«Правила кибербезопасности SEC»

«SEC Правила кибербезопасности - неотъемлемая часть вашей онлайн-безопасности»

Комиссия по ценным бумагам и биржам США (SEC) недавно приняла правила, требующие от публичных компаний раскрывать материальные инциденты в области кибербезопасности, которые они испытали, в течение четырех рабочих дней. Когда компания определяет, что инцидент является материальным, у нее есть четыре рабочих дня для раскрытия его с использованием нового пункта 1.05 формы 8-K.

Компания должна описать существенные аспекты природы, времени и объема инцидента, а также его существенные последствия (или разумно вероятные существенные последствия) для компании, согласно пресс-релизу SEC.

Название правила – “Управление рисками, стратегия, управление и раскрытие инцидентов в области кибербезопасности”. Эксперты называют его правилами SEC по кибербезопасности или просто правилом. Все ссылки на такие термины означают то же самое правило SEC.

Согласно пресс-релизу SEC, правило требует от компаний использовать новый пункт 106 регламента S-K, чтобы описать, как они оценивают, идентифицируют и управляют существенными рисками из-за угроз кибербезопасности. Пункт 106 должен включать существенные последствия рисков, а также информацию о предыдущих инцидентах в области кибербезопасности.

• Китай имеет новый план оценки безопасности генеративного искусственного интеллекта, и он полон деталей
• Как зарабатывать деньги с помощью TikTok Shop Dropshipping
• Искусственный интеллект предлагает создание роботизированной собаки с ‘атлетическим интеллектом

Представление компанией пункта 106 должно описывать контроль над рисками от угроз кибербезопасности со стороны совета директоров. В нем должна быть описана роль и экспертиза руководства, включая руководство верхнего звена, при оценке и управлении существенными рисками. Помимо незамедлительного сообщения о кибербезопасности, правило требует раскрытия пункта 106 ежегодно в ежегодном отчете компании ( форма 10-K), согласно пресс-релизу SEC.

Интернет взорван обсуждением последствий правил для компаний, их руководства, советов директоров и кибербезопасности.

Председатель SEC Гэри Дженслер заявил в пресс-релизе SEC, анонсирующем правило, что компании и инвесторы получат преимущества, когда компании будут раскрывать информацию о кибербезопасности более последовательным, сравнимым и полезным для принятия решений способом.

Цель правила – предоставить информацию, которую должны иметь акционеры при принятии инвестиционных решений. Правило может позволить компаниям быстрее изучать атаки и методы реагирования, используемые аналогичными организациями.

Однако компании столкнутся с трудностями в соблюдении правила и его требованиями к раскрытию в течение четырех дней.

По словам Кена Дейтца, главного специалиста по кибербезопасности в компании по кибербезопасности SecureWorks, инциденты в области кибербезопасности происходят хаотично. Оценка инцидента выглядит совершенно иначе по сравнению с раскрытием потенциальных последствий во время проведения расследования и контроля.

По мнению Дейтца, результаты компаний по своевременным раскрытиям будут разнообразными, и будет период приспособления, в то время как компании будут бороться, чтобы понять, чего хочет SEC и рынок.

Четыре дня может показаться чрезвычайно коротким периодом времени, особенно по сравнению с неделями и месяцами, которые некоторым компаниям требовалось для раскрытия событий и нарушений в области кибербезопасности. Однако важно понять, что говорит правило о четырехдневном сроке и о возможностях его продления.

Согласно Ким Фан, партнера национальной юридической фирмы Troutman Pepper, публичной компании не требуется делать раскрытие информации о кибербезопасности в течение четырех рабочих дней после обнаружения киберпроисшествия, а в течение четырех рабочих дней после того, как компания определяет, что киберпроисшествие с применением информационных технологий имеет существенное значение.

При наличии риска для национальной безопасности или общественной безопасности форма раскрытия информации в форме 8-K может быть отложена, говорит Фан. Однако, для этого требуется вмешательство генерального прокурора США, говорит она.

Определение, является ли киберпроисшествие существенным и как его определить, является важным для понимания момента раскрытия такой информации.

Согласно Фан, при определении существенности киберпроисшествия, Комиссия по ценным бумагам и биржам (SEC) приняла долго принятое определение “существенности” из решения Верховного суда США в деле TSC Industries, Inc. v. Northway, Inc. 426 U.S. 438 (1976).

Фан говорит, что что-то является существенным, если существует существенная вероятность, что разумный акционер будет считать это важным при принятии решения об инвестициях или если это значительно изменило бы общее представление доступной информации.

Хотя публичные компании имеют опыт применения стандарта существенности в деле TSC против Northway, многим компаниям может быть непривычно применять эти стандарты к киберпроисшествиям, говорит Фан.

Компании будут вынуждены интерпретировать стандарт. Как сказал Дейтц, компании будут пытаться самостоятельно определить существенность, с помощью руководства внешним и внутренним юристом. “Они, скорее всего, опубликуют свое определение существенности в своей ежегодной отчетности формы 10-K”, – говорит он.

Следовать затем должны иски. По словам Дейтца, будет интересно посмотреть, как много способов предпринимают компании для определения существенности. “Однако окончательное слово и точку зрения общества определит суд через судебные разбирательства”, – говорит Дейтц. По словам Дейтца, некоторые компании пойдут в суд, подав иски и на акционеров, и на SEC, прежде чем будет принято общепризнанное определение того, что считается существенным.

Годовая отчетность может показать, насколько важна кибербезопасность для организации. По словам Дейтца, раскрытие информации о процессах по управлению рисками защиты информации может дать представление о том, насколько зрелы эти процессы и как высоко компании их приоритезируют в общем функционировании компании.

Раскрытие информации также покажет, насколько компании являются надежными или неудачными с точки зрения кибербезопасности. По словам Джима Хаймана, генерального директора компании по кибербезопасности Ordr, некоторые компании имеют неопределенные и демонстративно слабые планы по кибербезопасности и часто становятся жертвами атак и нарушений. Органы контроля будут требовать ответственности от таких компаний, говорит он.

Правила SEC группы и руководящего органа компания отвечает за кибербезопасность. Совет директоров должен осуществлять надзор за кибербезопасностными рисками. “Советы активно включаются в контроль за политиками кибербезопасности и программами компании. Они ищут опытных членов совета директоров с знанием вопросов кибербезопасности, поскольку требования к кибербезопасности стали более подробными и строгими, а угрозы выросли”, – говорит Фан.

Согласно Александру Коски, сопредседателю группы Baker Donelson’s по кибербезопасности в финансовых услугах, большинство советов усиливают надзор за кибербезопасностными рисками, получая тренинг по пониманию киберугроз и периодическими отчетами от руководства о развитии угроз.

В то же время, роль руководителей в управлении существенными рисками информационной безопасности может быть разной, так же, как и их экспертиза. По словам Хаймана, нет четкого понимания роли верхнего руководства, но существуют прецеденты (в частности, уголовное преследование бывшего главы отдела безопасности Джо Салливана после дата-бреши в 2016 году в компании Uber), которые указывают на то, что суды стремятся определить их роль по вопросам кибербезопасности. “В принципе, верхнее руководство и совет директоров должны относиться к этому серьезно”, – говорит Хайман.

Помимо проверки публичных компаний со стороны акционеров, также важно учитывать, улучшит ли это правило SEC кибербезопасность или просто увеличит бремя на компании, создав больше проблем, чем решений.

По словам Фана, это правило пытается сосредоточиться на раскрытии материальных последствий кибератаки, а не на требовании детального описания самой атаки, что критики правила считают потенциально опасным для злоумышленников.

По словам Коскей, хотя новые правила могут создать напряжение для компаний в короткосрочной перспективе, они должны способствовать повышению уровня кибергигиены. Он говорит, что эти правила могут стать стандартом для будущих регулирований в сфере кибербезопасности.

Репутационные и финансовые последствия правила SEC будут различаться в зависимости от уровня развития кибербезопасности компании. “Компании, находящиеся на начальных стадиях развития, могут ожидать серьезных репутационных и финансовых потерь при раскрытии инцидента”, – говорит Дайц.

Дэвид Гир – журналист, который сосредоточен на вопросах кибербезопасности. Он пишет из Кливленда, штат Огайо, США.