רשות ניירות ערך (SEC) זה עתה החמירה את עמדתה כלפי חברות ציבוריות בנושא אבטחת סייבר. ב-26 ביולי היא הוציאה את שלה ניהול סיכוני סייבר, אסטרטגיה, ממשל וגילוי תקריות כְּלָל. זה הוצע במקור בשנה שעברה, הוא חל על חברות הנסחרות בבורסה, ומחייב שהן יודיעו ל-SEC בתוך ארבעה ימים על הפרת אבטחת סייבר מהותית.
זהו האחרון בדחיפה איטית לעידוד חשיפת אירועי אבטחה שהחלה ב-2011 עם הנחיית צוות ב-SEC. הוא אמר כי תקנות שונות של הנציבות עשויות לכפות גילויים של אירועי אבטחת סייבר, למרות שלא קיים כלל מפורש לגביהן. בשנת 2018 פרסמה הנציבות הנחיות פרשניות, המדגישות שחברות יכולות לחשוף אירועי אבטחת סייבר. עם זאת, גילויים אלה עדיין היו חלקים ונעשו במקומות שונים עם רמות שונות של פירוט.
הכלל החדש נועד לשנות זאת על ידי הכתבה מפורשת של דרישות עקביות לחשיפת אירועי אבטחה. זה מחייב חברות למלא את טופס 8-K, טופס גילוי פופולרי שהופך לזמין באתר האינטרנט של הנציבות.
החשיפה כוללת תיאור קצר של האירוע, היקפו בעת גילוי האירוע, האם הוא מתמשך והשפעה על הפעילות. הכלל גם מחייב חברות לתאר את תהליכי הערכת סיכוני אבטחת הסייבר שלהן ולהתאר כיצד הדירקטוריון וההנהלה מפקחים על הסיכונים הללו.
תגובה
לא כולם היו מעריצים של הכלל האחרון. מליסה מקגרגור, סגנית היועצת הכללית ומזכירת התאגידים באגודת התעשייה והשווקים הפיננסיים של ניירות ערך (SIFMA), דאגה שהכלל ביקש יותר מדי מוקדם מדי. הכלל "מחייב חשיפה פומבית של מידע רב מדי, רגיש מדי, סובייקטיבי ביותר, בנקודות זמן מוקדמות, ללא כבוד מתבקש לרגולטורים הזהירים של חברות ציבוריות או סוכנויות מומחים רלוונטיות לאבטחת סייבר", היא אמר בהצהרה לוושינגטון פוסט.
כתיבה עבור המרכז למדיניות ומשפט אבטחת סייבר, הארלי גייגר, יועץ במשרד עורכי הדין Venable LLP הזהיר גם הוא מפני חלון החשיפה הקצר. "כעניין כללי של שיטות עבודה מומלצות, אירועי סייבר מתמשכים צריכים להיות שקטים עד שהם בולמים וקטור ההתקפה ייסגר, אבל הכלל של ה-SEC ישנה את ספר המשחק הזה", אמר.
ה-SEC חיכך מעט את הכלל, צמצם את היקף החשיפה רק לפרטים המהותיים וגודל האירוע הביטחוני ולכל השפעה מהותית על החברה. זה גם נתן ליועץ המשפטי לממשלה את הסמכות לעכב את הגילוי ב-30 יום.
"עם זאת, אף אחד מהשינויים הללו אינו מתייחס לחששות שחשיפה פומבית של אירועי סייבר בלתי מוכלים או בלתי מבוטלים יוצרת סיכון שתוקפים יוזעקו על פגיעויות שטרם תוקנו ויגרמו לנזק נוסף", אמר גייגר. "העיכוב של AG עשוי להתבצע רק במקרים חריגים".
אפילו למגזר הביטחוני היו הסתייגויות. טרה ויסנייבסקי, סמנכ"לית הסברה, שווקים גלובליים ומעורבות חברים ב-(ISC)2, המלכ"ר האבטחה השולט על הסמכת CISSP, הייתה מודאגת מכך שהכלל אינו מפורט מספיק.
"למרות שאנו תומכים בעקרונות היסוד של חשיפה פומבית כדי ליידע ולהגן על בעלי מניות, לקוחות ומרכיבים אחרים, פסיקת ה-SEC מעורפלת באופן מדאיג", אמר ויסנייבסקי על פי דיווחים אמרו. "זה מציב יותר שאלות מאשר תשובות ועלול ליצור אי בהירות עבור אנשי מקצוע בתחום הסייבר."
הצעות אחרות
קבוצות תעשייה גם מודאגות לגבי כמה היבטים של כללי אבטחת הסייבר וניהול סיכונים של ה-SEC. בחודש יוני, איגוד תעשיית ניירות הערך והשווקים הפיננסיים (SIFMA) נרגז על הבלבול בין כמה כללים אחרים בצנרת של ה-SEC.
חשיפה כזו או אחרת עוברת דרך הכללים המוצעים האחרים הללו. אחד היה להרחיב את תקנה SP, המכסה פרטיות נתוני לקוחות עבור ברוקרים-סוחרים, חברות השקעות ויועצים רשומים. הכלל יחייב אותם לאמץ תוכניות תגובה בכתב לאירועי אבטחת סייבר, לרבות הודעות על גילוי הפרות, תוך 30 יום. כמו כן, היא מרחיבה את היקף הרגולציה, מרחיבה אותה לסוכני העברה ומרחיבה את ההגדרה של מידע לקוחות כך שיכלול נתונים שנאספו באופן פנימי ומצדדים שלישיים.
כללים אחרים מתמקדים בניהול סיכוני אבטחת סייבר, כולל כלל 10, שיחול על סוחרי ברוקרים ומשתתפים בהחלפת ניירות ערך. הדבר מחייב אותם להודיע לנציבות על כל פרצות אבטחה באופן מיידי, תוך הערכה ותיעוד קבוע של סיכוני אבטחת סייבר ולהודיע לציבור על סיכונים וגם על הפרות באתרי האינטרנט שלהם. הם גם יצטרכו ליישם ולתעד בקרות אבטחת סייבר וליצור תוכנית תגובה לאירועים.
ל-SEC יש א סט נפרד של כללי ניהול סיכונים מוצעים ליועצים וקרנות, הרחבת כללי גילוי הסיכונים הקיימים ושמירת תיעוד כך שיכללו סיכונים ומדיניות אבטחת סייבר. הם יאלצו יועצים וקרנות השקעה לכלול גילויי סיכוני אבטחת סייבר בטופס ADV, שהוא טופס הגילוי לדברים אחרים כמו סיכון פיננסי וניגודי עניינים. גם מדיניות אבטחת סייבר מתועדת תהפוך לחובה.
"הוועדה לא סיפקה הנחיות במתכונת ניתנת לפעולה לגבי החפיפה הניכרת בין הצעת ה-SP לתקנה עם הצעת כלל 10 והן עם הצעות קשורות", אמרה SIFMA, והזהירה כי על ה-SEC להתאים את הצעת ה-SP עם האחרות.
לבסוף, ה-SEC רודף שינויים לכללי ה-SEC של 2014 תאימות ותקינות מערכות תקנות, שהם הוציאו כדי להבטיח את אבטחת מערכות המסחר. התיקונים ירחיבו את התקנות לכיסוי ברוקרים-סוחרים, מאגרים המחזיקים בנתוני החלפת ניירות ערך וסוכנויות סליקה נוספות. זה גם יטיל דרישות נוספות, כולל פיקוח על האבטחה וההמשכיות העסקית של צדדים שלישיים כגון ספקי שירותי ענן ואימוץ בקרות גישה למערכת (שבאופן מפתיע, לא נדרשו במסגרת ה-SCI).
המסמך של ה-SEC עבור כלל אבטחת הסייבר שעבר ביולי כלל ויתורים בתגובה לכמה הערות, יחד עם כמה תגובות מוצקות עבור אחרות. בין אם אנשים מרגישים שהכלל הלך רחוק מדי ובין אם לאו, העובדה שהנציבות מגבירה תקנות רציניות כדי להבהיר סיכון אבטחת סייבר הולך וגובר ראויה לשבח. למעשה, השאלה הגדולה ביותר לגבי הכלל היא מדוע זה לקח כל כך הרבה זמן.
