Ένα από τα πιο σημαντικά γεγονότα κυβερνοασφάλειας στην ιστορία πρόκειται να συμβεί για τον κλάδο των χρηματοοικονομικών υπηρεσιών με τη μορφή νέων νομοθετικών ρυθμίσεων.
Η SEC έχει προτείνει νέους κανονισμούς για την ασφάλεια στον κυβερνοχώρο που θα επηρεάσουν τις επιχειρήσεις FS
Οι νέοι κανόνες από την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) θα έχουν σημαντικό αντίκτυπο στις επιχειρήσεις που παρέχουν χρηματοοικονομικές υπηρεσίες και θα μπορούσαν να έχουν βαθιά επίδραση στην κουλτούρα της κυβερνοασφάλειας μόλις εγκριθούν.
Η νέα πρόταση της SEC
Η νέα πρόταση της Επιτροπής Κεφαλαιαγοράς θα επιβάλλει πλήρη διαφάνεια στον κυβερνοχώρο και λογοδοσία στο υψηλότερο επίπεδο επιχειρηματικής ηγεσίας —συμπεριλαμβανομένων των διοικητικών συμβουλίων— για όλες τις εταιρείες που ανήκουν στο δημόσιο. Θα επιβάλλει στις επιχειρήσεις να αναφέρουν σημαντικά συμβάντα κυβερνοασφάλειας στο Έντυπό τους 8-K.
Πρέπει επίσης να αποκαλύπτουν τις πολιτικές και τις πρακτικές της εταιρείας για τη διαχείριση κινδύνων κυβερνοασφάλειας, καθώς και τον τρόπο με τον οποίο η διοίκηση συμμετέχει στην εφαρμογή τους.
Η διαδικασία που χρησιμοποιεί το διοικητικό συμβούλιο της εταιρείας για την επίβλεψη του κινδύνου κυβερνοασφάλειας, καθώς και η τεχνογνωσία οποιουδήποτε μέλους του διοικητικού συμβουλίου σε θέματα ασφάλειας στον κυβερνοχώρο, πρέπει επίσης να γνωστοποιείται.
Αυτή η πρόταση θα βοηθήσει σε μεγάλο βαθμό να βοηθήσει τον κίνδυνο και τη στρατηγική για την ασφάλεια στον κυβερνοχώρο να γίνει μια συζήτηση σε επίπεδο συμβουλίου – μια εξέλιξη που απαιτείται από καιρό. Θα συμβάλει επίσης στην ενίσχυση των δαπανών των επιχειρήσεων για την ασφάλεια στον κυβερνοχώρο και θα αυξήσει τη ζήτηση για γνώσεις κυβερνοασφάλειας σε επίπεδο συμβουλίου. Και θα υπογραμμίσει επίσης τη σημασία της συμπερίληψης των CISO σε αυτές τις συζητήσεις και αποφάσεις σε επίπεδο συμβουλίου.
Σκάβοντας στις λεπτομέρειες
Στις 23 Μαρτίου 2022, η SEC υπέβαλε πρόταση για τη βελτίωση και την τυποποίηση των γνωστοποιήσεων που γίνονται από δημόσιες εταιρείες που υποχρεούνται να συμμορφώνονται με τις απαιτήσεις αναφοράς του νόμου περί ανταλλαγής κινητών αξιών του 1934. Οι απαιτήσεις αναφέρονται στη διαχείριση κινδύνων στον κυβερνοχώρο, τη στρατηγική, τη διακυβέρνηση και αναφορά περιστατικού. Ουσιαστικά συμβάντα στον κυβερνοχώρο θα πρέπει να αναφέρονται, οι πολιτικές και οι διαδικασίες για την ασφάλεια στον κυβερνοχώρο θα πρέπει να αποκαλύπτονται σε τακτική βάση και το διοικητικό συμβούλιο θα πρέπει να επιβλέπει τον κίνδυνο κυβερνοασφάλειας.
Όταν ένα χρηματοπιστωτικό ίδρυμα καταλήξει στο συμπέρασμα ότι είχε ένα σημαντικό περιστατικό ασφάλειας στον κυβερνοχώρο μετά τη θέσπιση νόμου αυτών των απαιτήσεων SEC, έχει τέσσερις εργάσιμες ημέρες για να το αποκαλύψει. Η έκθεση Form 8-K – την οποία οι επιχειρήσεις πρέπει να υποβάλουν στην Επιτροπή Κεφαλαιαγοράς για να ανακοινώσουν σημαντικά γεγονότα για τα οποία πρέπει να γνωρίζουν οι μέτοχοι – θα πρέπει να τροποποιηθεί ως μέρος της διαδικασίας γνωστοποίησης. Το νέο σχέδιο επιβάλλει επίσης την αποκάλυψη ενός αριθμού μεμονωμένων περιστατικών κυβερνοασφάλειας που δεν είχαν αναφερθεί προηγουμένως, τα οποία, συνολικά, έχουν σοβαρές συνέπειες.
Οι πολιτικές σας αποκαλύφθηκαν
Το νέο σχέδιο για τη διαχείριση κινδύνων, τη στρατηγική και τη γνωστοποίηση διακυβέρνησης είναι ακόμη πιο σημαντικό από την ενότητα αναφοράς περιστατικών της πρότασης. Οι πολιτικές και πρακτικές διαχείρισης κινδύνων στον κυβερνοχώρο μιας δημόσιας εταιρείας θα αποκαλυφθούν μέσω αυτής της ενότητας της πρότασης. Οι εταιρείες πρέπει επίσης να αποκαλύπτουν πώς το διοικητικό συμβούλιο εποπτεύει τον κίνδυνο κυβερνοασφάλειας.
Επιπλέον, οι εταιρείες πρέπει να αποκαλύπτουν τον ρόλο της εκτελεστικής διοίκησης στην αξιολόγηση του κινδύνου κυβερνοασφάλειας και στην εφαρμογή των πολιτικών και διαδικασιών της εταιρείας. Αυτή η διαδικασία είναι παρόμοια με τη δημοσίευση της «κάρτας αναφοράς» ενός οργανισμού στο διαδίκτυο για δημόσια αξιολόγηση και σχολιασμό.
Σύμφωνα με τον νέο κανονισμό, οι εταιρείες πρέπει να αποκαλύπτουν τις πολιτικές και τις διαδικασίες τους για τον εντοπισμό και τη διαχείριση των κινδύνων από επιθέσεις στον κυβερνοχώρο. Εάν δεν υπάρχει καμία, η SEC θα το σημειώσει και μπορεί να έχει σημαντικές συνέπειες, όπως πρόστιμα και κυρώσεις για μη συμμόρφωση. Οι εταιρείες θα πρέπει επίσης να πουν εάν η κυβερνοασφάλεια αποτελεί μέρος της εταιρικής στρατηγικής, του οικονομικού σχεδιασμού και της κατανομής κεφαλαίων τους.
Τελευταίο αλλά εξίσου σημαντικό, ο νέος κανονισμός ορίζει ότι κάθε μέλος του διοικητικού συμβουλίου που διαθέτει εμπειρογνωμοσύνη στον τομέα της κυβερνοασφάλειας πρέπει να το δηλώνει στην ετήσια έκθεση και σε ορισμένες δηλώσεις πληρεξουσίου. Το συμβούλιο θα πρέπει να έχει τόσο εσωτερικούς όσο και εξωτερικούς εμπειρογνώμονες σε θέματα κυβερνοασφάλειας (ΜΜΕ). Οι εξωτερικές ΜΜΕ θα πρέπει να παρέχουν εξειδικευμένες γνώσεις και οι εσωτερικές ΜΜΕ θα πρέπει να παρέχουν τη θεσμική γνώση.
Κυβερνοασφάλεια: επιτακτική ανάγκη ηγεσίας
Τα κομμάτια στην πανοπλία της κυβερνοασφάλειας δημιουργούνται από ανθρώπους. Το να κάνετε το προσωπικό σας αναπόσπαστο μέρος της λύσης και όχι του προβλήματος, είναι ο μόνος τρόπος για να αντιμετωπίσετε αυτήν την πραγματικότητα. Το διοικητικό συμβούλιο βρίσκεται συνήθως στην κορυφή της οργανωτικής δομής. Εδώ πρέπει να αρχίσει η προσοχή στους νέους κανόνες. Και πρέπει να εξοπλίσουν τους εργαζομένους με συνεχή εκπαίδευση και νέες τεχνολογίες.
Μία από τις πιο σημαντικές υποχρεώσεις εμπιστοσύνης που έχουν σήμερα οι διευθυντές και τα στελέχη είναι η ασφάλεια στον κυβερνοχώρο. Το συμβούλιο πρέπει να είναι βέβαιο ότι ακολουθούνται οι οδηγίες και οι πρακτικές για την ασφάλεια στον κυβερνοχώρο. Οι ηγέτες πρέπει να δημιουργήσουν και να καλλιεργήσουν μια κουλτούρα με επίγνωση των κινδύνων σε όλη την εταιρεία, η οποία επιτρέπει την καλύτερη λήψη αποφάσεων.
Συμμόρφωση στον ορίζοντα
Είτε το συνειδητοποιούμε είτε όχι, ο τομέας των χρηματοπιστωτικών υπηρεσιών είναι απαραίτητος για όλους μας. Πρέπει να ενισχυθεί και να προστατευθεί – και τώρα, όχι αργότερα.
Νέοι κανονισμοί προκύπτουν υπό το φως αυτού του γεγονότος και η συμμόρφωση δεν είναι προαιρετική. Οι εταιρείες πρέπει να ευθυγραμμίσουν τις πολιτικές και τις διαδικασίες τους με την SEC και άλλους διεθνείς ρυθμιστικούς φορείς, προκειμένου να κάνουν τον ψηφιακό κόσμο ασφαλέστερο τόσο για τους επενδυτές όσο και για τους καταναλωτές.
Σχετικά με τον Συγγραφέα:
Ο Michael Brown είναι υπεύθυνος CISO για χρηματοοικονομικές υπηρεσίες στην εταιρεία κυβερνοασφάλειας Fortinet.
Ειδικεύεται στους κανονισμούς κυβερνοασφάλειας, στον αντίκτυπο ESG, SD-WAN, SD-Branch, Zero Trust, ασφάλεια ηλεκτρονικών συναλλαγών χαμηλής καθυστέρησης, SASE και λύσεις multi-cloud.
- μυρμήγκι οικονομική
- BankingTech
- blockchain
- συνέδριο blockchain fintech
- chime fintech
- coinbase
- Coingenius
- Συμμόρφωση
- συνέδριο κρυπτογράφησης fintech
- Κυβερνασφάλεια
- Δεδομένα Analytics
- ψηφιακό
- Χρηματοοικονομικές υπηρεσίες / Finserv
- fintech
- καινοτομία fintech
- Fortinet
- OpenSea
- PayPal
- μισθός
- πληρωμές
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- platogaming
- ξυράφι
- Αναφορά
- revolut
- Ripple
- διαχείριση των κινδύνων
- τετράγωνο fintech
- ρίγα
- tencent fintech
- xero
- zephyrnet
