Організаціям загрожує серйозне покарання SEC за нерозкриття порушень

Організаціям загрожує серйозне покарання SEC за нерозкриття порушень

Мітка часу: 23 лютого 2024 1:27
Організаціям загрожує серйозне покарання SEC за нерозкриття порушень PlatoBlockchain Data Intelligence. Вертикальний пошук. Ai.

Компанії та їхні CISO можуть зіткнутися з будь-якими сотнями тисяч до мільйонів доларів у вигляді штрафів та інших санкцій від Комісії з цінних паперів і бірж США (SEC), якщо вони не отримають свої процеси кібербезпеки та розкриття даних, щоб відповідати вимогам. з нові правила, які набули чинності.

Для тих, хто може опинитися в неправильному кінці розслідування, важливо знати, що в розпорядженні SEC є різноманітні інструменти, які можна використовувати для примусового виконання. Вони охоплюють діапазон від постійної судової заборони, яка зобов’язує відповідача припинити поведінку, яка є основою справи, до повернення незаконно отриманої вигоди та трьох рівнів ескалації покарань, які можуть призвести до астрономічних штрафів.

Крім того, SEC може заборонити особі виконувати певні ролі, наприклад, місце в раді директорів інших компаній, тоді як такі випадки також можуть призвести до збільшення судових зборів, репутаційної шкоди бізнесу та керівникам, а також грошових збитків від позовів акціонерів.

Правила SEC про порушення мають зуби

Жодних примусових дій поки що не ведеться, але багато в чому вимоги компаній розкривати будь-які «суттєві» інциденти кібербезпеки вписується в існуючу систему розслідувань і покарань SEC. Загалом, компанії повинні бути готові до розслідування SEC.

«Це означає розширення можливостей їх CISO відповідати правилам», — каже Єна Вальдетеро, акціонер і співголова практики конфіденційності даних і кібербезпеки США в юридичній фірмі Greenberg Traurig, LLP. 

«SEC дуже чітко дала зрозуміти, що це пріоритет правозастосування, тому мерія справді не сперечається з цього приводу», – каже вона, додаючи: «Я вважаю, що CISO мають рацію, коли дуже хвилюються, оскільки SEC явно має сказав: «Ми збираємося зупинити роботу з CISO», [оскільки вони] найкраще знають, які заходи дотримання вимог кібербезпеки діють і з якими ризиками вони стикаються».

Цей «бакс» міг бути більше схожим на бакс-бакс. Комісія з цінних паперів і цінних паперів (SEC) традиційно має чотири основні типи покарань, усі з яких можуть бути застосовані до кіберсфери. Перший – це безстрокова судова заборона, яка не дозволяє компанії та особам продовжувати певний вид діяльності. По-друге, вилучення незаконно одержаних доходів призводить до штрафів, що дорівнюють сумі прибутку, нібито отриманого шляхом шахрайства або нерозголошення. По-третє, за словами Стіва Маліни, акціонера Greenberg Traurig і колишнього старшого юриста відділу правоохоронних органів SEC, вони можуть вимагати наказу, який забороняє особі обіймати посади посадовця чи директора.

Проте ці три форми допомоги є досить малими порівняно з потенційними грошовими штрафами, каже він. Штрафи починаються від 5,000 доларів США за порушення за будь-яке порушення правил SEC і швидко зростають до 100,000 50,000 доларів США за порушення — або 500,000 XNUMX і XNUMX XNUMX доларів США для організацій — залежно від того, чи було залучено шахрайство та чи було завдано шкоди інвесторам. Комісія з цінних паперів і цінних паперів також може «зламатися щоразу, коли вони вважають, що ви порушили закон, і називати це незалежним порушенням», — каже він.

«Постійна судова заборона — якщо відкинути репутаційну шкоду — не має тонни зубів; це просто наказ, що ти більше не будеш порушувати закон», – каже Маліна. «Але дегоржація, цивільні грошові штрафи, вони мають справжні зуби, і вони можуть справді зашкодити чиємусь майбутньому в бізнесі».

Ці покарання не включають репутаційну шкоду, судові позови акціонерів і витрати на захист від будь-якого розслідування чи позову, каже він.

Страх і відраза в C-Suite

Крім традиційних штрафних санкцій, існують інші витрати, пов’язані з примусовими діями SEC.

Примусові дії SEC проти SolarWinds та її CISO Тімоті Брауна застали керівників зненацька — можливо, більше, ніж самі правила SEC. Чи агентство виграє справу, or SolarWinds і Brown успішно захищаються, витрати на судовий процес і його вплив на репутацію компанії підкреслюють шкоду, яку можуть завдати будь-які примусові заходи SEC.

Можливо, найбільше занепокоєння для CISO викликає особиста відповідальність вони стикаються з багатьма сферами діяльності, за які вони історично не несли відповідальності. Лише половина CISO (54%) впевнені у своїй здатності виконувати рішення SEC, і дві третини CISO (68%) почуваються приголомшеними у роботі з новими правилами, згідно опитування 300 керівників, проведене AuditBoard, хмарна платформа ризиків і відповідності.

«Відповідальність у керівному складі завжди була, але тепер CISO мають такий рівень особистої відповідальності, якого вони ніколи раніше не мали», — каже Річард Маркус, віце-президент компанії з інформаційної безпеки. «Якщо у вас немає процесу, розробленого для вирішення цього питання, ви приймаєте неправильне рішення та не розголошуєте інформацію про те, що ви повинні були зробити, вас можуть притягнути до особистої відповідальності — багато CISO, з якими ми спілкуємося, стурбований цим».

Усе це веде до а широке переосмислення ролі CISO, — говорить Кен Фішкін, старший менеджер із інформаційної безпеки — фактично виконуючий обов’язки CISO — юридичної фірми Lowenstein Sandler LLP.

«Багато людей дуже хвилюються, перебуваючи в такому становищі, як я, через цю відповідальність», — каже він. «Це питання компанії, а не лише питання CISO. Усі будуть дуже підозріло ставитися до заяв про перевірку — чому я маю це говорити? — не маючи юридичного дозволу... тому що вони так хвилюються, що проти них висунуть звинувачення за те, що вони зробили заяву».

Турботи додадуться додаткових витрат для бізнесу. Через додаткову відповідальність компаніям доведеться мати більш повну відповідальність Страхування відповідальності директорів і посадових осіб (D&O). яка покриває не лише судові витрати на захист КІСО, а й їхні витрати під час розслідування.

Підприємства, які не будуть платити за підтримку та захист своїх CISO, можуть виявитися нездатними найняти на цю посаду, тоді як, навпаки, CISO можуть мати проблеми з пошуком допоміжних компаній, каже Джош Салмансон, старший віце-президент із технологічних рішень Telos Corp., кіберризик. керуюча фірма.

«Ми побачимо менше людей, які бажають стати керівниками інформаційних технологій, або людей, які вимагають значно більшої зарплати, тому що вони вважають, що це може бути дуже короткострокова посада, доки їх не «розкриють» публічно», — говорить він. «Кількість людей, які матимуть справді ідеальне середовище за підтримки компанії та необхідного фінансування, ймовірно, залишиться невеликою».

Встановлена ​​політика, добросовісність, ведення нотаток

І все ж є срібна підкладка. Правило SEC про розкриття порушень сповіщає компанії про те, що вони повинні звертати увагу на безпеку та мати відповідний процес, включаючи докази з обговорень того, чи є інцидент безпеки суттєвим для інвесторів, але це, ймовірно, призведе до організації, які більше піклуються про безпеку, – каже Кетлін МакГі, партнер Lowenstein Sandler LLP.

«Переконайтеся, що у вас є політика до того, як станеться інцидент, що ви знаєте, хто є зацікавленими сторонами, хто прийматиме ці рішення, і що ви документуєте процес, щоб, якщо SEC подзвонить і захоче зрозуміти, що процес мислення був, у вас є готове гарне пояснення», — каже вона.

Тим компаніям і CISO, які мають політику та дотримуються цієї політики, швидше за все, не доведеться так хвилюватися про примусові заходи, навіть якщо пізніше докази можуть показати, що початкове рішення було неправильним, каже вона.

«Якщо [компанії та їхні CISO] спочатку вирішать, що інцидент не є суттєвим, а потім [вони] натраплять на нову інформацію, яка змушує мене вважати, що це було суттєвим», вони матимуть час — хоча й чотири дні — щоб виправте запис, каже Макгі.

Часова мітка:

Більше від Темне читання