違反を開示しなかった組織は SEC の重大な罰金に直面する

企業とその CISO は、サイバーセキュリティとデータ侵害の開示プロセスを遵守しない場合、米国証券取引委員会 (SEC) から数十万ドルから数百万ドルの罰金やその他の罰金に直面する可能性があります。とともに 現在施行されている新しいルール.

調査の結果、間違った結末に陥った可能性がある人にとって、SEC には執行のために自由に使えるさまざまなツールがあることを知っておくことが重要です。これらは、訴訟の核心である行為の停止を被告に命じる永久差し止め命令から、不法利得の返済、さらには天文学的な罰金をもたらす可能性のある3段階の段階的罰則に至るまで、多岐にわたります。

さらに、SECは個人に対して他社の取締役会の席など特定の役割を禁止する可能性があるが、そのようなケースでは訴訟費用の増大、企業や経営陣への風評被害、株主訴訟による金銭的損害が発生する可能性もある。

SEC違反規則には効果がある

まだ強制的な措置は講じられていませんが、多くの点で、企業は次のような要件を満たしています。 「重大な」サイバーセキュリティインシデントを開示する SEC の既存の調査と罰則の枠組みに適合します。全体として、企業は SEC の調査に備える必要があります。

それは、CISO にルールを遵守する能力を与えることを意味すると、法律事務所 Greenberg Traurig, LLP の株主で米国データ プライバシーおよびサイバーセキュリティ プラクティスの共同議長である Jena Valdetero 氏は述べています。 

「SEC は、これが執行上の優先事項であることを明確にしています。したがって、この件に関して市役所と争うことは実際にはありません。」と彼女は言い、さらに付け加えました。「CISO が非常に懸念するのは当然だと思います。SEC は明らかに「私たちはCISOと協力して何とかやっていくつもりです」と彼は言いました。[彼らは]どのようなサイバーセキュリティコンプライアンス対策が講じられているか、そしてどのようなリスクに直面しているかを知るのに最適な人物だからです。」

その「バック」は、ボーカップバックに似ているかもしれません。 SEC には伝統的に 4 つの主な種類の罰則があり、そのすべてがサイバー領域に適用される可能性があります。 1 つ目は永久差し止め命令で、企業や個人が特定の種類の活動を継続することを禁止します。第二に、不正に得た利益を剥奪すると、詐欺や非開示によって得られたとされる利益の額と同額の罰金が課せられます。グリーンバーグ・トラウリグ社の株主であり、SEC執行部の元上級弁護士であるスティーブ・マリナ氏によると、第三に、個人が役員や取締役を務めることを禁止する命令を求めることができるという。

しかし、これら 5,000 つの救済形態は、潜在的な罰金に比べればかなり小さいと彼は言います。 SEC 規則違反に対する罰金は違反 100,000 件につき 50,000 ドルから始まり、詐欺が関与していて投資家に損害が発生したかどうかに応じて、すぐに違反 500,000 件あたり XNUMX ドル、または組織の場合は XNUMX ドルと XNUMX ドルにまで拡大します。また、SEC は「あなたが法律に違反したと思われるたびに、それを独自の違反と呼ぶこともあります」と彼は言います。

「風評被害はさておき、永久差し止め命令にはそれほど歯止めがかからない。それは、二度と法律に違反しないようにという命令にすぎません」とマリナさんは言います。 「しかし、デゴルジュマンや民事罰金は本物であり、ビジネスにおける誰かの将来に本当に害を及ぼす可能性があります。」

これらの罰則には、風評被害、株主訴訟、捜査や訴訟に対する弁護費用は含まれていない、と同氏は言う。

経営幹部の恐怖と嫌悪

従来の執行罰則とは別に、SEC の執行活動には他のコストがかかります。

SolarWinds とその CISO である Timothy Brown に対する SEC の強制措置は、おそらく SEC の規制そのもの以上に、経営陣の不意を突いたものでした。代理店かどうか 勝訴し、 or SolarWinds と Brown は自らの防衛に成功しました、訴訟費用とそれが会社の評判に及ぼす影響は、SECの執行措置が及ぼす可能性のある損害を浮き彫りにしています。

おそらく CISO にとって最も懸念されるのは、 個人的責任 彼らは、これまで責任を負っていなかった事業運営の多くの分野に直面しています。 CISO の半数 (54%) だけが SEC の裁定に従う能力に自信を持っています。 CISO の 68 分の XNUMX (XNUMX%) が圧倒されていると感じている 新しいルールに対処するにあたって、 AuditBoardが300人の幹部を対象に実施した調査、クラウドベースのリスクおよびコンプライアンス プラットフォームです。

同社の情報セキュリティ担当バイスプレジデント、リチャード・マーカス氏は「経営幹部には常に責任が存在するが、CISOは今までにないレベルの個人責任を負っている」と語る。 「これに対処するためのプロセスが確立されておらず、間違った決定を下し、開示すべき時期に開示を怠った場合、個人的な責任を問われる可能性があります。私たちが話を聞いている CISO の多くは、これが気になる。」

そのすべてが、 CISO の役割を幅広く再考すると法律事務所Lowenstein Sandler LLPの情報セキュリティ担当シニアマネージャー、実質的にはCISO代理のKen Fishkin氏は言う。

「この責任のために、多くの人が今、私のような立場に立つことに非常に不安を感じています」と彼は言います。 「これは企業の問題であり、CISO だけの問題ではありません。誰もが声明を精査することについて非常に警戒するでしょう - なぜ私がこれを言わなければならないのでしょうか？ —法的な許可も得ずに…なぜなら、彼らは声明を出したことで告発されることを非常に心配しているからです。」

この懸念が企業にとって追加コストを増大させることになる。追加の責任があるため、企業はより包括的な責任を負う必要があります。 取締役および役員 (D&O) 賠償責任保険 これは、CISO が弁護するための訴訟費用だけでなく、調査中の費用もカバーします。

CISOのサポートと保護にお金を払わない企業はそのポジションに採用できなくなる可能性があり、逆にCISOは協力的な企業を見つけるのに苦労する可能性がある、とテロス社テクノロジーソリューション担当シニアバイスプレジデントのジョシュ・サルマンソン氏はサイバーリスクを指摘する。管理会社。

「CISOになりたい人や、公に『逮捕される』までの非常に短期間の役割かもしれないと考えて、はるかに高い給与を要求する人は少なくなるだろう」と彼は言う。 「会社からのサポートと必要な資金を得て、本当に理想的な環境を手にできる人の数は、おそらく少数にとどまるでしょう。」

確立されたポリシー、誠実さ、メモの保管

それでも、明るい兆しはある。 SEC の侵害開示規則により、企業はセキュリティに注意を払い、セキュリティインシデントが投資家にとって重要かどうかの議論から得られる証拠を含むプロセスを整備する必要があると認識されていますが、これはおそらく次のような問題につながるでしょう。 よりセキュリティ意識の高い組織とLowenstein Sandler LLPのパートナーであるKathleen McGee氏は語ります。

「インシデントが発生する前にポリシーを定め、利害関係者が誰で、誰が決定を下すのかを把握し、プロセスを文書化して、SEC から電話がかかってきて何が問題なのかを知りたがった場合に備えてください。思考プロセスは、適切な説明が用意されているということでした」と彼女は言います。

ポリシーを持ち、そのポリシーに従っている企業や CISO は、たとえ最初の決定が間違っていたことが後の証拠で示されたとしても、執行措置についてそれほど心配する必要はないだろう、と彼女は言う。

「（企業とその CISO が）最初はインシデントは重大ではないと判断し、その後、それが重大であると信じさせるような新しい情報に遭遇した場合」、たとえ 4 日間であっても、彼らには次のことを行う時間が与えられます。記録を修正してください、とマギーは言う。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/cyber-risk/orgs-face-major-sec-penalties-failing-disclose-breaches