SEC đang yêu cầu các công ty không che giấu các chi tiết của các vụ hack

SEC đang yêu cầu các công ty không che giấu các chi tiết của các vụ hack

Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã đề xuất một quy tắc quản lý rủi ro an ninh mạng mới cho các công ty yêu cầu họ phải có thông tin khách hàng minh bạch hơn.

Các quy tắc mới sẽ được thực hiện dưới dạng sửa đổi đối với các hình thức tiết lộ an ninh mạng khác nhau và sẽ nhắm mục tiêu đến các cố vấn đầu tư, quỹ đầu cơ và nhà phát triển.

Không thể ẩn các bản hack an ninh mạng

Quy định chặt chẽ hơn về tiết lộ an ninh mạng không phải là một biện pháp mới của SEC. Năm 2018, cựu Ủy viên SEC Robert J. Jackson Jr cho biết các yêu cầu công bố thông tin hiện tại là “không thể chấp nhận được về mặt không công bố thông tin” và thường khiến các nhà đầu tư không biết khi công bố thông tin. Công ty đang phải đối mặt với hack hoặc các cuộc tấn công an ninh mạng khác.

Hiện tại, ban quản lý của công ty chỉ được yêu cầu thông báo cho hội đồng quản trị về các vấn đề an ninh mạng, không bắt buộc phải chia sẻ chúng với các nhà đầu tư hoặc khách hàng khác. Tuy nhiên, một báo cáo chung cho năm 2021 cho thấy đến năm 2020, chỉ có 17% ​​trong số 100 công ty được khảo sát bởi các thành viên hội đồng báo cáo của Fortune về các vấn đề an ninh mạng hàng năm hoặc hàng quý.

SEC dường như mong muốn thay đổi điều này, vì nó đã dành phần lớn thời gian của năm 2022 để trình bày các đề xuất khác nhau – nếu được thông qua – sẽ yêu cầu các công ty nhà nước báo cáo các cuộc tấn công và sự cố mạng.

Đây là trường hợp của đề xuất quản lý rủi ro an ninh mạng dành cho các cố vấn đầu tư, các công ty đầu tư đã đăng ký và các công ty phát triển kinh doanh được công bố vào ngày 9 tháng Hai.

Trong tài liệu, SEC đề xuất đưa ra các quy định mới theo Đạo luật Cố vấn Đầu tư năm 1940 và Đạo luật Công ty Đầu tư năm 1940 để yêu cầu các quỹ và cố vấn thực hiện chính sách an ninh mạng mới. Theo tài liệu, các chính sách và thủ tục này được thiết kế đặc biệt để giải quyết các rủi ro an ninh mạng, yêu cầu các công ty thông báo cho SEC về các sự cố an ninh mạng quan trọng ảnh hưởng đến các nhà tư vấn, tổ chức của họ, bản thân họ hoặc khách hàng của quỹ tư nhân.

“Chúng tôi tin rằng yêu cầu đối với các cố vấn và công cụ để báo cáo các sự cố an ninh mạng nghiêm trọng sẽ làm tăng hiệu lực và hiệu quả của các nỗ lực của chúng tôi để bảo vệ các nhà đầu tư, những người tham gia trên các thị trường khác và thị trường tài chính trong trường hợp xảy ra sự cố an ninh mạng.”

Jamil Farschi, giám đốc bảo mật thông tin của Equifax, cho biết các quy tắc được đề xuất sẽ mang lại sự minh bạch rất cần thiết cho ban quản lý của công ty và sẽ yêu cầu trách nhiệm giải trình chưa từng có khi nói đến an ninh mạng.

Nhiều quy tắc hơn có nghĩa là đôi cánh mạnh mẽ hơn cho SEC

Nhiều người tin rằng những nỗ lực gần đây của SEC nhằm đóng một vai trò tích cực hơn trong việc tăng cường các quy tắc an ninh mạng là kết quả trực tiếp của việc hack SolarWinds. Nhiều người coi sự kiện này là một trong những trường hợp gián điệp mạng tồi tệ nhất ở Hoa Kỳ, vì một phần của chính phủ liên bang đã bị nhắm mục tiêu bởi một nhóm tin tặc do Hoa Kỳ đứng đầu và ủng hộ Nga.

Những kẻ tấn công đã lây nhiễm bản cập nhật từ một nhà thầu liên bang của Hoa Kỳ, sử dụng nó như một bàn cờ để xâm nhập vào các cơ quan chính phủ và công ty khác nhau. Sau vụ trộm, SEC đã gửi thư tới các công ty mà họ cho là có nguy cơ bị trộm, yêu cầu được thông báo liệu họ có bị tấn công hay không và về thiệt hại do các cuộc tấn công gây ra.

Do SEC nhận được một số lượng lớn các thông tin tiết lộ, nên họ đã bắt đầu một chương trình ân xá – đề nghị tha thứ cho các công ty đã tuân thủ yêu cầu tự báo cáo, ngay cả khi trước đó họ chưa tiết lộ các yếu tố đó cho các nhà đầu tư.

Vào thời điểm đó, Hiệp hội Giám đốc Doanh nghiệp Quốc gia (NACD), Liên minh Đe dọa Mạng (CTA) và SecurityScorecard gọi chương trình là “tuyệt vời” vì nó báo hiệu lập trường tiến hóa của SEC về rủi ro mạng. Sachin Bansal, giám đốc kinh doanh và pháp lý tại SecurityScorecard, gọi thời điểm này là một “bước ngoặt” đối với SEC.

Các quy tắc mới sẽ yêu cầu các công ty tiết lộ các sự cố mạng “nghiêm trọng” hoặc “nghiêm trọng” nếu được thông qua. SEC coi thông tin “đáng kể” là bất kỳ thông tin nào có “khả năng đáng kể mà một cổ đông hợp lý sẽ coi đó là quan trọng.”

Nhiều người thấy các định nghĩa của SEC quá mơ hồ để mang lại bất kỳ sự minh bạch đáng kể nào cho thị trường. Sự không rõ ràng cũng có nghĩa là các quy tắc sẽ được giải thích theo từng trường hợp bởi SEC, để các công ty có cơ hội khiếu nại các quyết định và đặt ra các tiền lệ có thể làm mất hiệu lực của một đề nghị.

Tuy nhiên, vẫn còn nhiều chỗ để cải thiện. SEC vẫn chưa bỏ phiếu về đề xuất ngay lập tức và những người tham gia trong ngành có một vài tuần để chia sẻ mối quan tâm và khuyến nghị của họ với Ủy ban.

Không rõ điều này ảnh hưởng như thế nào đến ngành công nghiệp tiền điện tử – ngày càng có nhiều quỹ tương hỗ, bao gồm các tài sản kỹ thuật số và tiền điện tử khác nhau trong danh mục đầu tư của họ. Tuy nhiên, các quy tắc được đề xuất có thể làm cho không gian tiền điện tử trở nên cởi mở hơn.

Hãy cùng Telegram của Tạp chí Bitcoin theo dõi tin tức và bình luận về bài viết này: https://t.me/tapchibitcoinvn

Thầy giáo Mr.

Theo Cryptoslate

Theo dõi trang Twitter | Đăng ký Telegram | Theo dõi trang Facebook

Trả lời

Email của bạn sẽ không được hiển thị công khai.