Kuruluşlar İhlalleri Açıklamamalarından Dolayı Büyük SEC Cezalarıyla Karşı Karşıya

Kuruluşlar İhlalleri Açıklamamalarından Dolayı Büyük SEC Cezalarıyla Karşı Karşıya

Zaman Damgası: 23 Şubat 2024 1:27
Kuruluşlar, PlatoBlockchain Veri İstihbaratındaki İhlalleri İfşa Etmedikleri İçin Büyük SEC Cezalarıyla Karşı Karşıya. Dikey Arama. Ai.

Şirketler ve onların CISO'ları, siber güvenlik ve veri ihlali açıklama süreçlerini uyumlu hale getirmezlerse, ABD Menkul Kıymetler ve Borsa Komisyonu'ndan (SEC) yüzbinlerce ila milyonlarca dolar arasında değişen para cezaları ve diğer cezalarla karşı karşıya kalabilirler ile şimdi yürürlüğe giren yeni kurallar.

Kendilerini bir soruşturmanın yanlış tarafında bulanlar için, SEC'in yaptırım amacıyla kullanabileceği çeşitli araçların bulunduğunu bilmek önemlidir. Bunlar, davalıya davanın merkezindeki davranışı durdurmasını emreden kalıcı bir tedbirden, haksız kazançların geri ödenmesine ve astronomik para cezalarıyla sonuçlanabilecek üç kademeli artan cezalara kadar geniş bir yelpazeyi kapsıyor.

Buna ek olarak SEC, bir kişiyi diğer şirketlerin yönetim kurulu üyeliği gibi belirli rollerden men edebilir; bu tür durumlar aynı zamanda artan yasal ücretlere, işletmenin ve yöneticilerin itibarının zarar görmesine ve hissedar davalarından kaynaklanan parasal zararlara yol açabilir.

SEC İhlal Kurallarının Dişleri Var

Henüz herhangi bir yaptırım eylemi gerçekleştirilmiyor ancak birçok açıdan şirketlerin herhangi bir “önemli” siber güvenlik olayını ifşa etmek SEC'in mevcut soruşturma ve ceza çerçevesine uyuyor. Sonuç olarak şirketlerin SEC'in soruşturmasına hazır olması gerekiyor.

Greenberg Traurig, LLP hukuk firmasının ABD Veri Gizliliği ve Siber Güvenlik Uygulaması hissedarı ve eş başkanı Jena Valdetero, bunun CISO'larını kurallara uyma becerisiyle güçlendirmek anlamına geldiğini söylüyor. 

"SEC bunun bir uygulama önceliği olduğunu çok açık bir şekilde ortaya koydu, dolayısıyla bu konuda Belediye Binası ile aslında bir kavga yok" diyor ve ekliyor: "CISO'ların bu kadar endişelenmekte haklı olduğunu düşünüyorum çünkü SEC açıkça 'CISO ile bu işi bitireceğiz' dedi; çünkü onlar, hangi siber güvenlik uyumluluk önlemlerinin yürürlükte olduğunu ve hangi risklerle karşı karşıya olduklarını bilen en iyi kişilerdir."

Bu "para" daha çok güzel paralara benzeyebilir. SEC'in geleneksel olarak dört ana ceza türü vardır ve bunların tümü siber dünyaya uygulanabilir. Bunlardan ilki, bir şirketin ve bireylerin belirli bir tür faaliyeti sürdürmesini engelleyen kalıcı tedbirdir. İkincisi, haksız kazançların dağıtılması, dolandırıcılık veya ifşa etmeme yoluyla elde edildiği iddia edilen kâr miktarına eşit cezalarla sonuçlanır. Üçüncüsü, Greenberg Traurig'in hissedarı ve SEC'in icra şubesindeki eski kıdemli avukat Steve Malina'ya göre, bir kişinin memur veya yönetici olarak görev yapmasını yasaklayan bir emir isteyebilirler.

Ancak kendisi, bu üç hafifletme şeklinin potansiyel para cezalarıyla karşılaştırıldığında oldukça küçük olduğunu söylüyor. Cezalar, SEC kurallarının herhangi bir ihlali durumunda ihlal başına 5,000 ABD dolarından başlıyor ve dolandırıcılığın söz konusu olup olmadığına ve yatırımcıların zarar görüp görmediğine bağlı olarak hızla ihlal başına 100,000 ABD dolarına veya kuruluşlar için 50,000 ABD doları ve 500,000 ABD dolarına yükseliyor. Ayrıca SEC, "yasayı ihlal ettiğinizi düşündükleri her seferinde çökebilir ve bunu bağımsız bir ihlal olarak adlandırabilir" diyor.

“İtibarın zarar görmesi bir yana bırakılırsa, kalıcı tedbirin pek bir anlamı yok; bu sadece yasayı bir daha ihlal etmeyeceğinize dair bir emirdir” diyor Malina. "Fakat düzensizlik, Sivil Para Cezaları, bunların gerçek dişleri var ve birinin iş dünyasındaki geleceğine gerçekten zarar verebilirler."

Bu cezalara itibar kaybı, hissedar davaları ve herhangi bir soruşturma veya davaya karşı savunma masraflarının dahil olmadığı belirtiliyor.

Üst Düzeyde Korku ve Nefret

Geleneksel yaptırım cezalarının yanı sıra, SEC yaptırım eylemlerinin önünde başka maliyetler de var.

SEC'in SolarWinds ve onun CISO'su Timothy Brown'a karşı uyguladığı yaptırımlar yöneticileri hazırlıksız yakaladı; belki de SEC düzenlemelerinden daha fazla. Ajans olsun davasını kazanır, or SolarWinds ve Brown kendilerini başarıyla savunuyorlardavanın maliyeti ve bunun şirketin itibarı üzerindeki etkisi, herhangi bir SEC yaptırım eyleminin verebileceği zararı vurgulamaktadır.

CISO'lar için belki de en endişe verici olan şey, kişisel sorumluluk tarihsel olarak sorumluluk sahibi olmadıkları birçok iş faaliyeti alanıyla karşı karşıyadırlar. CISO'ların yalnızca yarısı (%54) SEC'in kararına uyma yeteneklerinden emin ve CISO'ların üçte ikisi (%68) bunalmış hissediyor yeni kurallara göre, AuditBoard'un 300 yöneticiyle yaptığı anketbulut tabanlı bir risk ve uyumluluk platformu.

Şirketin bilgi güvenliğinden sorumlu başkan yardımcısı Richard Marcus, "Üst düzey yöneticilerin her zaman sorumlulukları vardı, ancak CISO'ların artık daha önce hiç sahip olmadıkları düzeyde kişisel sorumlulukları var" diyor. "Bunun üstesinden gelmek için belirlenmiş bir süreciniz yoksa ve yanlış karar verirseniz ve yapmanız gereken zamanı açıklamayı başaramazsanız, kişisel olarak sorumlu tutulabilirsiniz; konuştuğumuz birçok CISO bu konuda endişeleniyorum.”

Bütün bunlar bir şeye yol açıyor CISO'nun rolünün kapsamlı bir şekilde yeniden düşünülmesiLowenstein Sandler LLP hukuk firmasının bilgi güvenliğinden sorumlu kıdemli yöneticisi - esasen CISO vekili - Ken Fishkin diyor.

"Birçok insan bu sorumluluk nedeniyle şu anda benim gibi bir pozisyonda bulunmaktan dolayı çok gergin" diyor. “Bu bir şirket meselesi, kesinlikle sadece CISO meselesi değil. Herkes beyanların incelenmesi konusunda çok temkinli olacaktır; bunu neden söyleyeyim ki? - yasal izin almadan... çünkü açıklama yaptıkları için kendilerine karşı suçlamalarda bulunulacağından çok endişeleniyorlar.”

Endişeler işletmeler için ek maliyetlere neden olacaktır. Ek sorumluluk nedeniyle şirketlerin daha kapsamlı olması gerekecek Direktörler ve Memurlar (D&O) sorumluluk sigortası Bu sadece bir CISO'nun kendisini savunması için yapacağı yasal masrafları değil, aynı zamanda bir soruşturma sırasındaki masraflarını da kapsar.

Telos Corp.'un teknoloji çözümlerinden sorumlu kıdemli başkan yardımcısı Josh Salmanson, bir siber risk olan CISO'larını desteklemek ve korumak için ödeme yapmayan işletmelerin bu pozisyon için işe alım yapamayabileceğini, aksine CISO'ların destekleyici şirketler bulmakta zorluk yaşayabileceğini söylüyor. yönetim firması.

"CISO olmak isteyen daha az insan göreceğiz ya da çok daha yüksek maaş talep eden insanlar göreceğiz çünkü kamuoyu önünde 'yakalanana' kadar bunun çok kısa vadeli bir görev olabileceğini düşünüyorlar" diyor. "Şirketin desteğiyle ve ihtiyaç duydukları finansmanla gerçekten ideal bir ortama sahip olacak insan sayısı muhtemelen az kalacak."

Oluşturulan Politikalar, İyi Niyet, Not Tutun

Yine de gümüş bir astar var. SEC'in ihlali açıklama kuralı, şirketleri güvenliğe dikkat etmeleri ve bir güvenlik olayının yatırımcılar için önemli olup olmadığına ilişkin tartışmalardan elde edilen kanıtlar da dahil olmak üzere bir süreç oluşturmaları gerektiği konusunda uyardı; ancak bu muhtemelen güvenliğin daha bilinçli olduğu kuruluşlarLowenstein Sandler LLP'nin ortağı Kathleen McGee diyor.

"Olay meydana gelmeden önce bir politikanız olduğundan, paydaşların kim olduğunu bildiğinizden, bu tespitleri kimin yapacağını bildiğinizden ve süreci belgelediğinizden emin olun; böylece SEC gelip olayın ne olduğunu anlamak isterse düşünce süreci şuydu: Elinizde iyi bir açıklama var," diyor.

Bir politikası olan ve bu politikayı takip eden şirketlerin ve CISO'ların, daha sonraki kanıtlar ilk kararın yanlış olduğunu gösterse bile, yaptırım eylemleri konusunda muhtemelen çok fazla endişelenmelerine gerek kalmayacak, diyor.

"[Şirketler ve onların CISO'ları] başlangıçta bir olayın önemli olmadığına karar verirlerse ve daha sonra beni bunun önemli olduğuna inandıracak yeni bilgilerle karşılaşırlarsa", dört gün de olsa, zamanları olacak. McGee, kaydı düzeltin, diyor.

Zaman Damgası:

Den fazla karanlık okuma