SEC pelaa kovaa uudella kyberturvallisuussäännöllä
Securities and Exchange Commission (SEC) tiukensi juuri kantaansa julkisiin yhtiöihin kyberturvallisuuden suhteen. Se julkaisi sen 26. heinäkuuta Kyberturvallisuusriskien hallinta, strategia, hallinto ja tapausten paljastaminen sääntö. Alun perin ehdotettu viime vuonna, se koskee julkisesti noteerattuja yrityksiä ja velvoittaa ne ilmoittamaan SEC:lle neljän päivän kuluessa merkittävästä kyberturvallisuusrikkomuksesta.
Tämä on viimeisin tietoturvapoikkeamien paljastamisen edistäminen, joka alkoi vuonna 2011 SEC:n henkilöstön ohjauksessa. Se sanoi, että useat komission asetukset voivat pakottaa kyberturvallisuushäiriöiden paljastamiseen, vaikka niille ei ole olemassa nimenomaista sääntöä. Vuonna 2018 komissio antoi tulkitsevan ohjeistuksen, jossa korostettiin, että yritykset voivat paljastaa kyberturvallisuushäiriöitä. Nämä paljastukset olivat kuitenkin edelleen hajanaisia ja tehty eri paikoissa vaihtelevalla yksityiskohtaisuudella.
Uuden säännön tarkoituksena on muuttaa tätä sanelemalla nimenomaisesti yhtenäiset vaatimukset tietoturvahäiriöiden paljastamiselle. Se vaatii yrityksiä täyttämään lomakkeen 8-K, suosittu ilmoituslomake, joka tulee sitten saataville komission verkkosivustolle.
Ilmoitus sisältää lyhyen kuvauksen tapahtumasta, sen laajuudesta tapahtuman havaitsemishetkellä, jatkuuko se ja vaikutuksista toimintaan. Sääntö velvoittaa myös yritykset kuvaamaan kyberturvallisuusriskien arviointiprosessinsa ja kertomaan, kuinka hallitus ja johto valvovat näitä riskejä.
reaktio
Kaikki eivät olleet viimeisimmän säännön faneja. Melissa MacGregor, arvopaperiteollisuus- ja rahoitusmarkkinayhdistyksen (SIFMA) apulaislakimies ja yrityssihteeri, oli huolissaan siitä, että sääntö vaati liian paljon liian aikaisin. Sääntö "valtuuttaa julkistamaan huomattavasti liian paljon, liian arkaluontoista, erittäin subjektiivista tietoa ennenaikaisesti ilman tarvittavaa kunnioitusta julkisten yhtiöiden toiminnan vakauden valvontaviranomaisia tai asianomaisia kyberturvallisuuteen erikoistuneita virastoja kohtaan", hän sanoi. sanoi lausunnossaan Washington Postille.
Kirjoittaminen Cybersecurity Policy and Law -keskus, Harley Geiger, lakitoimisto Venable LLP:n asianajaja varoitti myös lyhyestä ilmoitusikkunasta. "Yleisenä parhaan käytännön mukaisesti meneillään olevat kybertapahtumat tulisi pitää hiljaa, kunnes ne on hillitty ja hyökkäysvektori suljetaan, mutta SEC:n sääntö muuttaa tätä ohjekirjaa", hän sanoi.
SEC oli lieventänyt sääntöä hieman rajaamalla paljastuksen koskemaan vain tietoturvavälikohtauksen olennaisia yksityiskohtia ja laajuutta sekä mahdollisia olennaisia vaikutuksia yritykseen. Se antoi myös oikeusministerille valtuudet lykätä julkistamista 30 päivällä.
"Kuitenkaan kumpikaan näistä muutoksista ei ota huomioon huolta siitä, että suojaamattomien tai lieventämättömien kybertapahtumien julkistaminen luo riskin siitä, että hyökkääjät saavat varoituksen korjaamattomista haavoittuvuuksista ja aiheuttavat lisähaittaa", Geiger sanoi. "AG-viivettä käytetään todennäköisesti vain poikkeustapauksissa."
Jopa turvallisuusalalla työskentelevillä oli varauksia. Tara Wisniewski, CISSP-sertifiointia säätelevän voittoa tavoittelemattoman turvallisuusjärjestön (ISC)2:n edunvalvonnasta, maailmanlaajuisista markkinoista ja jäsenten sitouttamisesta vastaava johtaja, oli huolissaan siitä, että sääntö ei ollut tarpeeksi yksityiskohtainen.
"Vaikka tuemme julkistamisen perusperiaatteita osakkeenomistajien, asiakkaiden ja muiden valittajien tiedottamiseksi ja suojelemiseksi, SEC:n päätös on huolestuttavan epämääräinen", Wisniewski sanotaan. "Se herättää enemmän kysymyksiä kuin vastauksia ja voi aiheuttaa epäselvyyttä kyberammattilaisten keskuudessa."
Muut ehdotukset
Toimialaryhmät ovat myös huolissaan useista SEC:n kyberturvallisuus- ja riskienhallintasääntöjen näkökohdista. Kesäkuussa Arvopaperiteollisuus- ja rahoitusmarkkinayhdistys (SIFMA) särkynyt sekaannuksesta joidenkin muiden SEC:n sääntöjen välillä.
Jonkinlainen julkistaminen kulkee näiden muiden ehdotettujen sääntöjen kautta. Yksi tekisi laajentaa asetusta SP, joka kattaa välittäjien, sijoitusyhtiöiden ja rekisteröityjen neuvonantajien asiakkaiden tietosuojan. Sääntö edellyttäisi, että ne hyväksyvät kirjalliset kyberturvallisuushäiriöiden reagointisuunnitelmat, mukaan lukien tietoturvaloukkausilmoitukset, 30 päivän kuluessa. Se myös laajentaa asetuksen soveltamisalaa laajentamalla sen koskemaan siirtoagentteja ja laajentamalla asiakastietojen määritelmää sisältämään sisäisesti ja kolmansilta osapuolilta kerätyt tiedot.
Muut säännöt keskittyvät kyberturvallisuusriskien hallintaan, mukaan lukien Sääntö 10, joka koskisi välittäjiä ja arvopaperinvaihtosopimuksiin osallistujia. Tämä edellyttää, että ne ilmoittavat komissiolle välittömästi kaikista tietoturvaloukkauksista, arvioivat ja dokumentoivat säännöllisesti kyberturvallisuusriskejä ja ilmoittavat yleisölle sekä riskeistä että tietomurroista verkkosivuillaan. Heidän olisi myös otettava käyttöön ja dokumentoitava kyberturvallisuusvalvonta ja laadittava tapaussuunnitelma.
SEC:llä on a erillinen setti Ehdotetut riskinhallintasäännöt neuvonantajille ja rahastoille laajentamalla olemassa olevia riskien paljastamista ja kirjaamista koskevia sääntöjä sisältämään kyberturvallisuusriskejä ja -politiikkoja. Ne pakottaisivat neuvonantajat ja sijoitusrahastot sisällyttämään kyberturvallisuusriskejä koskevat tiedot ADV-lomakkeelle, joka on muiden asioiden, kuten taloudellisten riskien ja eturistiriitojen, ilmoituslomake. Myös dokumentoidut kyberturvallisuuskäytännöt tulisivat pakollisiksi.
"Komissio ei ole antanut toimintakelpoisessa muodossa ohjeita, jotka koskevat huomattavaa päällekkäisyyttä asetuksen SP-ehdotuksen ja sekä sääntö 10 -ehdotuksen että siihen liittyvien ehdotusten välillä", SIFMA sanoi ja varoitti, että SEC:n tulisi yhdenmukaistaa SP-ehdotus muiden kanssa.
Lopulta SEC jatkaa muutokset SEC:n vuoden 2014 asetuksen Systems Compliance and Integrity -sääntöihin, jotka se julkaisi varmistaakseen kaupankäyntijärjestelmien turvallisuuden. Muutokset laajentaisivat säännökset kattamaan meklarit, arvopaperinvaihtotietoja säilyttävät arkistot ja useampia selvitystoimistoja. Se asettaisi myös enemmän vaatimuksia, mukaan lukien kolmansien osapuolten, kuten pilvipalveluntarjoajien, turvallisuuden ja liiketoiminnan jatkuvuuden valvonnan ja järjestelmän käyttöoikeuksien hallinnan (jota yllättäen SCI ei vaadittu).
SEC:n heinäkuussa hyväksymä kyberturvallisuussääntöä koskeva asiakirja sisälsi myönnytyksiä vastauksena joihinkin kommentteihin sekä joitain kiinteitä vastalauseita toisille. Olipa ihmisten mielestä sääntö mennyt liian pitkälle tai ei, se, että komissio tehostaa vakavia säännöksiä selventääkseen kasvavaa kyberturvallisuusriskiä, on kiitettävää. Itse asiassa suurin kysymys säännöstä on, miksi se kesti niin kauan.
