Lima kelompok industri perbankan besar secara resmi meminta Komisi Sekuritas dan Bursa (SEC) untuk mencabut aturan pelaporan insiden keamanan siber, dengan alasan regulasi ini merusak upaya keamanan nasional dan menciptakan lebih banyak masalah daripada yang diselesaikannya. Asosiasi Bankir Amerika memimpin koalisi dalam surat tanggal 22 Mei yang menantang dasar persyaratan pengungkapan publik untuk insiden siber.
Yang Perlu Diketahui:
- Lima kelompok perbankan berpendapat bahwa aturan pelaporan keamanan siber SEC bertentangan dengan laporan rahasia yang dimaksudkan untuk melindungi infrastruktur kritis.
- Aturan tersebut mewajibkan pengungkapan publik yang cepat atas insiden seperti pelanggaran data, tetapi bank mengatakan ini membantu penjahat ransomware dan merugikan upaya respons.
- Koalisi perbankan ingin Item 1.05 dihapus dari persyaratan pelaporan Formulir 8-K yang memberitahu investor tentang insiden keamanan siber.
Koalisi Industri Menargetkan Mekanisme Pengungkapan Inti
Koalisi ini mencakup Asosiasi Industri Sekuritas dan Pasar Keuangan, Bank Policy Institute, Bankir Komunitas Independen Amerika dan Institute of International Bankers. Kelompok-kelompok ini mewakili ribuan lembaga keuangan di seluruh Amerika Serikat. Petisi mereka secara khusus menargetkan "Item 1.05" dalam persyaratan pelaporan Formulir 8-K SEC.
Formulir 8-K berfungsi sebagai kendaraan utama untuk memberi tahu publik tentang peristiwa signifikan yang mempengaruhi perusahaan publik.
Ketentuan keamanan siber mengharuskan perusahaan untuk mengungkapkan insiden yang dapat berdampak material pada operasional atau kondisi keuangan mereka. Kelompok perbankan berpendapat bahwa mekanisme ini menciptakan lebih banyak kerugian daripada transparansi.
Aturan Manajemen Risiko Keamanan Siber SEC mulai berlaku setelah dipublikasikan pada Juli 2023. Perusahaan kini harus segera mengungkapkan insiden keamanan siber termasuk pelanggaran data dan kompromi sistem. Regulasi ini bertujuan untuk memberikan investor informasi tepat waktu tentang risiko siber yang dapat mempengaruhi investasi mereka.
Bank Mengutip Kekhawatiran Operasional dan Keamanan
Perwakilan perbankan berargumen bahwa persyaratan pengungkapan bertentangan langsung dengan sistem pelaporan rahasia yang ada yang dirancang untuk melindungi infrastruktur kritis. Mereka mengklaim bahwa pengungkapan publik yang prematur mengganggu prosedur respons insiden dan penyelidikan penegakan hukum. Mekanisme penundaan yang kompleks yang dibangun dalam aturan menciptakan kebingungan antara kewajiban pengungkapan wajib dan sukarela.
Penjahat ransomware telah memanfaatkan persyaratan pengungkapan publik sebagai alat pemerasan, menurut koalisi perbankan. Kelompok kriminal kini mengancam untuk memicu tenggat waktu pengungkapan wajib untuk menekan korban agar membayar tebusan lebih cepat. Perkembangan ini secara fundamental mengubah dinamika respons insiden keamanan siber.
Kelompok-kelompok tersebut juga mengangkat kekhawatiran tentang implikasi asuransi dan tanggung jawab hukum.
Pengungkapan prematur memperumit klaim asuransi dan meningkatkan paparan hukum bagi perusahaan yang terdampak. Komunikasi internal menjadi lebih berhati-hati ketika karyawan mengetahui bahwa diskusi respons insiden mereka dapat menjadi catatan publik.
Kebingungan pasar merupakan kekhawatiran signifikan lainnya bagi industri perbankan. Aturan ini menciptakan ketidakpastian tentang insiden mana yang memerlukan pengungkapan langsung dibandingkan dengan yang dapat ditangani melalui kerangka informasi material yang ada. Kebingungan ini mempengaruhi baik perusahaan yang mencoba mematuhi maupun investor yang mencoba menafsirkan pengungkapan tersebut.
Perusahaan Crypto Menghadapi Tekanan Pengungkapan Serupa
Perusahaan cryptocurrency yang diperdagangkan di publik telah mengalami dampak praktis dari persyaratan pengungkapan ini. Coinbase mengungkapkan awal bulan ini bahwa peretas menyuap staf dukungan untuk mengakses data pengguna, yang mengakibatkan setidaknya tujuh gugatan terhadap perusahaan. Bursa tersebut menolak permintaan tebusan $20 juta tetapi memperkirakan insiden tersebut dapat menelan biaya hingga $400 juta dalam kerugian.
Kasus Coinbase menggambarkan bagaimana persyaratan pengungkapan dapat memperbesar dampak finansial dari insiden keamanan siber. Paparan hukum berlipat ganda ketika perusahaan harus segera memberi tahu publik tentang pelanggaran yang mungkin sebaliknya dapat diselesaikan lebih tenang.
Dinamika ini secara khusus mempengaruhi perusahaan teknologi dan layanan keuangan yang menangani data pelanggan yang sensitif.
Jika SEC mengabulkan petisi industri perbankan, perusahaan seperti Coinbase mungkin mendapatkan lebih banyak fleksibilitas dalam menentukan waktu pengungkapan keamanan siber mereka. Tenggat waktu aturan saat ini sering memaksa perusahaan mengungkapkan insiden sebelum mereka sepenuhnya memahami cakupan atau dampaknya.
Kerangka Alternatif yang Diusulkan oleh Koalisi Perbankan
Kelompok-kelompok perbankan berpendapat bahwa kerangka pengungkapan yang ada sudah melindungi kepentingan investor tanpa persyaratan khusus keamanan siber. Aturan yang sudah ada untuk pelaporan informasi material akan terus mencakup insiden siber signifikan yang benar-benar memengaruhi kinerja atau kondisi keuangan perusahaan.
Mereka percaya pendekatan ini akan lebih baik melayani kepentingan investor dan keamanan nasional.
Petisi tersebut menyertakan contoh terdokumentasi tentang konflik regulasi dan kebingungan peserta sejak penerapan aturan tersebut. Kelompok-kelompok perbankan telah mengumpulkan insiden khusus yang menunjukkan bagaimana persyaratan pengungkapan mengganggu penyelidikan penegakan hukum dan upaya respons insiden.
Lembaga keuangan juga menunjukkan kewajiban regulasi mereka saat ini di bawah lembaga federal lainnya. Bank sudah melaporkan insiden keamanan siber kepada regulator keuangan melalui saluran rahasia yang dirancang untuk melindungi informasi infrastruktur sensitif sambil memastikan pengawasan yang tepat.
Pemikiran Akhir
Tantangan industri perbankan terhadap aturan pelaporan keamanan siber SEC mencerminkan ketegangan yang lebih luas antara transparansi dan keamanan dalam regulasi layanan keuangan. Petisi mereka berpendapat bahwa pengungkapan publik yang wajib menciptakan lebih banyak risiko daripada manfaat, terutama ketika penjahat memanfaatkan persyaratan ini untuk tujuan pemerasan.