Companiile și CISO-urile lor s-ar putea confrunta cu amenzi și alte amenzi de la sute de mii la milioane de dolari din partea Comisiei pentru Valori Mobiliare și Burse (SEC) din SUA, dacă nu obțin procesele lor de securitate cibernetică și de dezvăluire a încălcării datelor pentru a se conforma. cu noi reguli care au intrat acum în vigoare.
Pentru cei care se pot găsi la capătul greșit al unei investigații, este important să știe că există o varietate de instrumente la dispoziția SEC pentru a le folosi pentru aplicare. Acestea cuprind o gamă variată de la o ordonanță permanentă care ordonă inculpatului să înceteze comportamentul care se află în centrul cauzei, până la rambursarea câștigurilor necuvenite, până la trei trepte de pedepse crescătoare care pot duce la amenzi astronomice.
În plus, SEC ar putea interzice o persoană din anumite roluri, cum ar fi un loc în consiliul de administrație al altor companii, în timp ce astfel de cazuri ar putea duce, de asemenea, la creșterea taxelor legale, daune reputației afacerii și directorilor și daune bănești din procesele acționarilor.
Regulile SEC de încălcare au dinți
Nu sunt încă în desfășurare acțiuni de executare, dar în multe privințe, cerința pe care companiile le impun dezvăluie orice incidente „materiale” de securitate cibernetică se încadrează în cadrul existent al SEC de investigație și sancțiuni. Una peste alta, companiile ar trebui să fie pregătite pentru ca SEC să investigheze.
Aceasta înseamnă să le împuternicească CISO cu capacitatea de a respecta regulile, spune Jena Valdetero, acționar și co-președinte al Practicii de confidențialitate și securitate cibernetică a datelor din SUA la firma de avocatură Greenberg Traurig, LLP.
„SEC a precizat foarte clar că aceasta este o prioritate de aplicare, așa că nu există nicio luptă cu Primăria în această privință”, spune ea, adăugând: „Cred că CISO au dreptate să fie foarte îngrijorați, deoarece SEC a a spus, „vom face ca banii să se oprească cu CISO”, [pentru că sunt] cea mai bună persoană care să știe ce măsuri de conformitate cu securitatea cibernetică sunt în vigoare și cu ce riscuri se confruntă.”
Acel „dolar” ar putea fi mai degrabă ca dolari Beaucup. SEC are în mod tradițional patru tipuri principale de sancțiuni, toate putând fi aplicate în domeniul cibernetic. Prima este o ordonanță permanentă, care împiedică o companie și persoanele fizice să continue un anumit tip de activitate. În al doilea rând, vărsarea câștigurilor obținute ilícit are ca rezultat penalități egale cu suma profitului presupus realizat prin fraudă sau nedezvăluire. În al treilea rând, ei pot solicita un ordin care să interzică o persoană să servească ca ofițer sau director, conform lui Steve Malina, acționar la Greenberg Traurig și fost avocat senior în filiala de aplicare a SEC.
Cu toate acestea, aceste trei forme de scutire sunt destul de mici în comparație cu potențialele amenzi bănești, spune el. Sancțiunile încep de la 5,000 USD per încălcare pentru orice încălcare a regulilor SEC și escaladează rapid la 100,000 USD per încălcare - sau 50,000 USD și 500,000 USD pentru organizații - în funcție de dacă a fost implicată fraudă și investitorii au fost vătămați. SEC poate, de asemenea, „să se deterioreze de fiecare dată când cred că ați încălcat legea și să numească asta o încălcare independentă”, spune el.
„Injoncțiunea permanentă – lăsând deoparte prejudiciul reputației – nu are o tonă de dinți; este doar un ordin că nu vei încălca din nou legea”, spune Malina. „Dar deversarea, sancțiunile monetare civile, au dinți adevărați și pot dăuna cu adevărat viitorului cuiva în afacere.”
Aceste sancțiuni nu includ daune reputației, procese ale acționarilor și costul apărării împotriva oricărei investigații sau proces, spune el.
Frica și dezgustul în C-Suite
În afară de sancțiunile tradiționale de executare, există și alte costuri înainte de acțiunile de aplicare a SEC.
Acțiunile de aplicare a SEC împotriva SolarWinds și a CISO Timothy Brown i-au surprins pe directori – poate mai mult decât reglementările SEC în sine. Fie că agenția își câștigă cazul, or SolarWinds și Brown se apără cu succes, cheltuiala litigiului și efectul acestuia asupra reputației companiei evidențiază prejudiciul pe care îl poate avea orice acțiune de executare a SEC.
Poate că cel mai îngrijorător pentru CISO este răspundere personală se confruntă pentru multe domenii ale operațiunilor de afaceri pentru care istoric nu au avut responsabilitate. Doar jumătate dintre CISO (54%) sunt încrezători în capacitatea lor de a respecta hotărârea SEC și două treimi dintre CISO (68%) se simt copleșiți în abordarea noilor reguli, conform un sondaj de 300 de directori realizat de AuditBoard, o platformă de risc și conformitate bazată pe cloud.
„Întotdeauna a existat răspundere în C-suite, dar CISO au acum un nivel de răspundere personală pe care nu l-au avut niciodată înainte”, spune Richard Marcus, vicepreședinte pentru securitatea informațiilor la companie. „Dacă nu aveți un proces stabilit pentru a gestiona acest lucru și luați decizia greșită și nu ați dezvăluit când ar fi trebuit, puteți fi tras personal răspunzător - o mulțime de CISO cu care vorbim sunt îngrijorat de asta.”
Toate acestea duc la a regândirea amplă a rolului CISO, spune Ken Fishkin, senior manager pentru securitatea informațiilor – în esență CISO interimar – pentru firma de avocatură Lowenstein Sandler LLP.
„Mulți oameni sunt foarte nervoși să fie într-o poziție ca a mea acum din cauza acestei responsabilități”, spune el. „Este o problemă a companiei, cu siguranță nu doar o problemă CISO. Toată lumea va fi foarte supărată în privința verificării declarațiilor - de ce ar trebui să spun asta? — fără ca legalul să-i dea binecuvântarea… pentru că sunt atât de îngrijorați că au acuzații împotriva lor pentru că au făcut o declarație.”
Îngrijorările se vor adăuga la costuri suplimentare pentru afaceri. Din cauza răspunderii suplimentare, companiile vor trebui să aibă mai multe cuprinzătoare Asigurare de răspundere pentru directori și ofițeri (D&O). care acoperă nu numai cheltuielile juridice pentru ca un CISO să se apere, ci și cheltuielile lor în timpul unei investigații.
Afacerile care nu vor plăti pentru a-și susține și proteja CISO s-ar putea găsi în imposibilitatea de a angaja pentru acest post, în timp ce, invers, CISO ar putea avea dificultăți în a găsi companii de sprijin, spune Josh Salmanson, vicepreședinte senior pentru soluții tehnologice la Telos Corp., un risc cibernetic. firma de management.
„Vom vedea mai puțini oameni care doresc să devină CISO sau oameni care cer salarii mult mai mari pentru că ei cred că ar putea fi un rol pe termen foarte scurt până când vor „fi declanșați” public”, spune el. „Numărul de oameni care vor avea un mediu cu adevărat ideal cu sprijinul companiei și finanțarea de care au nevoie va rămâne probabil mic.”
Politici stabilite, Bună-Credință, Păstrați note
Cu toate acestea, există o căptușeală de argint. Regula de dezvăluire a încălcării SEC a anunțat companiile că trebuie să acorde atenție securității și să aibă un proces în vigoare - inclusiv dovezi din discuțiile privind dacă un incident de securitate este semnificativ pentru investitori - dar acest lucru va duce probabil la organizații mai conștiente de securitate, spune Kathleen McGee, partener al Lowenstein Sandler LLP.
„Asigurați-vă că aveți o politică în vigoare înainte de producerea incidentului, că știți cine sunt părțile interesate, cine va face acele determinări și că documentați procesul, astfel încât, dacă SEC vine să sune și dorește să înțeleagă ce anume este Procesul de gândire a fost că aveți o explicație bună pregătită”, spune ea.
Acele companii și CISO care au o politică și o respectă probabil nu vor trebui să-și facă griji atât de mult cu privire la măsurile de aplicare, chiar dacă dovezile ulterioare ar putea arăta că decizia inițială a fost greșită, spune ea.
„Dacă [companiile și CISO-urile lor] decid, inițial, că un incident nu este material și apoi [ei] dau peste noi informații care mă fac să cred că a fost material”, vor avea timp – deși patru zile – să corectează înregistrarea, spune McGee.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cyber-risk/orgs-face-major-sec-penalties-failing-disclose-breaches
- :are
- :este
- :nu
- $UP
- 000
- 300
- 7
- a
- capacitate
- Despre Noi
- Conform
- peste
- actorie
- Acțiune
- acțiuni
- activitate
- adăuga
- adăugare
- plus
- Suplimentar
- din nou
- împotriva
- agenție
- înainte
- TOATE
- de asemenea
- mereu
- sumă
- an
- și
- Orice
- oriunde
- SUNT
- domenii
- AS
- deoparte
- At
- atenţie
- avocat
- înapoi
- bar
- baruri
- BE
- Urs
- deoarece
- fost
- înainte
- fiind
- Crede
- CEL MAI BUN
- binecuvântare
- bord
- Branch firma
- încălcarea
- încălcări
- Pauză
- adus
- maro
- afaceri
- întreprinderi
- dar
- by
- C-suite
- apel
- apel
- CAN
- caz
- cazuri
- prins
- înceta
- sigur
- taxe
- CISO
- Oraș
- civil
- clar
- clar
- Copreședinte
- cum
- vine
- comision
- Companii
- companie
- comparație
- conformitate
- măsuri de conformitate
- se conforma
- cuprinzător
- îngrijorat
- Conduce
- efectuat
- încrezător
- continuarea
- invers
- Corp
- corecta
- A costat
- Cheltuieli
- ar putea
- Covers
- Cyber
- Securitate cibernetică
- prejudiciu
- de date
- confidențialitatea datelor
- Zi
- abuzive
- decizie
- Apărarea
- categoric
- cerând
- În funcție
- determinare
- Director
- dezvălui
- dezvăluire
- discuții
- dispoziție
- do
- nu
- de dolari
- don
- jos
- în timpul
- efect
- împuternicirea
- capăt
- executare
- Mediu inconjurator
- egal
- escaladarea
- În esență,
- stabilit
- Chiar
- Fiecare
- toata lumea
- dovadă
- schimb
- directori
- existent
- cheltuieli
- explicație
- Față
- cu care se confruntă
- A eșuat
- în lipsa
- credinţă
- frică
- simţi
- Taxe
- luptă
- Găsi
- descoperire
- capăt
- Firmă
- First
- se potrivește
- urma
- Pentru
- Fost
- formulare
- patru
- Cadru
- fraudă
- din
- de finanțare
- viitor
- câștig
- obține
- Da
- merge
- plecat
- bine
- greenberg
- Pază
- HAD
- Jumătate
- Sală
- manipula
- rău
- Avea
- având în
- he
- inimă
- Held
- superior
- highlights-uri
- închiriere
- istoricește
- HTTPS
- sute
- i
- ideal
- if
- important
- in
- incident
- include
- Inclusiv
- independent
- individ
- persoane fizice
- informații
- securitatea informațiilor
- inițială
- inițial
- în
- investiga
- investigaţie
- Investitori
- implicat
- problema
- IT
- ESTE
- jpg
- doar
- A pastra
- Cunoaște
- mai tarziu
- Drept
- firma de avocatură
- proces
- Procese
- conduce
- conducere
- Conduce
- Legal
- mai puțin
- Nivel
- răspundere
- ca
- Probabil
- căptuşeală
- litigiu
- LLP
- Lot
- făcut
- Principal
- major
- face
- Efectuarea
- administrare
- manager
- multe
- Marcus
- material
- Mai..
- me
- mijloace
- măsuri
- Întâlni
- milioane
- Monetar
- mai mult
- cele mai multe
- mult
- trebuie sa
- Nevoie
- nu
- Nou
- Nu.
- notițe
- Înștiințare..
- acum
- număr
- of
- de pe
- Ofiţer
- ofițerii
- on
- ONE
- afară
- Operațiuni
- or
- comandă
- organizații
- Altele
- partener
- Plătește
- de plată
- penalități
- oameni
- pentru
- poate
- permanent
- persoană
- personal
- Personal
- Loc
- platformă
- Plato
- Informații despre date Platon
- PlatoData
- Politicile
- Politica
- poziţie
- potenţial
- practică
- preşedinte
- previne
- prioritate
- intimitate
- proces
- procese
- Profit
- proteja
- public
- pune
- Punând
- repede
- mai degraba
- RE
- gata
- real
- într-adevăr
- record
- regulament
- relief
- rămâne
- reputație
- cerință
- responsabilitate
- rezultat
- REZULTATE
- Richard
- dreapta
- Risc
- de gestionare a riscurilor
- Riscurile
- Rol
- rolurile
- Regula
- norme
- conducător
- Alerga
- s
- Said
- salarii
- Spune
- spune
- SEC
- sec acţiune de executare
- Acțiuni de executare SEC
- Al doilea
- Titluri de valoare
- Securities and Exchange Commission
- securitate
- vedea
- Căuta
- senior
- servire
- acționar
- ea
- Pe termen scurt
- să
- Arăta
- Silver
- singur
- mic
- So
- SolarWinds
- soluţii
- Cineva
- specific
- Sponsorizat
- părțile interesate
- Începe
- Declarație
- Declarații
- Steve
- Stop
- Reușit
- astfel de
- a sustine
- de susținere
- sigur
- Sondaj de opinie
- Vorbi
- Tehnologia
- decât
- acea
- Legea
- Comisia pentru Valori Mobiliare și Burse din SUA
- lor
- Lor
- se
- apoi
- Acolo.
- Acestea
- ei
- crede
- Al treilea
- acest
- aceste
- gândit
- mii
- trei
- Prin
- timp
- la
- Tonă
- Unelte
- tradiţional
- tradiţional
- necaz
- tip
- Tipuri
- incapabil
- înţelege
- In curs
- până la
- us
- Comisia pentru valori mobiliare și de schimb din SUA
- utilizare
- varietate
- foarte
- viciu
- Vicepreședinte
- a încălcat
- ÎNCĂLCARE
- doresc
- vrea
- a fost
- modalități de
- we
- au fost
- Ce
- cand
- dacă
- care
- în timp ce
- OMS
- de ce
- voi
- cu
- fără
- îngrijorat
- face griji
- Greșit
- încă
- Tu
- zephyrnet
