Комиссия по ценным бумагам и биржам США (SEC) опубликовала новое руководство, призывающее публичные компании быть более прибыльными, когда они раскрывают инциденты кибербезопасности будь то нарушение или нападение. Из него следует, что корпоративные инсайдеры не должны торговать акциями, когда у них есть информация о проблемах кибербезопасности, которые еще не опубликованы.
В то время как пять членов комиссии единогласно проголосовали за утверждение руководства, оба его демократических комиссара заявили, что необходимо предпринять дополнительные пояснения регулирующие действия.
Руководство было издано как «интерпретирующее издание», которое SEC использует для публикации своих мнений и интерпретации федеральных законов о ценных бумагах и правил SEC. В ней комиссия настоятельно призвала компании разработать политику, позволяющую им быстро оценивать риски кибербезопасности и решать, когда следует публиковать информацию, а также не позволять руководителям, членам совета директоров и другим корпоративным инсайдерам торговать акциями, когда у них есть важная информация, которая еще не была обнародована.
Еще в 2011 году Отдел финансов корпорации SEC впервые опубликовал руководство по раскрытию рисков и инцидентов, связанных с кибербезопасностью, что было необходимо в то время, поскольку не было существующих требований к раскрытию информации, которые конкретно касались проблем кибербезопасности.
Однако за последние семь лет нарушения кибербезопасности стали все более распространенными, поэтому SEC решила расширить свои руководящие принципы в 2011 году.
«Учитывая частоту, масштабы и стоимость инцидентов с кибербезопасностью, Комиссия считает, что критически важно, чтобы публичные компании предпринимали все необходимые действия для своевременного информирования инвесторов о существенных рисках и инцидентах с кибербезопасностью, в том числе тех компаний, которые подвержены существенным рискам кибербезопасности но, возможно, еще не была целью кибер-атаки», — сказала SEC.
Новое руководство SEC не упоминает конкретные инциденты, но это происходит через пять месяцев после массового нарушения данных Equifax, которое скомпрометировало личную информацию около 145,5 миллионов человек. Кредитное бюро жестко критиковали за длительный период времени между утечкой данных и официальным заявлением. Департамент юстиции расследует крупные продажи акций руководителями как раз в то время, когда утечка была обнаружена сотрудниками компании, но не публиковалась в СМИ.
SEC добавила, что компаниям не требуется раскрывать конфиденциальную информацию, которая может поставить под угрозу их действия в отношении кибербезопасности, они также не могут использовать внутренние или правоохранительные расследования в качестве предлога для не информирования общественности.
«Мы признаем, что может потребоваться сотрудничество с правоохранительными органами и что продолжающееся расследование инцидента с кибербезопасностью может повлиять на объем раскрытия информации об инциденте. Однако постоянное внутреннее или внешнее расследование, которое часто может быть длительным, само по себе не создало бы основу для предотвращения раскрытия существенного инцидента с кибербезопасностью», — говорится в руководстве.
В заявлении, опубликованном с руководством, председатель SEC Джей Клейтон, политический независимый, сказал: «Я считаю, что предоставление взглядов Комиссии по этим вопросам будет способствовать более четкому и эффективному раскрытию компаниями информации о рисках и инцидентах с кибербезопасностью, в результате чего более полная информация будет доступна инвесторам».
Однако двое демократов в SEC заявили, что руководство не проходит достаточно далеко. В своем заявлении комиссар Комиссии по ценным бумагам США Кара Штайн сказал, что многие публичные компании все еще предоставляют информацию о рисках кибербезопасности, которые «далеки от истины» и что она «разочарована ограниченными действиями Комиссии».
«Фактически, мы могли бы помочь компаниям сформулировать более значимую информацию для инвесторов. Вместо этого, вчерашнее руководство обеспечивает лишь скромные возможности для руководства персонала 2011 года», — написала она. Вместо того, чтобы просто давать указания, Штейн считает, что SEC должна рассмотреть вопрос об издании правил, которые потребуют от компаний разработки и внедрения более сильных политик и процедур, связанных с кибербезопасностью.
В своем заявлении комиссар Роберт Дж. Джексон, другой демократ из SEC, писал : «Я неохотно поддерживаю сегодняшнее руководство в надежде, что это всего лишь первый шаг к победе над теми, кто будет использовать технологии, чтобы угрожать нашей экономике. Руководство в основном повторяет многолетние мнения сотрудников по этому вопросу. Но экономисты всех мастей согласны с тем, что многое еще нужно сделать».