A szervezeteket súlyos SEC-büntetéssel sújtják a jogsértések feltárásának elmulasztása miatt

A vállalatokat és CISO-kat több százezertől több millió dollárig terjedő pénzbírsággal és egyéb szankciókkal sújthatja az Egyesült Államok Értékpapír- és Tőzsdefelügyelete (SEC), ha nem kapják meg a kiberbiztonsági és adatszivárgási feltárási eljárásaikat annak érdekében, hogy megfeleljenek. a ... val új szabályok, amelyek most léptek életbe.

Azok számára, akik esetleg a nyomozás rossz végén találják magukat, fontos tudniuk, hogy a SEC számos eszközzel rendelkezik a végrehajtáshoz. Ezek az ügy középpontjában álló magatartás beszüntetését elrendelő tartós végzéstől a jogosulatlanul szerzett haszon visszafizetéséig a három fokozatú fokozódó büntetésekig terjednek, amelyek csillagászati ​​bírságot is eredményezhetnek.

Ezen túlmenően a SEC eltilthat egy magánszemélyt bizonyos szerepköröktől, például más társaságok igazgatótanácsában való részvételtől, miközben az ilyen esetek növekvő ügyvédi költségeket, a vállalkozás és a vezetők hírnevének sérelmét, valamint a részvényesi perekből származó pénzbeli károkat is eredményezhetik.

A SEC megsértési szabályainak van foga

Végrehajtási intézkedések még nem folynak, de sok tekintetben az a követelmény, hogy a vállalatok nyilvánosságra hozni minden „lényeges” kiberbiztonsági incidenst illeszkedik a SEC meglévő vizsgálati és büntetési keretei közé. Összességében a vállalatoknak készen kell állniuk a SEC vizsgálatára.

Ez azt jelenti, hogy fel kell ruházni a CISO-kat a szabályok betartására – mondja Jena Valdetero, a Greenberg Traurig, LLP ügyvédi iroda részvényese és társelnöke. 

"A SEC nagyon világossá tette, hogy ez egy végrehajtási prioritás, ezért ebben a kérdésben valójában nincs harc a városháza ellen" - mondja, majd hozzáteszi: "Úgy gondolom, hogy a CISO-k jogosan aggódnak, mert a SEC egyértelműen azt mondta: „A CISO-val leállítjuk a felelősséget”, [mert ők] tudják a legjobban, hogy milyen kiberbiztonsági megfelelőségi intézkedések vannak érvényben, és milyen kockázatokkal néznek szembe.

Ez a „baki” inkább beaucup-bakihoz hasonlíthat. A SEC-nek hagyományosan négy fő szankciótípusa van, amelyek mindegyike alkalmazható a kiberterületen. Az első egy végleges eltiltás, amely megakadályozza, hogy egy vállalat és egyének egy meghatározott típusú tevékenységet folytassanak. Másodszor, a jogosulatlanul szerzett haszon kivonása a csalással vagy a nyilvánosságra hozatallal állítólagosan elért haszon összegével megegyező büntetést von maga után. Harmadszor, olyan végzést kérhetnek, amely megtiltja az egyént, hogy tisztként vagy igazgatóként szolgáljon, Steve Malina, Greenberg Traurig részvényese és a SEC végrehajtási ágának volt vezető ügyvédje szerint.

Ez a három enyhítési forma azonban meglehetősen csekély a lehetséges pénzbírságokhoz képest – mondja. A szankciók szabálysértésenként 5,000 dollártól kezdődnek a SEC-szabályok megsértése esetén, és gyorsan 100,000 50,000 dollárra emelkednek – vagy szervezetek esetében 500,000 XNUMX és XNUMX XNUMX dollárra – attól függően, hogy csalás történt-e, és a befektetőket megsértették-e. A SEC „minden egyes alkalommal felbomolhat, amikor úgy gondolja, hogy Ön megsértette a törvényt, és ezt független jogsértésnek nevezheti” – mondja.

„A maradandó végzésnek – félretéve a jó hírnév károsodását – nem sok foga van; ez csak egy parancs, hogy többé ne szegje meg a törvényt – mondja Malina. "De az elvonás, a polgári pénzbüntetés, valódi fogaik vannak, és valóban árthatnak valakinek az üzletben."

Ezek a szankciók nem tartalmazzák a jó hírnév megsértését, a részvényesi pereket és a vizsgálatokkal vagy perekkel szembeni védekezés költségeit – mondja.

Félelem és gyűlölet a C-Suite-ban

A hagyományos végrehajtási szankciókon kívül a SEC végrehajtási intézkedései más költségekkel is járnak.

A SolarWinds és a CISO Timothy Brown elleni SEC végrehajtási intézkedései váratlanul értek a vezetőket – talán jobban, mint maguk a SEC-előírások. Akár az ügynökség nyeri az ügyet, or A SolarWinds és a Brown sikeresen védekezik, a per költsége és a cég hírnevére gyakorolt ​​hatása rávilágít arra, hogy a SEC bármely végrehajtási intézkedése milyen károkat okozhat.

A CISO-k számára talán a legaggasztóbb az személyes felelősség az üzleti műveletek számos olyan területével szembesülnek, amelyekért történelmileg nem volt felelősségük. A CISO-knak csak a fele (54%) bízik abban, hogy képes megfelelni a SEC döntésének, és a CISO-k kétharmada (68%) túlterheltnek érzi magát szerint az új szabályok kezelésében az AuditBoard által 300 vezető részvételével végzett felmérés, egy felhőalapú kockázati és megfelelőségi platform.

„Mindig is volt felelősség a C-suite-ban, de a CISO-k most olyan szintű személyes felelősséget vállalnak, mint korábban soha” – mondja Richard Marcus, a vállalat információbiztonsági alelnöke. „Ha nincs leszögezve egy folyamat ennek kezelésére, és rossz döntést hozol, és nem fedte fel, mikor kellett volna, akkor személyesen felelősségre vonható – sok CISO, akikkel beszélünk, aggódik emiatt.”

Mindez ahhoz vezet, hogy a a CISO szerepének átfogó újragondolása, mondja Ken Fishkin, a Lowenstein Sandler LLP ügyvédi iroda információbiztonsági vezetője – lényegében a megbízott CISO.

„Sokan nagyon idegesek amiatt, hogy e felelősség miatt most olyan helyzetbe kerüljenek, mint az enyém” – mondja. „Ez vállalati kérdés, határozottan nem csak a CISO-kérdés. Mindenki nagyon kedvetlen lesz a kijelentések átvilágításával kapcsolatban – miért mondjam ezt? – anélkül, hogy jogilag áldásukat adnák rá… mert annyira aggódnak amiatt, hogy vádat emelnek ellenük nyilatkozattétel miatt.”

A gondok további költségekkel járnak a vállalkozások számára. A többletfelelősség miatt a vállalatoknak átfogóbbnak kell lenniük Igazgatói és tisztségviselői (D&O) felelősségbiztosítás amely nemcsak a CISO-nak a védekezéshez szükséges jogi költségeit fedezi, hanem a nyomozás során felmerülő költségeiket is.

Azok a vállalkozások, amelyek nem fizetnek azért, hogy támogassák és megvédjék CISO-jukat, előfordulhat, hogy képtelenek felvenni ezt a pozíciót, míg fordítva, a CISO-knak gondot okozhat a támogató cégek megtalálása – mondja Josh Salmanson, a Telos Corp. technológiai megoldásokért felelős vezető alelnöke, kiberkockázat. menedzsment cég.

„Kevesebben fogunk látni, hogy CISO-k akarnak lenni, vagy olyanok, akik sokkal magasabb fizetést követelnek, mert úgy gondolják, hogy ez egy nagyon rövid távú szerepkör lehet, amíg nyilvánosan nem „bekapnak”” – mondja. „Valószínűleg csekély azoknak a száma, akiknek igazán ideális környezetük lesz a cég támogatásával és a szükséges finanszírozással.”

Megállapított irányelvek, jóhiszeműség, jegyzetelés

Ennek ellenére van egy ezüst bélés. A SEC szabálysértésekre vonatkozó közzétételi szabálya felhívta a vállalatok figyelmét arra, hogy figyelmet kell fordítaniuk a biztonságra, és be kell vezetniük egy folyamatot – ideértve az arra vonatkozó megbeszélések bizonyítékait is, hogy egy biztonsági incidens lényeges-e a befektetők számára –, de ez valószínűleg biztonságtudatosabb szervezetek, mondja Kathleen McGee, a Lowenstein Sandler LLP partnere.

„Győződjön meg arról, hogy az incidens bekövetkezte előtt rendelkezik egy szabályzattal, hogy tudja, kik az érintettek, kik fogják meghozni ezeket a döntéseket, és hogy dokumentálja a folyamatot, hogy ha a SEC telefonál, és meg akarja érteni, mit A gondolatmenet az volt, hogy készen áll egy jó magyarázat” – mondja.

Azoknak a vállalatoknak és CISO-knak, amelyeknek van politikájuk, és követik azt, valószínűleg nem kell annyira aggódniuk a végrehajtási intézkedések miatt, még akkor sem, ha a későbbi bizonyítékok azt mutatják, hogy az eredeti döntés helytelen volt, mondja.

„Ha [a vállalatok és CISO-ik] először úgy határoznak, hogy egy incidens nem lényeges, majd új információkra bukkannak, amelyek alapján azt hihetem, hogy lényeges volt”, lesz idejük – jóllehet négy napjuk –, hogy javítsa ki a rekordot – mondja McGee.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/cyber-risk/orgs-face-major-sec-penalties-failing-disclose-breaches