Organisationer står over for store SEC-straffe for ikke at afsløre brud

Virksomheder og deres CISO'er kan stå over for alt fra hundredtusindvis til millioner af dollars i bøder og andre sanktioner fra US Securities and Exchange Commission (SEC), hvis de ikke får deres cybersikkerhed og afsløringsprocesser for databrud for at overholde med nye regler, der nu er trådt i kraft.

For dem, der kan finde sig selv i den forkerte ende af en undersøgelse, er det vigtigt at vide, at der er en række værktøjer til SEC's rådighed, som kan bruges til håndhævelse. Disse spænder fra et permanent påbud, der pålægger sagsøgte at indstille adfærden i sagens kerne, til tilbagebetaling af dårligt opnåede gevinster, til tre niveauer af eskalerende sanktioner, der kan resultere i astronomiske bøder.

Derudover kan SEC udelukke en person fra visse roller, såsom en plads i bestyrelsen for andre virksomheder, mens sådanne sager også kan resultere i stigende advokatsalærer, skade på omdømmet for virksomheden og lederne og økonomiske skader fra aktionærretssager.

SEC Breach-reglerne har tænder

Der er endnu ingen håndhævelseshandlinger i gang, men på mange måder er kravet om, at virksomhederne afsløre eventuelle "væsentlige" cybersikkerhedshændelser passer ind i SEC's eksisterende rammer for efterforskning og sanktioner. Alt i alt burde virksomheder være klar til, at SEC undersøger sagen.

Det betyder at styrke deres CISO'er med evnen til at overholde reglerne, siger Jena Valdetero, aktionær og medformand for US Data Privacy and Cybersecurity Practice hos advokatfirmaet Greenberg Traurig, LLP. 

"SEC har gjort det meget klart, at dette er en håndhævelsesprioritet, så der er virkelig ikke noget rådhus, der kæmper om dette," siger hun og tilføjer, "Jeg tror, ​​at CISO'er har ret til at være meget bekymrede, fordi SEC klart har sagde, 'vi vil få pengene til at stoppe med CISO', [fordi de er] den bedste person til at vide, hvilke cybersikkerhedsoverholdelsesforanstaltninger der er på plads, og hvilke risici de står over for."

Den "buk" kunne mere ligne beaucup-bukke. SEC har traditionelt fire hovedtyper af sanktioner, som alle kan bringes i anvendelse på cyberområdet. Det første er et permanent påbud, som forhindrer en virksomhed og enkeltpersoner i at fortsætte en bestemt type aktivitet. For det andet resulterer bortskaffelsen af ​​dårligt opnåede gevinster i sanktioner svarende til mængden af ​​fortjeneste, der angiveligt er opnået gennem svig eller hemmeligholdelse. For det tredje kan de søge en ordre, der forhindrer en person i at tjene som officer eller direktør, ifølge Steve Malina, en aktionær hos Greenberg Traurig og tidligere senioradvokat i SEC's håndhævelsesafdeling.

Men disse tre former for lempelse er ret små sammenlignet med de potentielle pengebøder, siger han. Straffen starter ved $5,000 pr. overtrædelse for ethvert brud på SEC-reglerne og eskalerer hurtigt til $100,000 pr. overtrædelse - eller $50,000 og $500,000 for organisationer - afhængigt af om bedrageri var involveret, og investorer blev skadet. SEC kan også "bryde sammen hver eneste gang, de tror, ​​du har overtrådt loven og kalde det en uafhængig overtrædelse," siger han.

"Det permanente påbud - hvis man lægger skaden på omdømmet til side - har ikke et ton af tænder; det er bare en ordre om, at man ikke kommer til at overtræde loven igen,” siger Malina. "Men disgorgementet, de civile monetære sanktioner, de har rigtige tænder, og de kan virkelig skade nogens fremtid i branchen."

Disse sanktioner inkluderer ikke skade på omdømme, aktionærsøgsmål og omkostningerne ved at forsvare sig mod enhver undersøgelse eller retssag, siger han.

Frygt og afsky i C-suiten

Bortset fra traditionelle håndhævelsesstraffe er der andre omkostninger forude fra SEC-håndhævelsesforanstaltninger.

SEC-håndhævelsesaktionerne mod SolarWinds og dets CISO Timothy Brown fangede ledere på vagt - måske mere end selve SEC-reglerne. Om agenturet vinder sin sag, or SolarWinds og Brown forsvarer sig med succes, udgiften til retssagen og dens indvirkning på virksomhedens omdømme fremhæver den skade, som enhver SEC-håndhævelseshandling kan have.

Måske mest bekymrende for CISO'er er personligt ansvar de står over for mange områder af forretningsdriften, som de historisk set ikke har haft ansvar for. Kun halvdelen af ​​CISO'erne (54 %) er sikre på deres evne til at overholde SEC's afgørelse, og to tredjedele af CISO'er (68%) føler sig overvældet i håndteringen af ​​de nye regler, iflg en undersøgelse af 300 ledere udført af AuditBoard, en cloud-baseret risiko- og overholdelsesplatform.

"Der har altid været ansvar i C-suiten, men CISO'er har nu et niveau af personligt ansvar, som de aldrig har haft før," siger Richard Marcus, vicepræsident for informationssikkerhed i virksomheden. "Hvis du ikke har en proces fastgjort til at håndtere dette, og du træffer den forkerte beslutning, og du undlod at oplyse, hvornår du burde have, kan du blive holdt personligt ansvarlig - mange CISO'er, som vi taler med, er bekymret over dette."

Alt dette fører til en bred gentænkning af CISO's rolle, siger Ken Fishkin, senior manager for informationssikkerhed - i det væsentlige den fungerende CISO - for advokatfirmaet Lowenstein Sandler LLP.

"Mange mennesker er meget nervøse for at være i en position som min nu på grund af dette ansvar," siger han. “Det er et firmaspørgsmål, bestemt ikke kun CISO-spørgsmål. Alle vil være meget betænkelige ved at undersøge udtalelser - hvorfor skulle jeg sige dette? - uden at have lovligt give det deres velsignelse ... fordi de er så bekymrede over at have anklager mod dem for at have afgivet en erklæring."

Bekymringerne vil stige til yderligere omkostninger for virksomhederne. På grund af det ekstra ansvar, bliver virksomhederne nødt til at have mere omfattende Directors and Officers (D&O) ansvarsforsikring som ikke kun dækker de juridiske udgifter for en CISO til at forsvare sig selv, men også for deres udgifter under en undersøgelse.

Virksomheder, der ikke vil betale for at støtte og beskytte deres CISO, kan finde sig selv ude af stand til at ansætte til stillingen, mens CISO'er omvendt kan have problemer med at finde støttende virksomheder, siger Josh Salmanson, senior vice president for teknologiløsninger hos Telos Corp., en cyberrisiko administrationsfirma.

"Vi kommer til at se færre mennesker, der ønsker at være CISO'er, eller folk, der kræver meget højere lønninger, fordi de tror, ​​det kan være en meget kortsigtet rolle, indtil de 'bliver busted' offentligt," siger han. "Antallet af mennesker, der vil have et virkelig ideelt miljø med støtte fra virksomheden og den finansiering, de har brug for, vil sandsynligvis forblive lille."

Etablerede politikker, god tro, hold noter

Alligevel er der en sølvbeklædning. SEC's regel om oplysning om brud har gjort virksomheder opmærksomme på, at de skal være opmærksomme på sikkerhed og have en proces på plads - herunder beviser fra diskussionerne om, hvorvidt en sikkerhedshændelse er væsentlig for investorer - men dette vil sandsynligvis føre til mere sikkerhedsbevidste organisationer, siger Kathleen McGee, partner med Lowenstein Sandler LLP.

"Sørg for, at du har en politik på plads, før hændelsen indtræffer, at du ved, hvem interessenterne er, hvem der vil træffe disse beslutninger, og at du dokumenterer processen, så hvis SEC ringer og vil forstå, hvad tankeproces var, man har en god forklaring klar,” siger hun.

De virksomheder og CISO'er, der har en politik og følger den politik, behøver sandsynligvis ikke at bekymre sig så meget om håndhævelseshandlinger, selvom senere beviser kan vise, at den oprindelige beslutning var forkert, siger hun.

"Hvis [virksomheder og deres CISO'er] i første omgang beslutter, at en hændelse ikke er væsentlig, og derefter [de] støder på ny information, der får mig til at tro, at den var væsentlig," vil de have tid - om end fire dage - til at ret rekorden, siger McGee.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyber-risk/orgs-face-major-sec-penalties-failing-disclose-breaches