Finantsteenuste sektoris on uute seadusandlike regulatsioonide näol toimumas üks ajaloo olulisimaid küberjulgeoleku sündmusi.
SEC on välja pakkunud uued küberturvalisuse eeskirjad, mis mõjutavad FS-i ettevõtteid
USA väärtpaberi- ja börsikomisjoni (SEC) uued reeglid avaldavad märkimisväärset mõju finantsteenuseid pakkuvatele ettevõtetele ja võivad pärast vastuvõtmist avaldada sügavat mõju küberjulgeolekukultuurile.
SECi uus ettepanek
SEC-i uus ettepanek kohustab kõigi avalik-õiguslike ettevõtete jaoks täielikku küberjulgeoleku läbipaistvust ja vastutust ettevõtte kõrgeimal juhtimistasandil, sealhulgas direktorite nõukogudel. See kohustab ettevõtteid teatama olulistest küberjulgeoleku sündmustest oma vormil 8-K.
Samuti peavad nad avalikustama ettevõtte küberjulgeolekuriskide maandamise põhimõtted ja tavad, samuti selle, kuidas juhtkond nende rakendamises osaleb.
Samuti tuleb avalikustada protsess, mida ettevõtte juhatus kasutab küberjulgeolekuriskide jälgimiseks, ja iga juhatuse liikme küberjulgeolekualased teadmised.
See ettepanek aitab oluliselt kaasa küberjulgeolekuriskide ja -strateegiate muutumisele juhatuse tasemel vestluseks – see on ammu vajalik areng. Samuti aitab see suurendada ettevõtete kulutusi küberturvalisusele ja suurendada nõudlust küberjulgeolekualaste teadmiste järele juhatuse tasandil. Ja see rõhutab ka CISOde kaasamise tähtsust nendesse juhatuse tasandi vestlustesse ja otsustesse.
Detailidesse süvenemine
SEC esitas 23. märtsil 2022 ettepaneku parandada ja standardida avalikustamist, mida avalikustavad avalik-õiguslikud ettevõtted, kes peavad järgima 1934. aasta väärtpaberibörsi seaduse aruandlusnõudeid. Nõuded puudutavad küberjulgeoleku riskide juhtimist, strateegiat, juhtimist ja juhtumite aruandlus. Olulistest küberjulgeoleku sündmustest tuleks teatada, küberjulgeoleku põhimõtteid ja protseduure tuleks regulaarselt avalikustada ning juhatus peaks küberjulgeolekuriskide üle jälgima.
Kui finantsasutus jõuab pärast nende SEC-i nõuete seaduseks saamist järeldusele, et neil on olnud oluline küberjulgeolekuintsident, on tal selle avalikustamiseks aega neli tööpäeva. Vormi 8-K aruannet – mille ettevõtted peavad SEC-ile esitama, et teatada olulistest sündmustest, millest aktsionärid peavad teadma – tuleb avalikustamisprotsessi osana muuta. Uus plaan näeb ette ka mitmete varem teatamata üksikute küberjulgeolekuintsidentide avalikustamise, millel on kokkuvõttes tõsised tagajärjed.
Teie poliitika tuli ilmsiks
Uus riskijuhtimise, strateegia ja juhtimise avalikustamise kava on veelgi olulisem kui ettepaneku vahejuhtumite aruandluse jaotis. Avalik-õigusliku ettevõtte küberturvalisuse riskijuhtimise põhimõtted ja tavad avalikustatakse ettepaneku selles jaotises. Ettevõtted peavad ka avalikustama, kuidas juhatus küberjulgeolekuriskide üle järelevalvet teostab.
Lisaks peavad ettevõtted avalikustama tegevjuhtkonna rolli küberjulgeolekuriskide hindamisel ning ettevõtte poliitikate ja protseduuride elluviimisel. See protsess sarnaneb organisatsiooni "aruandekaardi" veebi postitamisega avalikuks ülevaatamiseks ja kommenteerimiseks.
Uue määruse kohaselt peavad ettevõtted avalikustama oma poliitikad ja protsessid küberturberünnakutest tulenevate riskide tuvastamiseks ja juhtimiseks. Kui ükski neist ei ole paigas, märgib SEC selle ja see võib kaasa tuua suuri tagajärgi, nagu trahvid ja karistused nõuete täitmata jätmise eest. Samuti peavad ettevõtted ütlema, kas küberturvalisus on osa nende ettevõtte strateegiast, finantsplaneerimisest ja kapitali jaotusest.
Viimaseks, kuid mitte vähemtähtsaks, kohustab uus määrus, et kõik juhatuse liikmed, kellel on küberjulgeolekualased teadmised, peavad seda aastaaruandes ja mõnes volikirjas deklareerima. Juhatuses peaksid olema nii sisemised kui ka välised küberturvalisuse valdkonna eksperdid (VKEd). Välised VKEd peaksid pakkuma eriteadmisi ja sisemised VKEd institutsionaalseid teadmisi.
Küberjulgeolek: juhtimine on hädavajalik
Küberjulgeoleku raudrüü lõhed on inimeste loodud. Ainus viis selle reaalsusega toimetulemiseks on muuta oma töötajad pigem lahenduse kui probleemi lahutamatuks osaks. Juhatus on tavaliselt organisatsioonilise struktuuri tipus; siin tuleb hakata tähelepanu pöörama uutele reeglitele. Ja nad peavad varustama töötajaid pideva koolituse ja uute tehnoloogiatega.
Üks olulisemaid usalduskohustusi, mis direktoritel ja ametnikel täna on, on küberjulgeolek. Juhatus peab olema kindel, et järgitakse küberturvalisuse juhiseid ja tavasid. Juhid peavad kogu ettevõttes looma ja kasvatama riskiteadlikku kultuuri, mis võimaldab paremaid otsuseid langetada.
Vastavus silmapiiril
Kas me mõistame seda või mitte, on finantsteenuste sektor meile kõigile oluline. Seda tuleb tugevdada ja kaitsta – ja nüüd, mitte hiljem.
Selle asjaolu valguses tekivad uued eeskirjad ja nende järgimine ei ole vabatahtlik. Ettevõtted peavad viima oma poliitikad ja protseduurid kooskõlla SEC-i ja teiste rahvusvaheliste reguleerivate asutustega, et muuta digimaailm nii investoritele kui ka tarbijatele turvalisemaks.
Andmeid autor:
Michael Brown on küberjulgeolekufirma Fortinet finantsteenuste valdkonna CISO.
Ta on spetsialiseerunud küberturvalisuse eeskirjadele, ESG mõjule, SD-WAN-ile, SD-Branchile, Zero Trustile, madala latentsusega elektroonilisele kauplemise turvalisusele, SASE-le ja mitme pilve lahendustele.
- sipelga rahaline
- Pangandustehnoloogia
- blockchain
- plokiahela konverents fintech
- fintech
- coinbase
- coingenius
- Vastavus
- krüptokonverents fintech
- Küberturvalisus
- Andmete analüüs
- digitaalne
- Finantsteenused/Finserv
- FINTECH
- fintech innovatsioon
- Fortinet
- OpenSea
- PayPal
- paytech
- väljamakse
- Platon
- plato ai
- Platoni andmete intelligentsus
- PlatoData
- platogaming
- razorpay
- Aruandlus
- revolut
- Ripple
- riskijuhtimise
- square fintech
- triip
- tencent fintech
- fotokopeeraparaat
- sephyrnet
