Organisasi Menghadapi Hukuman Besar SEC karena Gagal Mengungkapkan Pelanggaran

Perusahaan dan CISO mereka dapat menghadapi denda ratusan ribu hingga jutaan dolar dan hukuman lainnya dari Komisi Sekuritas dan Bursa AS (SEC), jika mereka tidak melakukan proses pengungkapan keamanan siber dan pelanggaran data untuk mematuhinya. dengan peraturan baru yang kini mulai berlaku.

Bagi mereka yang mungkin berada di pihak yang salah dalam penyelidikan, penting untuk mengetahui bahwa ada berbagai alat yang dapat digunakan SEC untuk penegakan hukum. Mulai dari perintah permanen yang memerintahkan terdakwa untuk menghentikan tindakan yang menjadi inti kasus, hingga membayar kembali keuntungan yang diperoleh secara tidak sah, hingga tiga tingkat hukuman yang lebih berat yang dapat mengakibatkan denda yang sangat besar.

Selain itu, SEC dapat melarang seseorang untuk menduduki peran tertentu, seperti kursi di dewan direksi perusahaan lain, sementara kasus tersebut juga dapat mengakibatkan meningkatnya biaya hukum, kerusakan reputasi pada bisnis dan eksekutif, dan kerugian moneter akibat tuntutan hukum pemegang saham.

Aturan Pelanggaran SEC Memiliki Gigi

Belum ada tindakan penegakan hukum yang dilakukan, namun dalam banyak hal, perusahaan sudah mewajibkan hal tersebut mengungkapkan setiap insiden keamanan siber yang “materi”. cocok dengan kerangka investigasi dan hukuman SEC yang ada. Secara keseluruhan, perusahaan harus siap menghadapi investigasi SEC.

Hal ini berarti memberdayakan CISO mereka dengan kemampuan untuk memenuhi aturan, kata Jena Valdetero, pemegang saham dan salah satu ketua Praktik Privasi Data dan Keamanan Siber AS di firma hukum Greenberg Traurig, LLP. 

“SEC telah memperjelas bahwa ini adalah prioritas penegakan hukum, jadi Balai Kota tidak perlu mempermasalahkan hal ini,” katanya, sambil menambahkan, “Saya pikir CISO berhak untuk merasa sangat khawatir, karena SEC jelas-jelas telah melakukan hal ini. mengatakan, 'kami akan menghentikan upaya ini dengan CISO,' [karena mereka] adalah orang terbaik yang mengetahui langkah-langkah kepatuhan keamanan siber yang diterapkan dan risiko apa yang mereka hadapi.”

“Uang” itu bisa jadi lebih seperti uang beaucup. SEC secara tradisional memiliki empat jenis hukuman utama, yang semuanya dapat diterapkan di dunia maya. Yang pertama adalah perintah permanen, yang mencegah perusahaan dan individu melanjutkan jenis aktivitas tertentu. Kedua, pencairan keuntungan yang diperoleh secara tidak sah akan dikenakan denda yang setara dengan jumlah keuntungan yang konon diperoleh melalui penipuan atau ketidakterbukaan. Ketiga, mereka dapat meminta perintah yang melarang seseorang menjabat sebagai pejabat atau direktur, menurut Steve Malina, pemegang saham Greenberg Traurig dan mantan pengacara senior di cabang penegakan SEC.

Namun, ketiga bentuk keringanan tersebut masih terbilang kecil jika dibandingkan dengan potensi denda moneter, katanya. Denda mulai dari $5,000 per pelanggaran untuk setiap pelanggaran peraturan SEC dan dengan cepat meningkat menjadi $100,000 per pelanggaran — atau $50,000 dan $500,000 untuk organisasi — bergantung pada apakah ada penipuan yang terlibat dan investor dirugikan. SEC juga dapat “menghancurkan setiap kali mereka menganggap Anda melanggar hukum dan menyebutnya sebagai pelanggaran independen,” katanya.

“Perintah permanen – mengesampingkan kerusakan reputasi – tidak berdampak banyak; ini hanya perintah agar Anda tidak melanggar hukum lagi,” kata Malina. “Tetapi pencairan dana, Hukuman Moneter Sipil, sangat berpengaruh, dan dapat membahayakan masa depan seseorang dalam bisnis ini.”

Hukuman tersebut tidak termasuk kerusakan reputasi, tuntutan hukum pemegang saham, dan biaya pembelaan terhadap penyelidikan atau tuntutan hukum apa pun, katanya.

Ketakutan dan Kebencian di C-Suite

Selain hukuman penegakan hukum tradisional, ada biaya lain yang harus ditanggung dari tindakan penegakan SEC.

Tindakan penegakan SEC terhadap SolarWinds dan CISO Timothy Brown membuat para eksekutif lengah — mungkin lebih dari sekadar peraturan SEC itu sendiri. Apakah agensinya memenangkan kasusnya, or SolarWinds dan Brown berhasil mempertahankan diri, biaya litigasi dan pengaruhnya terhadap reputasi perusahaan menyoroti kerugian yang dapat ditimbulkan oleh tindakan penegakan SEC.

Mungkin yang paling mengkhawatirkan bagi CISO adalah tanggung jawab pribadi mereka menghadapi banyak bidang operasi bisnis yang secara historis bukan merupakan tanggung jawab mereka. Hanya setengah dari CISO (54%) yang yakin akan kemampuan mereka untuk mematuhi keputusan SEC, dan dua pertiga CISO (68%) merasa kewalahan dalam menghadapi aturan baru, menurut survei terhadap 300 eksekutif yang dilakukan oleh AuditBoard, platform risiko dan kepatuhan berbasis cloud.

“Selalu ada tanggung jawab di C-suite, namun CISO kini memiliki tingkat tanggung jawab pribadi yang belum pernah mereka tanggung sebelumnya,” kata Richard Marcus, wakil presiden keamanan informasi perusahaan tersebut. “Jika Anda tidak memiliki proses yang ditetapkan untuk menangani hal ini, dan Anda membuat keputusan yang salah, dan Anda gagal mengungkapkan kapan Anda seharusnya melakukannya, Anda dapat dianggap bertanggung jawab secara pribadi — banyak CISO yang kami ajak bicara adalah khawatir tentang hal ini.”

Semua itu mengarah pada a memikirkan kembali secara luas peran CISO, kata Ken Fishkin, manajer senior keamanan informasi — yang pada dasarnya adalah penjabat CISO — untuk firma hukum Lowenstein Sandler LLP.

“Banyak orang merasa gugup berada di posisi seperti saya sekarang karena tanggung jawab ini,” katanya. “Ini masalah perusahaan, bukan hanya masalah CISO saja. Semua orang akan sangat curiga terhadap pernyataan pemeriksaan — mengapa saya harus mengatakan ini? — tanpa badan hukum memberikan restunya… karena mereka sangat khawatir akan dikenakan tuntutan terhadap mereka karena membuat pernyataan.”

Kekhawatiran ini akan menambah biaya tambahan bagi bisnis. Karena adanya tanggung jawab tambahan, perusahaan harus memiliki tanggung jawab yang lebih komprehensif Asuransi tanggung jawab Direktur dan Pejabat (D&O). yang tidak hanya mencakup biaya hukum bagi CISO untuk membela diri, namun juga biaya selama penyelidikan.

Perusahaan yang tidak mau membayar untuk mendukung dan melindungi CISO mereka mungkin tidak dapat merekrut posisi tersebut, sementara sebaliknya, CISO mungkin kesulitan menemukan perusahaan yang mendukung, kata Josh Salmanson, wakil presiden senior solusi teknologi di Telos Corp., sebuah cyber risk perusahaan manajemen.

“Kita akan melihat semakin sedikit orang yang ingin menjadi CISO, atau orang-orang yang menuntut gaji lebih tinggi karena mereka berpikir bahwa peran tersebut mungkin hanya bersifat jangka pendek sampai mereka 'terbongkar' di depan umum,” katanya. “Jumlah orang yang akan memiliki lingkungan yang ideal dengan dukungan dari perusahaan dan pendanaan yang mereka perlukan kemungkinan besar akan tetap kecil.”

Kebijakan yang Ditetapkan, Itikad Baik, Catat

Namun, ada hikmahnya. Aturan pengungkapan pelanggaran SEC telah memberi peringatan kepada perusahaan bahwa mereka harus memperhatikan keamanan dan menjalankan proses – termasuk bukti dari diskusi mengenai apakah insiden keamanan penting bagi investor – namun hal ini kemungkinan besar akan mengarah pada organisasi yang lebih sadar akan keamanan, kata Kathleen McGee, mitra Lowenstein Sandler LLP.

“Pastikan Anda memiliki kebijakan sebelum insiden terjadi, bahwa Anda mengetahui siapa pemangku kepentingannya, siapa yang akan membuat keputusan tersebut, dan bahwa Anda mendokumentasikan prosesnya, sehingga jika SEC datang dan ingin memahami apa yang terjadi. proses berpikirnya, Anda sudah menyiapkan penjelasan yang bagus,” katanya.

Perusahaan dan CISO yang memiliki kebijakan dan mengikuti kebijakan tersebut kemungkinan besar tidak perlu terlalu khawatir mengenai tindakan penegakan hukum, meskipun bukti selanjutnya mungkin menunjukkan bahwa keputusan awal tersebut salah, katanya.

“Jika [perusahaan dan CISO mereka] pada awalnya memutuskan bahwa suatu insiden tidak material, dan kemudian [mereka] menemukan informasi baru yang membuat saya percaya bahwa insiden tersebut material,” mereka akan memiliki waktu – meskipun empat hari – untuk perbaiki catatannya, kata McGee.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyber-risk/orgs-face-major-sec-penalties-failing-disclose-breaches