La Securities and Exchange Commission (SEC) degli Stati Uniti ha proposto nuove regole di gestione del rischio di sicurezza informatica per le aziende che richiederebbero loro di essere più trasparenti con le informazioni sui clienti.
Le nuove regole verrebbero implementate come modifiche a varie forme relative alle informative sulla sicurezza informatica e riguarderebbero specificamente consulenti per gli investimenti, fondi di investimento e società di sviluppo aziendale.
Non più nascondere gli hack di sicurezza informatica
L'introduzione di una regolamentazione più severa in materia di divulgazione della sicurezza informatica non è un nuovo sforzo della SEC. Nel 2018, l'ex commissario della SEC Robert J. Jackson Jr. ha affermato che gli attuali requisiti di divulgazione "hanno sbagliato dalla parte della non divulgazione" e spesso hanno lasciato gli investitori all'oscuro quando le aziende subivano hack o altri attacchi alla sicurezza informatica.
Attualmente, la direzione aziendale è tenuta solo a tenere informati i consigli di amministrazione sui problemi di sicurezza informatica, senza alcun obbligo di condividerli con investitori o altri clienti. Tuttavia, un rapporto congiunto del 2021 ha mostrato che nel 2020 solo il 17% delle aziende Fortune 100 intervistate ha segnalato problemi di sicurezza informatica ai membri del consiglio ogni anno o trimestralmente.
La SEC sembra desiderosa di cambiare questa situazione poiché ha trascorso la maggior parte del 2022 a presentare varie proposte che, se approvate, richiederebbero alle società pubbliche di riferire su attacchi e incidenti informatici.
Questo è il caso di Gestione del rischio di sicurezza informatica per consulenti per gli investimenti, società di investimento registrate e società di sviluppo aziendale proposta, pubblicata il 9 febbraio.
Nel documento, la SEC propone di introdurre nuove regole ai sensi dell'Investment Advisers Act del 1940 e dell'Investment Company Act del 1940 per richiedere a fondi e consulenti di attuare nuove politiche di sicurezza informatica. Secondo il documento, queste politiche e procedure sono specificamente progettate per affrontare i rischi di sicurezza informatica richiedendo alle aziende di segnalare alla SEC incidenti significativi di sicurezza informatica che interessano il consulente, il suo fondo o i clienti del fondo privato.
"Riteniamo che richiedere a consulenti e fondi di segnalare il verificarsi di incidenti di sicurezza informatica significativi rafforzerebbe l'efficienza e l'efficacia dei nostri sforzi per proteggere gli investitori, gli altri partecipanti al mercato e i mercati finanziari in relazione agli incidenti di sicurezza informatica", ha affermato la SEC nella proposta.
Jamil Farshchi, Chief Information Security Officer di Equifax, detto Bloomberg News che le regole proposte porterebbero la necessaria trasparenza alla leadership aziendale e richiederebbero una responsabilità senza precedenti quando si tratta di sicurezza informatica.
Più regole equivalgono a una SEC più forte
Molti credono che la recente spinta della SEC a svolgere un ruolo più attivo nel rafforzamento delle regole in materia di sicurezza informatica sia un risultato diretto dell'hacking di SolarWinds. Il famigerato evento è ampiamente considerato tra i peggiori incidenti di spionaggio informatico subiti dagli Stati Uniti, poiché il paese ha visto molte parti del suo governo federale presi di mira da un gruppo di hacker sostenuti dalla Russia.
Gli aggressori hanno infettato gli aggiornamenti di un appaltatore federale degli Stati Uniti, usandoli come trampolino di lancio per intromettersi in varie agenzie e aziende governative. In seguito all'hacking, la SEC ha inviato lettere a società che riteneva fossero a rischio a causa degli hack, richiedendo loro di riferire autonomamente se erano stati violati e il danno inflitto dagli hack.
Poiché la Commissione ha ricevuto un numero travolgente di rivelazioni, ha avviato il programma di amnistia, offrendo perdono alle società che alla fine hanno rispettato la richiesta di auto-segnalazione, anche se non avevano precedentemente rivelato l'incidente agli investitori.
All'epoca, la National Association of Corporate Directors, la Cyber Threat Alliance e SecurityScorecard definirono il programma "degno di nota", poiché segnalava la visione in evoluzione della SEC sul rischio informatico. Sachin Bansal, chief business e legal officer di SecurityScorecard, lo ha definito un momento di "spartiacque" per la SEC.
Ma, nonostante ciò, la nuova proposta della SEC lascia molte pietre di sorpresa.
Le nuove regole richiederanno alle aziende di rivelare incidenti informatici "materiali" o "significativi", se implementati. La SEC considera le informazioni "materiali" come qualsiasi informazione con una "probabilità sostanziale che un azionista ragionevole la consideri importante".
Molti trovano le definizioni della SEC troppo vaghe per portare una trasparenza significativa al mercato. La vaghezza significa anche che le regole sarebbero soggette a interpretazioni da parte della SEC caso per caso, lasciando spazio alle aziende per appellarsi a sentenze e stabilire precedenti che potrebbero rendere la proposta sostanzialmente priva di valore.
Tuttavia, c'è ancora spazio per migliorare. La SEC non voterà la proposta per altre poche settimane, lasciando ampio spazio ai partecipanti del settore per condividere le loro preoccupazioni e suggerimenti con la Commissione.
Non è chiaro come ciò influisca sull'industria delle criptovalute, con sempre più fondi di investimento che includono varie risorse digitali e derivati cripto nei loro portafogli. Tuttavia, le regole proposte potrebbero comportare molte rivelazioni provenienti dallo spazio crittografico.
Fonte: https://cryptoslate.com/the-sec-want-better-corporate-disclosures-about-hacks/