Компанії та їхні CISO можуть зіткнутися з будь-якими сотнями тисяч до мільйонів доларів у вигляді штрафів та інших санкцій від Комісії з цінних паперів і бірж США (SEC), якщо вони не отримають свої процеси кібербезпеки та розкриття даних, щоб відповідати вимогам. з нові правила, які набули чинності.
Для тих, хто може опинитися в неправильному кінці розслідування, важливо знати, що в розпорядженні SEC є різноманітні інструменти, які можна використовувати для примусового виконання. Вони охоплюють діапазон від постійної судової заборони, яка зобов’язує відповідача припинити поведінку, яка є основою справи, до повернення незаконно отриманої вигоди та трьох рівнів ескалації покарань, які можуть призвести до астрономічних штрафів.
Крім того, SEC може заборонити особі виконувати певні ролі, наприклад, місце в раді директорів інших компаній, тоді як такі випадки також можуть призвести до збільшення судових зборів, репутаційної шкоди бізнесу та керівникам, а також грошових збитків від позовів акціонерів.
Правила SEC про порушення мають зуби
Жодних примусових дій поки що не ведеться, але багато в чому вимоги компаній розкривати будь-які «суттєві» інциденти кібербезпеки вписується в існуючу систему розслідувань і покарань SEC. Загалом, компанії повинні бути готові до розслідування SEC.
«Це означає розширення можливостей їх CISO відповідати правилам», — каже Єна Вальдетеро, акціонер і співголова практики конфіденційності даних і кібербезпеки США в юридичній фірмі Greenberg Traurig, LLP.
«SEC дуже чітко дала зрозуміти, що це пріоритет правозастосування, тому мерія справді не сперечається з цього приводу», – каже вона, додаючи: «Я вважаю, що CISO мають рацію, коли дуже хвилюються, оскільки SEC явно має сказав: «Ми збираємося зупинити роботу з CISO», [оскільки вони] найкраще знають, які заходи дотримання вимог кібербезпеки діють і з якими ризиками вони стикаються».
Цей «бакс» міг бути більше схожим на бакс-бакс. Комісія з цінних паперів і цінних паперів (SEC) традиційно має чотири основні типи покарань, усі з яких можуть бути застосовані до кіберсфери. Перший – це безстрокова судова заборона, яка не дозволяє компанії та особам продовжувати певний вид діяльності. По-друге, вилучення незаконно одержаних доходів призводить до штрафів, що дорівнюють сумі прибутку, нібито отриманого шляхом шахрайства або нерозголошення. По-третє, за словами Стіва Маліни, акціонера Greenberg Traurig і колишнього старшого юриста відділу правоохоронних органів SEC, вони можуть вимагати наказу, який забороняє особі обіймати посади посадовця чи директора.
Проте ці три форми допомоги є досить малими порівняно з потенційними грошовими штрафами, каже він. Штрафи починаються від 5,000 доларів США за порушення за будь-яке порушення правил SEC і швидко зростають до 100,000 50,000 доларів США за порушення — або 500,000 XNUMX і XNUMX XNUMX доларів США для організацій — залежно від того, чи було залучено шахрайство та чи було завдано шкоди інвесторам. Комісія з цінних паперів і цінних паперів також може «зламатися щоразу, коли вони вважають, що ви порушили закон, і називати це незалежним порушенням», — каже він.
«Постійна судова заборона — якщо відкинути репутаційну шкоду — не має тонни зубів; це просто наказ, що ти більше не будеш порушувати закон», – каже Маліна. «Але дегоржація, цивільні грошові штрафи, вони мають справжні зуби, і вони можуть справді зашкодити чиємусь майбутньому в бізнесі».
Ці покарання не включають репутаційну шкоду, судові позови акціонерів і витрати на захист від будь-якого розслідування чи позову, каже він.
Страх і відраза в C-Suite
Крім традиційних штрафних санкцій, існують інші витрати, пов’язані з примусовими діями SEC.
Примусові дії SEC проти SolarWinds та її CISO Тімоті Брауна застали керівників зненацька — можливо, більше, ніж самі правила SEC. Чи агентство виграє справу, or SolarWinds і Brown успішно захищаються, витрати на судовий процес і його вплив на репутацію компанії підкреслюють шкоду, яку можуть завдати будь-які примусові заходи SEC.
Можливо, найбільше занепокоєння для CISO викликає особиста відповідальність вони стикаються з багатьма сферами діяльності, за які вони історично не несли відповідальності. Лише половина CISO (54%) впевнені у своїй здатності виконувати рішення SEC, і дві третини CISO (68%) почуваються приголомшеними у роботі з новими правилами, згідно опитування 300 керівників, проведене AuditBoard, хмарна платформа ризиків і відповідності.
«Відповідальність у керівному складі завжди була, але тепер CISO мають такий рівень особистої відповідальності, якого вони ніколи раніше не мали», — каже Річард Маркус, віце-президент компанії з інформаційної безпеки. «Якщо у вас немає процесу, розробленого для вирішення цього питання, ви приймаєте неправильне рішення та не розголошуєте інформацію про те, що ви повинні були зробити, вас можуть притягнути до особистої відповідальності — багато CISO, з якими ми спілкуємося, стурбований цим».
Усе це веде до а широке переосмислення ролі CISO, — говорить Кен Фішкін, старший менеджер із інформаційної безпеки — фактично виконуючий обов’язки CISO — юридичної фірми Lowenstein Sandler LLP.
«Багато людей дуже хвилюються, перебуваючи в такому становищі, як я, через цю відповідальність», — каже він. «Це питання компанії, а не лише питання CISO. Усі будуть дуже підозріло ставитися до заяв про перевірку — чому я маю це говорити? — не маючи юридичного дозволу... тому що вони так хвилюються, що проти них висунуть звинувачення за те, що вони зробили заяву».
Турботи додадуться додаткових витрат для бізнесу. Через додаткову відповідальність компаніям доведеться мати більш повну відповідальність Страхування відповідальності директорів і посадових осіб (D&O). яка покриває не лише судові витрати на захист КІСО, а й їхні витрати під час розслідування.
Підприємства, які не будуть платити за підтримку та захист своїх CISO, можуть виявитися нездатними найняти на цю посаду, тоді як, навпаки, CISO можуть мати проблеми з пошуком допоміжних компаній, каже Джош Салмансон, старший віце-президент із технологічних рішень Telos Corp., кіберризик. керуюча фірма.
«Ми побачимо менше людей, які бажають стати керівниками інформаційних технологій, або людей, які вимагають значно більшої зарплати, тому що вони вважають, що це може бути дуже короткострокова посада, доки їх не «розкриють» публічно», — говорить він. «Кількість людей, які матимуть справді ідеальне середовище за підтримки компанії та необхідного фінансування, ймовірно, залишиться невеликою».
Встановлена політика, добросовісність, ведення нотаток
І все ж є срібна підкладка. Правило SEC про розкриття порушень сповіщає компанії про те, що вони повинні звертати увагу на безпеку та мати відповідний процес, включаючи докази з обговорень того, чи є інцидент безпеки суттєвим для інвесторів, але це, ймовірно, призведе до організації, які більше піклуються про безпеку, – каже Кетлін МакГі, партнер Lowenstein Sandler LLP.
«Переконайтеся, що у вас є політика до того, як станеться інцидент, що ви знаєте, хто є зацікавленими сторонами, хто прийматиме ці рішення, і що ви документуєте процес, щоб, якщо SEC подзвонить і захоче зрозуміти, що процес мислення був, у вас є готове гарне пояснення», — каже вона.
Тим компаніям і CISO, які мають політику та дотримуються цієї політики, швидше за все, не доведеться так хвилюватися про примусові заходи, навіть якщо пізніше докази можуть показати, що початкове рішення було неправильним, каже вона.
«Якщо [компанії та їхні CISO] спочатку вирішать, що інцидент не є суттєвим, а потім [вони] натраплять на нову інформацію, яка змушує мене вважати, що це було суттєвим», вони матимуть час — хоча й чотири дні — щоб виправте запис, каже Макгі.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyber-risk/orgs-face-major-sec-penalties-failing-disclose-breaches
- : має
- :є
- : ні
- $UP
- 000
- 300
- 7
- a
- здатність
- МЕНЮ
- За
- через
- діючий
- дію
- дії
- діяльність
- додавати
- додати
- доповнення
- Додатковий
- знову
- проти
- агентство
- попереду
- ВСІ
- Також
- завжди
- кількість
- an
- та
- будь-який
- де-небудь
- ЕСТЬ
- області
- AS
- aside
- At
- увагу
- адвокат
- назад
- бар
- бари
- BE
- ведмідь
- оскільки
- було
- перед тим
- буття
- Вірити
- КРАЩЕ
- благословення
- рада
- Філія
- порушення
- порушення
- Перерва
- приніс
- коричневий
- бізнес
- підприємства
- але
- by
- C-люкс
- call
- покликання
- CAN
- випадок
- випадків
- спійманий
- припинити
- певний
- вантажі
- CISO
- Місто
- громадянський
- ясно
- очевидно
- співголова
- Приходити
- приходить
- комісія
- Компанії
- компанія
- порівняний
- дотримання
- заходи відповідності
- дотримуватися
- всеосяжний
- стурбований
- Проводити
- проводиться
- впевнений
- триває
- навпаки
- Corp
- виправити
- Коштувати
- витрати
- може
- Обкладинки
- кібер-
- Кібербезпека
- пошкодження
- дані
- конфіденційність даних
- Днів
- справу
- рішення
- Захист
- безумовно
- вимогливий
- Залежно
- визначення
- Директор
- Розкрити
- розкриття
- обговорення
- розпорядження
- do
- байдуже
- доларів
- Дон
- вниз
- під час
- ефект
- уповноважують
- кінець
- примус
- Навколишнє середовище
- рівним
- зростаючий
- по суті
- встановлений
- Навіть
- Кожен
- всі
- докази
- обмін
- керівництво
- існуючий
- витрати
- пояснення
- Face
- облицювання
- не вдалося
- відсутності
- віра
- страх
- почувати
- Інформація про оплату
- боротьба
- знайти
- виявлення
- кінець
- Фірма
- Перший
- підходить
- стежити
- для
- Колишній
- форми
- чотири
- Рамки
- шахрайство
- від
- фінансування
- майбутнє
- прибуток
- отримати
- Давати
- буде
- пішов
- добре
- Грінберг
- Охорона
- було
- Половина
- зал
- обробляти
- шкодити
- Мати
- має
- he
- Серце
- Герой
- вище
- основний момент
- прокат
- історично
- HTTPS
- Сотні
- i
- ідеальний
- if
- важливо
- in
- інцидент
- включати
- У тому числі
- незалежний
- індивідуальний
- осіб
- інформація
- інформаційна безпека
- початковий
- спочатку
- в
- дослідити
- дослідження
- Інвестори
- залучений
- питання
- IT
- ЙОГО
- JPG
- просто
- тримати
- Знати
- пізніше
- закон
- юридична фірма
- позов
- судові процеси
- вести
- провідний
- Веде за собою
- легальний
- менше
- рівень
- відповідальність
- як
- Ймовірно
- підкладка
- Судова практика
- ТОО
- серія
- made
- головний
- основний
- зробити
- Робить
- управління
- менеджер
- багато
- Маркус
- матеріал
- Може..
- me
- засоби
- заходи
- Зустрічатися
- мільйони
- Грошові
- більше
- найбільш
- багато
- повинен
- Необхідність
- ніколи
- Нові
- немає
- примітки
- Зверніть увагу..
- зараз
- номер
- of
- від
- Офіцер
- офіцерів
- on
- ONE
- тільки
- операції
- or
- порядок
- організації
- Інше
- партнер
- Платити
- платіж
- штрафні санкції
- Люди
- для
- може бути
- постійний
- людина
- персонал
- Особисто
- місце
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- Політика
- політика
- положення
- потенціал
- практика
- президент
- запобігає
- пріоритет
- недоторканність приватного життя
- процес
- процеси
- Прибуток
- захист
- публічно
- put
- Поклавши
- швидко
- швидше
- RE
- готовий
- реальний
- насправді
- запис
- правила
- допомога
- залишатися
- репутація
- вимога
- відповідальність
- результат
- результати
- Річард
- право
- Risk
- управління ризиками
- ризики
- Роль
- ролі
- Правило
- Правила
- Правляча
- прогін
- s
- Зазначений
- зарплати
- say
- говорить
- SEC
- сек примусового виконання
- Правозастосовні дії SEC
- другий
- Securities
- Комісія з цінних паперів і бірж
- безпеку
- побачити
- Шукати
- старший
- виступаючої
- акціонера
- вона
- короткий термін
- Повинен
- Показувати
- срібло
- один
- невеликий
- So
- SolarWinds
- Рішення
- Хтось
- конкретний
- Рекламні
- зацікавлених сторін
- старт
- Заява
- заяви
- Стів
- Стоп
- Успішно
- такі
- підтримка
- підтримуючий
- Переконайтеся
- Огляд
- балаканина
- Технологія
- ніж
- Що
- Команда
- закон
- Комісія з цінних паперів та бірж США
- їх
- Їх
- самі
- потім
- Там.
- Ці
- вони
- думати
- третій
- це
- ті
- думка
- тисячі
- три
- через
- час
- до
- Тонна
- інструменти
- традиційний
- традиційно
- біда
- тип
- Типи
- не в змозі
- розуміти
- В процесі роботи
- до
- us
- Комісія з цінних паперів та бірж США
- використання
- різноманітність
- дуже
- віце
- Віцепрезидент
- порушено
- ПОРУШЕННЯ
- бажаючий
- хоче
- було
- способи
- we
- були
- Що
- коли
- Чи
- який
- в той час як
- ВООЗ
- чому
- волі
- з
- без
- хвилювалися
- турбуватися
- Неправильно
- ще
- Ти
- зефірнет