美國證券交易委員會 (SEC) 為企業提出了新的網絡安全風險管理規則,要求它們在客戶披露方面更加透明。
新規則將作為有關網絡安全披露的各種形式的修正案而實施,並將專門針對投資顧問、投資基金和業務開發公司。
不再隱藏網絡安全黑客
對網絡安全披露引入更嚴格的監管並不是 SEC 的新舉措。 2018 年,前 SEC 專員小羅伯特·傑克遜 (Robert J. Jackson Jr.) 表示,當前的披露要求“在保密方面犯了錯誤”,並且當公司遭受黑客或其他網絡安全攻擊時,往往會讓投資者蒙在鼓裡。
目前,公司管理層只需向董事會通報網絡安全問題,沒有義務與投資者或其他客戶分享。 然而,一份2021年聯合報告顯示,2020年,接受調查的財富17強企業中,只有100%每年或每季度向董事會成員報告網絡安全問題。
美國證券交易委員會似乎渴望改變這一現狀,因為它在 2022 年的大部分時間裡提出了各種提案,如果獲得通過,將要求上市公司報告網絡攻擊和事件。
情況是這樣的 投資顧問、註冊投資公司和業務發展公司的網絡安全風險管理 提案,於 9 月 XNUMX 日發布。
在該文件中,SEC 提議根據 1940 年投資顧問法和 1940 年投資公司法引入新規則,要求基金和顧問實施新的網絡安全政策。 根據該文件,這些政策和程序專門為解決網絡安全風險而設計,要求公司向 SEC 報告影響顧問、其基金或私募基金客戶的重大網絡安全事件。
美國證券交易委員會在提案中表示:“我們認為,要求顧問和基金報告重大網絡安全事件的發生將提高我們保護投資者、其他市場參與者和金融市場與網絡安全事件有關的努力的效率和效果。”
Jamil Farshchi,Equifax 首席信息安全官 告訴 彭博新聞社稱,擬議的規則將為企業領導層帶來急需的透明度,並在網絡安全方面要求前所未有的問責制。
更多規則等於更強大的 SEC
許多人認為,SEC 最近推動在加強網絡安全規則方面發揮更積極的作用,這是 SolarWinds 黑客事件的直接結果。 這一臭名昭著的事件被廣泛認為是美國遭受的最嚴重的網絡間諜事件之一,因為該國聯邦政府的許多部門都成為俄羅斯支持的黑客組織的目標。
攻擊者感染了美國聯邦承包商的更新,並將其用作入侵各個政府機構和公司的跳板。 黑客攻擊發生後,美國證券交易委員會向其認為面臨黑客攻擊風險的公司發出了信函,要求它們自行報告是否遭到黑客攻擊以及黑客造成的損失。
由於委員會收到的披露數量微乎其微,因此啟動了“特赦計劃”——向最終遵守自我報告要求的公司提供寬恕,即使它們之前沒有向投資者披露這一事件。
當時,全國公司董事協會、網絡威脅聯盟和 SecurityScorecard 都稱該計劃“值得注意”,因為它表明了 SEC 對網絡風險不斷變化的看法。 SecurityScorecard 首席業務兼法律官 Sachin Bansal 稱這是 SEC 的“分水嶺”時刻。
但儘管如此,美國證券交易委員會的新提案仍有許多未解決的問題。
如果實施,新規則將要求公司披露“重大”或“重大”網絡事件。 美國證券交易委員會將“重大”信息視為“合理的股東很可能認為其重要”的任何信息。
許多人認為美國證券交易委員會的定義過於模糊,無法為市場帶來任何有意義的透明度。 這種模糊性還意味著這些規則將由美國證券交易委員會根據具體情況進行解釋,從而為公司對裁決提出上訴並設定先例留下了空間,這些先例可能會使該提案基本上毫無價值。
然而,仍有改進的空間。 美國證券交易委員會在接下來的幾週內不會對該提案進行投票,這為行業參與者與委員會分享他們的擔憂和建議留下了足夠的空間。
目前尚不清楚這將如何影響加密貨幣行業——越來越多的投資基金包括各種數字資產和 加密衍生物 在他們的投資組合中。 然而,擬議的規則可能會導致加密貨幣領域的許多信息披露。
資料來源:https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/