Beş büyük bankacılık sektörü grubu, Menkul Kıymetler
ve Borsa Komisyonu'ndan (SEC) siber güvenlik olay
açıklama kuralını kaldırması
için resmi olarak talepte bulundu, bu düzenlemenin ulusal
güvenlik çabalarını baltaladığını ve çözdüğünden daha
fazla sorun yarattığını savunuyor. Amerikan Bankerler
Birliği, 22 Mayıs'taki bir mektupla kamu açıklama
gereksinimlerinin temeline meydan okuyan bir koalisyona
öncülük etti.
Bilinmesi Gerekenler:
- Beş bankacılık grubu, SEC'in siber güvenlik
açıklama kuralının kritik altyapıyı korumaya yönelik
gizli raporlamalarla çeliştiğini savunuyor - Kural, veri ihlalleri gibi olayların hızlı bir şekilde
kamuya duyurulmasını gerektiriyor, ancak bankalar,
bunun fidye yazılım suçlarına yardımcı olduğunu ve
müdahale çabalarını zedelediğini söylüyor - Bankacılık koalisyonu, yatırımcıları siber güvenlik
olayları hakkında bilgilendiren Form 8-K raporlama
gerekliliklerinden 1.05 Maddesi'nin kaldırılmasını
istiyor
Sektör Koalisyonu Temel Açıklama Mekanizmasını Hedef Alıyor
Bu koalisyonun içinde Menkul Kıymetler Sektörü ve
Finansal Piyasalar Derneği, Banka Politika Enstitüsü,
Bağımsız Amerika Topluluğu Bankacıları ve Uluslararası
Bankacılar Enstitüsü bulunuyor. Bu gruplar, ABD çapında
binlerce finansal kurumu temsil ediyor.
Dilekçeleri spesifik olarak SEC'in Form 8-K raporlama
gereklilikleri içindeki "1.05 Madde"yi hedef alıyor.
Form 8-K, yatırımcılara halka açık şirketleri etkileyen
önemli olaylar hakkında resmi bildirim sağlamanın
temel aracı olarak hizmet veriyor.
Siber güvenlik hükmü, şirketlerin operasyonlarını
veya finansal durumlarını maddi olarak etkileyebilecek
olayları açıklamasını gerektiriyor. Bankacılık grupları,
bu mekanizmanın şeffaflıktan çok zarar yarattığını savunuyor.
SEC'in Siber Güvenlik Risk Yönetimi kuralı, Temmuz 2023'te
yayınlandıktan sonra yürürlüğe girdi. Şirketler, artık veri
ihlalleri ve sistem açıkları dahil siber güvenlik olaylarını
hızla açıklamalı. Bu düzenleme, yatırımcılara
yatırımlarını etkileyebilecek siber riskler hakkında zamanında
bilgi sağlamayı amaçladı.
Bankalar İşletme ve Güvenlik Kaygılarına İşaret Ediyor
Banka temsilcileri, açıklama gerekliliklerinin, kritik
altyapıyı korumak için tasarlanmış mevcut gizli raporlama
sistemleriyle doğrudan çeliştiğini savunuyor. Prematüre yapılan kamu açıklamaları Müdahale prosedürlerini ve kanun
uygulayıcı soruşturmalarını aksatıyor. Kurala entegre edilen
karmaşık gecikme mekanizmaları, zorunlu ve gönüllü açıklama
yükümlülükleri arasında karışıklık yaratıyor.
Bankacılık koalisyonuna göre, fidye yazılım suçluları
kamu açıklama gerekliliklerini bir şantaj aracı olarak
silahlandırdı. Suç grupları, kurbanları daha hızlı fidye
ödemeye zorlamak için zorunlu açıklama sürelerini tetikleme
tehdidinde bulunuyor. Bu gelişme, siber güvenlik olay
müdahalesinin dinamiklerini kökten değiştirdi.
Gruplar ayrıca sigorta ve sorumluluk etkilenmelerine dikkat çekiyor.
Prematüre açıklamalar, sigorta taleplerini karmaşıklaştırıyor
ve etkilenen şirketler için yasal riski artırıyor. Dahili
iletişimler, çalışanlar olay müdahale tartışmalarının kamuya
açık bir kayıt haline gelebileceğini bildiğinde daha dikkatli
hale geliyor.
Piyasa karışıklığı, bankacılık sektörü için başka bir önemli
endişe yaratıyor. Kural, hangi olayların mevcut maddi bilgi
çerçeveleri yoluyla ele alınabileceği konusunda
hemen açıklama gerektirip gerektirmediği hakkında
belirsizlik yaratıyor. Bu karışıklık, hem uyum sağlamaya
çalışan şirketlerde hem de açıklamaları yorumlamaya
çalışan yatırımcılarda etkili oluyor.
Kripto Şirketleri Benzer Açıklama Baskılarıyla Karşı Karşıya
Halka açık kripto para şirketleri, bu açıklama
gerekliliklerinin pratik etkisini deneyimlemiştir.
Coinbase, bu ayın başında, hacker'ların kullanıcı
verilerine erişmek için destek personelini rüşvet
verdiğini ve şirkete karşı en az yedi dava açıldığını
duyurdu. Borsa, 20 milyon dolarlık fidye talebini reddetti
ancak olayın 400 milyon dolara kadar zarara yol açabileceğini
tahmin ediyor.
Coinbase vakası, açıklama gerekliliklerinin siber
güvenlik olaylarının mali etkilerini nasıl artırabileceğini
gösteriyor. Şirketlerin olayları kamuya hemen bildirmesi gerektiğinde yasal risk artar, oysaki bu olaylar daha sessiz bir şekilde çözülmüş
olabilirdi.
Bu dinamik, özellikle hassas müşteri verilerini işleyen
teknoloji ve finansal hizmetler şirketlerini etkiliyor.
SEC, bankacılık endüstrisinin dilekçesini kabul ederse,
Coinbase gibi şirketler siber güvenlik açıklamalarının
zamanlaması konusunda daha fazla esneklik kazanabilir.
Mevcut kuralın katı zaman çizelgeleri, şirketleri tam
kapsamını veya etkisini anlamadan önce olayları açıklamaya
zorlayabilir.
Bankacılık Koalisyonunun Önerdiği Alternatif Çerçeve
Bankacılık grupları, mevcut açıklama çerçevelerinin
yatırımcı çıkarlarını zaten özel siber güvenlik
gereklilikleri olmadan da koruduğunu savunuyor. Maddi
bilgilerin raporlanmasına yönelik önceki kurallar, gerçekten
şirket performansını veya finansal durumu etkileyen önemli
siber olayları kapsamaya devam edecek.
Bu yaklaşımın, hem yatırımcılara hem de ulusal güvenlik çıkarlarına daha iyi hizmet edeceğine inanıyorlar.
Dilekçe, kuralın uygulanmasından bu yana ortaya çıkan
düzenleyici çatışmalar ve katılımcı karışıklığına dair
belgelenmiş örnekler içeriyor. Bankacılık grupları, açıklama
gerekliliklerinin kanun uygulama soruşturmalarını ve olay
müdahale çabalarını nasıl engellediğini gösteren belirli olaylar
derlemiştir.
Finansal kurumlar, diğer federal ajanslar altındaki mevcut
düzenleyici yükümlülüklerini de işaret ediyor. Bankalar, zaten
siber güvenlik olaylarını, kritik altyapı bilgilerini
korumak ve yasal denetimi sağlamak için tasarlanmış gizli
kanallar aracılığıyla finansal düzenleyicilere bildiriyor.
Son Düşünceler
Bankacılık endüstrisinin SEC siber güvenlik açıklama
kurallarına meydan okuması, finansal hizmetler düzenlemesinde
şeffaflık ve güvenlik arasındaki daha geniş gerilimleri
yansıtır. Dilekçeleri, zorunlu kamu açıklamasının faydadan çok
risk oluşturduğunu, özellikle suçluların gereksinimleri
şantaj amacıyla kullandığında, savunuyor.