SEC spiller hardball med ny cybersikkerhedsregel
Securities and Exchange Commission (SEC) har netop skærpet sin holdning til offentlige virksomheder med hensyn til cybersikkerhed. Den 26. juli udsendte den sin Cybersikkerhedsrisikostyring, strategi, ledelse og hændelsesoplysning Herske. Oprindeligt foreslået sidste år, gælder det for børsnoterede virksomheder, der kræver, at de underretter SEC inden for fire dage efter et væsentligt cybersikkerhedsbrud.
Dette er det seneste i et langsomt fremstød for at tilskynde til afsløring af sikkerhedshændelser, der begyndte i 2011 med personalevejledning hos SEC. Den sagde, at forskellige kommissionsforordninger kunne fremtvinge afsløring af cybersikkerhedshændelser, selvom der ikke eksisterede nogen eksplicit regel for dem. I 2018 udsendte Kommissionen en fortolkningsvejledning, der fremhævede, at virksomheder kunne afsløre cybersikkerhedshændelser. Disse afsløringer var dog stadig usammenhængende og lavet forskellige steder med varierende detaljeringsgrad.
Den nye regel har til formål at ændre det ved eksplicit at diktere konsistente krav til afsløring af sikkerhedshændelser. Det kræver, at virksomheder udfylder formular 8-K, en populær oplysningsformular, som derefter bliver tilgængelig på Kommissionens hjemmeside.
Offentliggørelsen indeholder en kort beskrivelse af hændelsen, dens omfang, hvornår hændelsen blev opdaget, om den er i gang, og virkningen på driften. Reglen pålægger også virksomheder at beskrive deres cybersikkerhedsrisikovurderingsprocesser og skitsere, hvordan bestyrelsen og ledelsen overvåger disse risici.
Reaktion
Ikke alle var fan af den seneste regel. Melissa MacGregor, stedfortrædende generaladvokat og virksomhedssekretær hos Securities Industry and Financial Markets Association (SIFMA), bekymrede sig over, at reglen bad om for meget for tidligt. Reglen "mandater offentlig offentliggørelse af betydeligt for meget, for følsom, yderst subjektiv information, på for tidlige tidspunkter, uden nødvendig respekt for offentlige virksomheders tilsynsmyndigheder eller relevante cybersikkerhedsspecialister," hun sagde i en erklæring til Washington Post.
Skrivning for Center for Cybersikkerhedspolitik og -lovgivning, Harley Geiger, advokat hos advokatfirmaet Venable LLP advarede også om det korte afsløringsvindue. "Som et generelt spørgsmål om bedste praksis, bør igangværende cyberhændelser holdes stille, indtil de er inddæmmet, og angrebsvektoren er lukket af, men SEC's regel vil ændre denne playbook," sagde han.
SEC havde dæmpet reglen lidt og indsnævret omfanget af offentliggørelsen til kun de væsentlige detaljer og størrelsen af sikkerhedshændelsen og enhver væsentlig indvirkning på virksomheden. Det gav også statsadvokaten beføjelse til at forsinke offentliggørelsen med 30 dage.
"Men ingen af disse ændringer adresserer bekymringer om, at offentlig offentliggørelse af uindesluttede eller ubegrænsede cyberhændelser skaber en risiko for, at angribere vil blive advaret om uoprettede sårbarheder og forårsage yderligere skade," sagde Geiger. "AG-forsinkelsen vil sandsynligvis kun blive udøvet i ekstraordinære tilfælde."
Selv dem i sikkerhedssektoren havde deres forbehold. Tara Wisniewski, EVP for advocacy, globale markeder og medlemsengagement hos (ISC)2, den non-profit sikkerhedsorganisation, der styrer CISSP-certificeringen, var bekymret over, at reglen ikke var detaljeret nok.
"Selvom vi støtter de grundlæggende principper for offentlig offentliggørelse for at informere og beskytte aktionærer, kunder og andre vælgere, er SEC-kendelsen bekymrende vag," Wisniewski angiveligt sagt. "Det stiller flere spørgsmål end svar og kan skabe uklarhed for cyberprofessionelle."
Andre forslag
Branchegrupper bekymrer sig også om flere aspekter af SEC's regler for cybersikkerhed og risikostyring. I juni blev The Securities Industry and Financial Markets Association (SIFMA) udskårne om forvirringen mellem nogle andre regler i SEC's pipeline.
Offentliggørelse af en eller anden art løber gennem disse andre foreslåede regler. Man ville forlænge regulativ SP, som dækker kundedatabeskyttelse for mægler-forhandlere, investeringsselskaber og registrerede rådgivere. Reglen vil kræve, at de vedtager skriftlige reaktionsplaner for cybersikkerhedshændelser, herunder meddelelser om brud, inden for 30 dage. Den udvider også forordningens anvendelsesområde, udvider den til at omfatte overførselsagenter og udvider definitionen af kundeoplysninger til at omfatte data indsamlet internt og fra tredjeparter.
Andre regler fokuserer på cybersikkerhedsrisikostyring, herunder Regel 10, som ville gælde for mæglere og deltagere i værdipapirswaps. Dette kræver, at de straks underretter Kommissionen om eventuelle sikkerhedsbrud, mens de også regelmæssigt vurderer og dokumenterer cybersikkerhedsrisici og underretter offentligheden om både risici og brud på deres websteder. De ville også skulle implementere og dokumentere cybersikkerhedskontroller og oprette en hændelsesresponsplan.
SEC har en separat sæt af foreslåede risikostyringsregler for rådgivere og fonde, udvidelse af eksisterende risikooplysning og registreringsregler til at omfatte cybersikkerhedsrisici og -politikker. De ville tvinge rådgivere og investeringsfonde til at inkludere cybersikkerhedsrisici på formularen ADV, som er den gå-til-oplysningsformular for andre ting som finansiel risiko og interessekonflikter. Dokumenterede cybersikkerhedspolitikker vil også blive obligatoriske.
"Kommissionen har ikke givet vejledning i et brugbart format vedrørende den betydelige overlapning mellem forordningens SP-forslag med både regel 10-forslaget og relaterede forslag," sagde SIFMA og advarede om, at SEC bør harmonisere SP-forslaget med de andre.
Endelig forfølger SEC ændringer til SEC's 2014 Regulation Systems Compliance and Integrity-regler, som den udstedte for at sikre sikkerheden i handelssystemer. Ændringerne vil udvide reglerne til at dække mægler-dealere, arkiver med værdipapirswapdata og flere clearingbureauer. Det ville også pålægge flere krav, herunder at føre tilsyn med sikkerheden og forretningskontinuiteten for tredjeparter, såsom cloud-tjenesteudbydere, og vedtage systemadgangskontrol (som overraskende nok ikke var påkrævet i henhold til SCI).
SEC's dokument for cybersikkerhedsreglen, der blev vedtaget i juli, indeholdt indrømmelser som svar på nogle kommentarer, sammen med nogle solide modsigelser til andre. Uanset om folk føler, at reglen gik for vidt, er det prisværdigt, at Kommissionen optrapper med seriøse regler for at afklare en voksende cybersikkerhedsrisiko. Faktisk er det største spørgsmål om reglen, hvorfor det tog så lang tid.
