美国证券交易委员会 (SEC) 为企业提出了新的网络安全风险管理规则,要求它们在客户信息披露方面更加透明。
新规则将作为有关网络安全披露的各种形式的修正案而实施,并将专门针对投资顾问、投资基金和业务开发公司。
不再隐藏网络安全黑客
对网络安全披露引入更严格的监管并不是 SEC 的新举措。 2018 年,前 SEC 专员小罗伯特·杰克逊 (Robert J. Jackson Jr.) 表示,当前的披露要求“在保密方面犯了错误”,并且当公司遭受黑客或其他网络安全攻击时,往往会让投资者蒙在鼓里。
目前,公司管理层只需向董事会通报网络安全问题,没有义务与投资者或其他客户分享。然而,一份2021年联合报告显示,2020年,接受调查的财富17强企业中,只有100%每年或每季度向董事会成员报告网络安全问题。
美国证券交易委员会似乎渴望改变这一现状,因为它在 2022 年的大部分时间里提出了各种提案,如果获得通过,将要求上市公司报告网络攻击和事件。
情况是这样的 投资顾问、注册投资公司和业务发展公司的网络安全风险管理 提案,于 9 月 XNUMX 日发布。
在该文件中,SEC 提议根据 1940 年投资顾问法和 1940 年投资公司法引入新规则,要求基金和顾问实施新的网络安全政策。根据该文件,这些政策和程序专门为解决网络安全风险而设计,要求公司向 SEC 报告影响顾问、其基金或私募基金客户的重大网络安全事件。
美国证券交易委员会在提案中表示:“我们认为,要求顾问和基金报告重大网络安全事件的发生将提高我们保护投资者、其他市场参与者和金融市场与网络安全事件有关的努力的效率和效果。”
Jamil Farshchi,Equifax 首席信息安全官 告诉 彭博新闻社称,拟议的规则将为企业领导层带来急需的透明度,并在网络安全方面要求前所未有的问责制。
更多规则等于更强大的 SEC
许多人认为,SEC 最近推动在加强网络安全规则方面发挥更积极的作用,这是 SolarWinds 黑客事件的直接结果。这一臭名昭著的事件被广泛认为是美国遭受的最严重的网络间谍事件之一,因为该国联邦政府的许多部门都受到俄罗斯支持的黑客组织的攻击。
攻击者感染了美国联邦承包商的更新,并以此为跳板入侵各个政府机构和公司。黑客攻击发生后,美国证券交易委员会向其认为面临黑客攻击风险的公司发出了信函,要求它们自行报告是否遭到黑客攻击以及黑客造成的损失。
由于委员会收到的披露数量很少,因此启动了“特赦计划”——向最终遵守自我报告要求的公司提供宽恕,即使他们之前没有向投资者披露这一事件。
当时,全国公司董事协会、网络威胁联盟和 SecurityScorecard 都称该计划“值得注意”,因为它表明了 SEC 对网络风险不断变化的看法。 SecurityScorecard 首席业务兼法律官 Sachin Bansal 称这是 SEC 的“分水岭”时刻。
但尽管如此,美国证券交易委员会的新提案仍有许多未解决的问题。
如果实施,新规则将要求公司披露“重大”或“重大”网络事件。美国证券交易委员会将“重大”信息视为“合理的股东很可能认为其重要”的任何信息。
许多人认为美国证券交易委员会的定义过于模糊,无法为市场带来任何有意义的透明度。这种模糊性还意味着这些规则将由美国证券交易委员会根据具体情况进行解释,从而为公司对裁决提出上诉并设定先例留下了空间,这些先例可能会使该提案基本上毫无价值。
然而,仍有改进的空间。美国证券交易委员会在接下来的几周内不会对该提案进行投票,这为行业参与者与委员会分享他们的担忧和建议留下了足够的空间。
目前尚不清楚这将如何影响加密货币行业——越来越多的投资基金包括各种数字资产和 加密衍生物 在他们的投资组合中。然而,拟议的规则可能会导致加密货币领域的许多信息披露。
资料来源:https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/