs al bestaan daar geen eksplisiete reëls daarvoor nie. In 2018 het die Kommissie interpretatiewe leiding uitgereik, wat beklemtoon dat maatskappye kuberveiligheidsvoorvalle kan openbaar. Hierdie onthullings was egter steeds onduidelik en op verskillende plekke gemaak met verskillende vlakke van detail.
Die nuwe reël het ten doel om dit te verander deur uitdruklik konsekwente vereistes vir die openbaarmaking van veiligheidsvoorvalle te dikteer. Dit vereis dat maatskappye Vorm 8-K invul, 'n gewilde openbaarmakingsvorm wat dan op die Kommissie se webwerf beskikbaar word.
Die openbaarmaking sluit 'n kort beskrywing van die voorval in, die omvang daarvan toe die voorval ontdek is, of dit aan die gang is, en die effek op bedrywighede. Die reël vereis ook dat maatskappye hul kuberveiligheidsrisiko-assesseringsprosesse beskryf en uiteensit hoe die direksie en bestuur toesig hou oor daardie risiko's.
Reaksie
Nie almal was 'n aanhanger van die nuutste reël nie. Melissa MacGregor, adjunk algemene raad en korporatiewe sekretaris by die Securities Industry and Financial Markets Association (SIFMA), was bekommerd dat die reël te vroeg gevra het. Die reël "mandaat openbare openbaarmaking van aansienlik te veel, te sensitiewe, hoogs subjektiewe inligting, op voortydige tydstip, sonder die vereiste respek vir die omsigtigheidsreguleerders van openbare maatskappye of relevante kubersekuriteitspesialisagentskappe," het sy gesê in 'n verklaring aan die Washington Post.
Skryf vir die Sentrum vir Kuberveiligheidsbeleid en Regte, Harley Geiger, advokaat by die regsfirma Venable LLP het ook gewaarsku oor die kort openbaarmakingsvenster. "As 'n algemene kwessie van beste praktyk, moet voortgesette kubervoorvalle stil gehou word totdat dit in bedwang is en die aanvalvektor gesluit is, maar die SEC se reël sal hierdie speelboek verander," het hy gesê.
Die SEC het die reël 'n bietjie getemper en die omvang van die openbaarmaking beperk tot net die wesenlike besonderhede en grootte van die veiligheidsvoorval en enige wesenlike impak op die maatskappy. Dit het ook die prokureur-generaal die mag gegee om die openbaarmaking met 30 dae uit te stel.
"Geen een van hierdie veranderinge spreek egter kommer aan dat openbare bekendmaking van onbeperkte of onversagde kubervoorvalle 'n risiko skep dat aanvallers gewaarsku sal word oor onaangeraakte kwesbaarhede en verdere skade sal veroorsaak," het Geiger gesê. “Die AG-vertraging sal waarskynlik slegs in uitsonderlike gevalle uitgeoefen word.”
Selfs diegene in die sekuriteitsektor het hul bedenkinge gehad. Tara Wisniewski, EVP vir voorspraak, globale markte en ledebetrokkenheid by (ISC)2, die sekuriteits-niewinsorganisasie wat die CISSP-sertifisering beheer, was bekommerd dat die reël nie gedetailleerd genoeg was nie.
"Terwyl ons die fundamentele beginsels van openbare openbaarmaking ondersteun om aandeelhouers, kliënte en ander bestanddele in te lig en te beskerm, is die SEC-beslissing kommerwekkend vaag," Wisniewski berig gesê. "Dit stel meer vrae as antwoorde en kan onduidelikheid vir kuberpersoneel skep."
Ander voorstelle
Bedryfsgroepe is ook bekommerd oor verskeie aspekte van die SEC se kuberveiligheids- en risikobestuurreëls. In Junie het die Vereniging vir Sekuriteitebedryf en Finansiële Markte (SIFMA) gefrette oor die verwarring tussen 'n paar ander reëls in die SEC se pyplyn.
Openbaarmaking van een of ander aard loop deur hierdie ander voorgestelde reëls. Mens sou Regulasie SP uitbrei, wat die privaatheid van kliëntedata vir makelaars-handelaars, beleggingsmaatskappye en geregistreerde adviseurs dek. Die reël sal van hulle vereis om binne 30 dae skriftelike reaksieplanne vir kuberveiligheid-voorvalle aan te neem, insluitend kennisgewings oor oortredings. Dit brei ook die omvang van die Regulasie uit, brei dit uit om oordragagente te dek en verbreed die definisie van kliëntinligting om data in te sluit wat intern en van derde partye ingesamel is.
Ander reëls fokus op kuberveiligheidsrisikobestuur, insluitend heers 10, wat van toepassing sal wees op makelaar-handelaars en deelnemers aan sekuriteitsruiltransaksies. Dit vereis dat hulle die Kommissie onmiddellik van enige sekuriteitsbreuke in kennis stel, terwyl hulle ook gereeld kuberveiligheidsrisiko's assesseer en dokumenteer en die publiek van beide risiko's en oortredings op hul webwerwe in kennis stel. Hulle sal ook kuberveiligheidskontroles moet implementeer en dokumenteer en 'n voorvalreaksieplan moet skep.
Die SEC het 'n aparte stel van voorgestelde risikobestuursreëls vir adviseurs en fondse, die uitbreiding van bestaande risiko-openbaarmaking en rekordhoudingreëls om kuberveiligheidsrisiko's en -beleide in te sluit. Hulle sal adviseurs en beleggingsfondse dwing om kuberveiligheidsrisiko-openbaarmakings op vorm ADV in te sluit, wat die aanbevole openbaarmakingsvorm is vir ander dinge soos finansiële risiko en belangebotsings. Gedokumenteerde kuberveiligheidsbeleide sal ook verpligtend word.
"Die Kommissie het nie leiding in 'n uitvoerbare formaat verskaf oor die aansienlike oorvleueling tussen die Regulasie SP-voorstel met beide die Reël 10-voorstel en verwante voorstelle nie," het SIFMA gesê en gewaarsku dat die SEC die SP-voorstel met die ander moet harmoniseer.
Ten slotte, die SEC is besig om veranderinge aan die SEC se 2014 Regulasie Stelsels Voldoening en Integriteit reëls, wat dit uitgereik is om die sekuriteit van handel stelsels te verseker. Die wysigings sal die regulasies uitbrei om makelaars-handelaars, bewaarplekke met sekuriteitsruildata en meer skoonmaakagentskappe te dek. Dit sal ook meer vereistes stel, insluitend toesig oor die sekuriteit en besigheidskontinuïteit van derde partye soos wolkdiensverskaffers en die aanvaarding van stelseltoegangsbeheer (wat verbasend genoeg nie onder die SCI vereis word nie).
Die SEC se dokument vir die kuberveiligheidsreël wat in Julie aangeneem is, het toegewings ingesluit in reaksie op sommige opmerkings, tesame met 'n paar stewige teenkantings vir ander. Of mense voel dat die reël te ver gegaan het of nie, die feit dat die Kommissie opskerp met ernstige regulasies om 'n groeiende kuberveiligheidsrisiko te verduidelik, is prysenswaardig. Trouens, die grootste vraag oor die reël is hoekom dit so lank geneem het.
