กลุ่มอุตสาหกรรมธนาคารหลักห้ากลุ่มได้ทำการ ร้องขอ อย่างเป็นทางการต่อ Commission สำหรับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ให้ยกเลิกกฎการเปิดเผยข้อมูลเหตุการณ์ด้านความมั่นคงทางไซเบอร์ โดยให้เหตุผลว่ากฎระเบียบนี้บ่อนทำลายความพยายามด้านความมั่นคงทางชาติและก่อให้เกิดปัญหามากกว่าการแก้ไข องค์กรธนาคารอเมริกันเป็นผู้นำกลุ่มในจดหมายวันที่ 22 พฤษภาคมที่ท้าทายต่อพื้นฐานของข้อกำหนดการเปิดเผยข้อมูลสาธารณะเกี่ยวกับเหตุการณ์ไซเบอร์
สิ่งที่ควรรู้:
- กลุ่มธนาคารห้ากลุ่มโต้แย้งว่ากฎการเปิดเผยข้อมูลเชิงไซเบอร์ของ SEC ขัดกับการรายงานลับที่มีเป้าหมายเพื่อปกป้องโครงสร้างพื้นฐานสำคัญ
- กฎต้องการการเปิดเผยสาธารณะอย่างรวดเร็วเกี่ยวกับเหตุการณ์เช่นการละเมิดข้อมูล แต่ธนาคารบอกว่านี้ช่วยให้อาชญากรแรนซัมแวร์และก่อให้เกิดปัญหาแก่การตอบสนอง
- กลุ่มธนาคารต้องการให้ยกเลิก Item 1.05 ออกจากข้อกำหนดการรายงาน Form 8-K ที่แจ้งนักลงทุนเกี่ยวกับเหตุการณ์ไซเบอร์ความมั่นคง
การบุกจู่โจมต่อกลไกการเปิดเผยข้อมูลหลักของอุตสาหกรรม
กลุ่มนี้รวมถึงสมาคมอุตสาหกรรมหลักทรัพย์และตลาดการเงิน, สถาบันนโยบายธนาคาร, ธนาคารชุมชนอิสระแห่งอเมริกา และสถาบันธนาคารระหว่างประเทศ กลุ่มเหล่านี้เป็นตัวแทนของสถาบันการเงินนับพันแห่งทั่วสหรัฐอเมริกา คำร้องของพวกเขามุ่งเป้าไปที่ "Item 1.05" ภายในข้อกำหนดการรายงานของ Form 8-K
Form 8-K ทำหน้าที่เป็นยานพาหนะหลักในการแจ้งให้นักลงทุนทราบเกี่ยวกับเหตุการณ์สำคัญที่ส่งผลต่อตลาดหุ้นสาธารณะ
ข้อกำหนดด้านไซเบอร์ซีเคียวริตี้ต้องการให้บริษัทเปิดเผยเหตุการณ์ที่อาจส่งผลกระทบต่อการดำเนินงานหรือสภาพทางการเงินของบริษัท กลุ่มธนาคารเห็นว่ากลไกนี้ก่อให้เกิดความเสียหายมากกว่าการเปิดเผยที่โปร่งใส
กฎการจัดการความเสี่ยงไซเบอร์ของ SEC มีผลบังคับใช้หลังจากมีการเผยแพร่ในเดือนกรกฎาคม 2023 บริษัทยังคงต้องเปิดเผยเหตุการณ์ไซเบอร์เช่นการละเมิดข้อมูลและความเสียหายของระบบ ข้อบังคับมุ่งที่จะแจ้งข้อมูลทันเวลาเกี่ยวกับความเสี่ยงเชิงไซเบอร์ที่อาจส่งผลต่อนักลงทุน
ธนาคารอ้างถึงความกังวลด้านการดำเนินงานและความปลอดภัย
ตัวแทนธนาคารโต้แย้งว่าข้อกำหนดการเปิดเผยตรงขัดกับระบบรายงานลับที่ออกแบบมาเพื่อปกป้องโครงสร้างพื้นฐานที่สำคัญ พวกเขาอ้างว่าการเปิดเผยข้อมูลสาธารณะก่อนเวลาอันควรรบกวนกระบวนการตอบสนองต่อเหตุการณ์และการสืบสวนของกฎหมาย กลไกความซับซ้อนของการหน่วงเวลาในกฎเกณฑ์สร้างความสับสนระหว่างข้อบังคับการเปิดเผยและความสมัครใจ
กลุ่มธนาคารอ้างว่าอาชญากรแรนซัมแวร์ได้ใช้กฎการเปิดเผยข้อมูลสาธารณะเป็นเครื่องมือในการบีบบังคับ กลุ่มอาชญากรในขณะนี้ขู่ให้รีบเตรียมการเปิดเผยข้อมูลบังคับเพื่อกดดันเหยื่อให้จ่ายค่าไถ่เร็วขึ้น เรื่องนี้เปลี่ยนแปลงโครงสร้างของการตอบสนองต่อเหตุการณ์ไซเบอร์ซีเคียวริตี้อย่างรากลึก
กลุ่มนี้ยังกล่าวถึงความกังวลเกี่ยวกับปัญหาประกันภัยและความรับผิดชอบ
การเปิดเผยข้อมูลก่อนเวลาอันควรทำให้การเรียกร้องประกันภัยยุ่งยากขึ้นและเพิ่มความเสี่ยงทางกฎหมายของบริษัทที่ได้รับผลกระทบ ข้อความภายในกลายเป็นระวังมากขึ้นเมื่อพนักงานรู้ว่า การอภิปรายเรื่องการตอบสนองต่อเหตุการณ์ของพวกเขาอาจกลายเป็นบันทึกสาธารณะ
ความสับสนของตลาดเป็นอีกหนึ่งปัญหาสำคัญสำหรับอุตสาหกรรมธนาคาร กฎสร้างความไม่แน่นอนเกี่ยวกับเหตุการณ์ใดที่ต้องการการเปิดเผยทันทีเทียบกับเหตุการณ์ที่สามารถจัดการได้ผ่านกรอบข้อมูลออนไลน์ที่มีอยู่ ความสับสนนี้ส่งผลต่อทั้งบริษัทที่พยายามปฏิบัติตามข้อกำหนดและนักลงทุนที่พยายามตีความการเปิดเผย
บริษัทคริปโตเผชิญความกดดันการเปิดเผยเช่นเดียวกัน
บริษัทคริปโตที่จดทะเบียนในตลาดหุ้นสาธารณะแสดงให้เห็นผลกระทบที่เป็นจริงของข้อกำหนดการเปิดเผยเหล่านี้ Coinbase เปิดเผยเมื่อต้นเดือนนี้ว่าผู้แฮ็กได้ติดสินบนเจ้าหน้าที่สนับสนุนเพื่อเข้าถึงข้อมูลผู้ใช้ ทำให้เกิดคดีฟ้องร้องอย่างน้อยเจ็ดคดีกับบริษัท การแลกเปลี่ยนได้ปฏิเสธคำขอค่าไถ่มูลค่า 20 ล้านดอลลาร์แต่ประเมินว่าเหตุการณ์อาจทำให้เกิดค่าเสียหายถึง 400 ล้านดอลลาร์
กรณี Coinbase แสดงให้เห็นว่าข้อกำหนดการเปิดเผยสามารถเสริมส่งผลกระทบทางการเงินของเหตุการณ์ไซเบอร์ซีเคียวริตี้ การประเปิดอันเสี่ยงทางกฎหมายทวีคูณเมื่อบริษัทต้องแจ้งสาธารณะทันทีเกี่ยวกับการละเมิดที่อาจถูกแก้ไขได้อย่างเงียบเงียบ
ไดนามิกนี้มีผลกระทบต่อบริษัทเทคโนโลยีและบริการทางการเงินที่จัดการข้อมูลลูกค้าที่ละเอียดอ่อนเป็นพิเศษ
ถ้า SEC ให้ความเห็นชอบคำร้องของกลุ่มอุตสาหกรรมธนาคาร บริษัทอย่าง Coinbase อาจได้รับความยืดหยุ่นมากขึ้นในการเลือกเวลาที่จะเปิดเผยข้อมูลไซเบอร์ซีเคียวริตี้ของพวกเขา ข้อบังคับไทม์ไลน์ที่ปัจจุบันบังคับบ่อยครั้งทำให้บริษัทต้องเปิดเผยเหตุการณ์ก่อนที่พวกเขาจะเข้าใจถึงขอบเขตหรือผลกระทบ
กรอบแผนอื่นที่เสนอโดยกลุ่มธนาคาร
กลุ่มธนาคารเสนอว่ากรอบการรื้อถอนข้อมูลที่มีอยู่แล้วให้การปกป้องสิทธิ์ของนักลงทุนโดยไม่จำเป็นต้องสร้างข้อกำหนดสำหรับไซเบอร์ซีเคียวริตี้ที่เฉพาะเจาะจง กฎที่มีอยู่แล้วสำหรับการรายงานข้อมูลที่มีนัยสำคัญจะยังคงครอบคลุมเหตุการณ์ไซเบอร์ที่มีผลกระทบต่อการดำเนินงานหรือสภาพทางการเงินของบริษัทจริง
พวกเขาเชื่อว่าวิธีการนี้จะให้บริบทที่ดีขึ้นทั้งกับนักลงทุนและความสนใจแห่งชาติเกี่ยวกับความปลอดภัย
คำร้องรวมไปถึงตัวอย่างที่บันทึกไว้ของความขัดแย้งด้านกฎหมายและความสับสนของผู้เข้าร่วมตั้งแต่การใช้กฎนี้ กลุ่มธนาคารได้รวบรวมเหตุการณ์เฉพาะที่แสดงให้เห็นว่าภาระการเปิดเผยข้อมูลก่อกวนกับการสืบสวนของกฎหมายและความพยายามตอบสนองต่อเหตุการณ์
สถาบันการเงินยังชี้ให้เห็นถึงภาระหน้าที่การกลั่นกรองของพวกเขาภายใต้หน่วยงานรัฐบาลกลางอื่น ๆ ธนาคารได้รับการรายงานเหตุการณ์ไซเบอร์ซีเคเยอร์ให้กับหน่วยงานการกลั่นกรองการเงินผ่านช่องทางลับที่ออกแบบมาเพื่อปกป้องข้อมูลโครงสร้างพื้นฐานที่ละเอียดอ่อนในขณะเดียวกันก็ให้การคุมความที่เหมาะสม
ความคิดเห็นสุดท้าย
ความท้าทายของอุตสาหกรรมธนาคารต่อกฎการเปิดเผยข้อมูลไซเบอร์ซีเคียวริตี้ของ SEC สะท้อนให้เห็นถึงความตึงเครียดที่กว้างขึ้นระหว่างความโปร่งใสและความปลอดภัยในกฎระเบียบบริการทางการเงิน คำร้องของพวกเขาโต้แย้งว่าการเปิดเผยสาธารณะแบบบังคับสร้างความเสี่ยงมากกว่าผลประโยชน์ โดยเฉพาะเมื่อนักอาชญากรใช้ประโยชน์ในการบีบบังคับ