Suruhanjaya Sekuriti dan Bursa AS (SEC) telah mencadangkan peraturan pengurusan risiko keselamatan siber baharu untuk syarikat yang memerlukan mereka lebih telus dengan pendedahan pelanggan.
Peraturan baharu itu akan dilaksanakan sebagai pindaan kepada pelbagai bentuk berhubung pendedahan keselamatan siber dan secara khusus akan menyasarkan penasihat pelaburan, dana pelaburan dan syarikat pembangunan perniagaan.
Tiada lagi menyembunyikan penggodaman keselamatan siber
Memperkenalkan peraturan yang lebih ketat mengenai pendedahan keselamatan siber bukanlah usaha baharu daripada SEC. Pada 2018, bekas Pesuruhjaya SEC Robert J. Jackson Jr. berkata bahawa keperluan pendedahan semasa "bersalah di sebelah tidak mendedahkan" dan sering menyebabkan pelabur dalam kegelapan apabila syarikat mengalami penggodaman atau serangan keselamatan siber yang lain.
Pada masa ini, pengurusan syarikat hanya perlu memaklumkan kepada lembaga pengarah tentang isu keselamatan siber, tanpa kewajipan untuk berkongsinya dengan pelabur atau pelanggan lain. Bagaimanapun, laporan bersama 2021 menunjukkan bahawa pada 2020, hanya 17% daripada syarikat Fortune 100 yang ditinjau melaporkan isu keselamatan siber kepada ahli lembaga setiap tahun atau setiap suku tahun.
SEC nampaknya tidak sabar-sabar untuk mengubahnya kerana ia menghabiskan sebahagian besar tahun 2022 dengan memperkenalkan pelbagai cadangan yang — jika diluluskan — memerlukan syarikat awam melaporkan serangan dan insiden siber.
Ini adalah kes dengan Pengurusan Risiko Keselamatan Siber untuk Penasihat Pelaburan, Syarikat Pelaburan Berdaftar dan Syarikat Pembangunan Perniagaan cadangan, diterbitkan pada 9 Februari.
Dalam dokumen itu, SEC mencadangkan untuk memperkenalkan peraturan baharu di bawah Akta Penasihat Pelaburan 1940 dan Akta Syarikat Pelaburan 1940 untuk menghendaki dana dan penasihat melaksanakan dasar keselamatan siber baharu. Menurut dokumen itu, dasar dan prosedur ini direka khusus untuk menangani risiko keselamatan siber dengan menghendaki syarikat melaporkan insiden keselamatan siber yang ketara yang menjejaskan penasihat, dananya atau pelanggan dana persendirian kepada SEC.
“Kami percaya memerlukan penasihat dan dana untuk melaporkan kejadian insiden keselamatan siber yang ketara akan meningkatkan kecekapan dan keberkesanan usaha kami untuk melindungi pelabur, peserta pasaran lain dan pasaran kewangan berkaitan insiden keselamatan siber,” kata SEC dalam cadangan itu.
Jamil Farshchi, ketua pegawai keselamatan maklumat di Equifax, memberitahu Bloomberg News bahawa peraturan yang dicadangkan akan membawa ketelusan yang sangat diperlukan kepada kepimpinan korporat dan memerlukan akauntabiliti yang belum pernah berlaku sebelum ini dalam hal keselamatan siber.
Lebih banyak peraturan menyamai SEC yang lebih kukuh
Ramai yang percaya bahawa desakan SEC baru-baru ini untuk memainkan peranan yang lebih aktif dalam mengukuhkan peraturan mengenai keselamatan siber adalah hasil langsung daripada penggodaman SolarWinds. Peristiwa terkenal itu dianggap secara meluas antara insiden pengintipan siber terburuk yang dialami oleh AS, kerana negara itu menyaksikan banyak bahagian kerajaan persekutuannya disasarkan oleh sekumpulan penggodam yang disokong Rusia.
Penyerang menjangkiti kemas kini daripada kontraktor persekutuan AS, menggunakan itu sebagai papan lompat untuk menceroboh pelbagai agensi dan syarikat kerajaan. Berikutan penggodaman itu, SEC menghantar surat kepada syarikat yang dipercayai berisiko daripada penggodaman itu, memerlukan mereka melaporkan diri jika mereka telah digodam dan kerosakan yang ditimbulkan oleh penggodaman itu.
Memandangkan Suruhanjaya menerima jumlah pendedahan yang kurang memberangsangkan, ia memulakan Program Pengampunan—menawarkan pengampunan kepada syarikat yang akhirnya mematuhi permintaan lapor diri, walaupun mereka tidak pernah mendedahkan kejadian itu kepada pelabur sebelum ini.
Pada masa itu, Persatuan Pengarah Korporat Kebangsaan, Perikatan Ancaman Siber, dan SecurityScorecard semuanya menggelar program itu sebagai "diperhatikan", kerana ia menandakan pandangan SEC yang berkembang tentang risiko siber. Sachin Bansal, ketua pegawai perniagaan dan undang-undang SecurityScorecard, menyifatkan ia sebagai detik "dataran air" untuk SEC.
Tetapi, walaupun ini, cadangan baharu SEC meninggalkan banyak perkara yang tidak dapat dielakkan.
Peraturan baharu itu memerlukan syarikat mendedahkan insiden siber "material" atau "penting" jika dilaksanakan. SEC menganggap maklumat "material" sebagai sebarang maklumat dengan "kemungkinan besar bahawa pemegang saham yang munasabah akan menganggapnya penting."
Ramai mendapati takrifan SEC terlalu kabur untuk membawa sebarang ketelusan yang bermakna kepada pasaran. Kekaburan itu juga bermakna bahawa peraturan akan tertakluk kepada tafsiran oleh SEC berdasarkan kes demi kes, memberi ruang kepada syarikat untuk merayu kepada keputusan dan menetapkan duluan yang boleh menyebabkan cadangan itu pada dasarnya tidak bernilai.
Namun, masih ada ruang untuk diperbaiki. SEC tidak bersedia untuk mengundi cadangan itu untuk beberapa minggu lagi, memberikan banyak ruang kepada peserta industri untuk berkongsi kebimbangan dan cadangan mereka dengan Suruhanjaya.
Tidak jelas bagaimana ini mempengaruhi industri crypto — dengan semakin banyak dana pelaburan termasuk pelbagai aset digital dan derivatif crypto dalam portfolio mereka. Walau bagaimanapun, peraturan yang dicadangkan boleh mengakibatkan banyak pendedahan yang datang dari ruang crypto.
Sumber: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/