П'ять основних банківських галузевих груп офіційно запросили Комісію з цінних паперів та бірж (SEC) скасувати своє правило розкриття кіберінцидентів, стверджуючи, що регулювання підриває зусилля національної безпеки та створює більше проблем, аніж вирішує. Американська банківська асоціація очолила коаліцію у листі від 22 травня, який кидає виклик основі публічних вимог розкриття інформації про кіберінциденти.
Що потрібно знати:
- П'ять банківських груп стверджують, що правило розкриття кібербезпеки SEC конфліктує з конфіденційними звітами, покликаними захистити критичну інфраструктуру
- Правило вимагає швидкого публічного розкриття інцидентів, таких як порушення даних, але банки кажуть, що це допомагає злочинцям з програм-вимагачів і заважає зусиллям реагування
- Коаліція банків хоче, щоб пункт 1.05 був виключений з вимог звітності Форми 8-К, які повідомляють інвесторів про кіберінциденти
Індустріальна коаліція націлена на основний механізм розкриття
Коаліція включає Асоціацію індустрії цінних паперів та фінансових ринків, Інститут політики банків, Незалежних спільнотових банкірів Америки та Інститут міжнародних банкірів. Ці групи представляють тисячі фінансових інститутів у США. Їхня петиція спеціально націлена на "Пункт 1.05" у вимогах до звітності Форми 8-K.
Форма 8-K служить основним засобом для публічного повідомлення інвесторів про важливі події, що впливають на публічні компанії.
Положення про кібербезпеку вимагає від компаній розкривати інциденти, які можуть суттєво вплинути на їхню діяльність або фінансовий стан. Банківські групи стверджують, що цей механізм створює більше шкоди, ніж прозорості.
Правило управління ризиками кібербезпеки SEC вступило в дію після публікації у липні 2023 року. Компанії тепер повинні швидко розкривати кіберінциденти, включаючи порушення даних та компрометацію систем. Регулювання мало на меті надати інвесторам своєчасну інформацію про кіберризики, що можуть вплинути на їхні інвестиції.
Банки наводять операційні і безпекові занепокоєння
Представники банків стверджують, що вимоги до розкриття безпосередньо конфліктують з існуючими конфіденційними системами звітності, які розроблені для захисту критичної інфраструктури. Вони стверджують, що передчасні публічні розкриття заважають процедурам реагування на інциденти та розслідуванням правоохоронних органів. Складні механізми затримки, вбудовані у правило, створюють плутанину між обов'язковими та добровільними вимогами до розкриття.
Згідно з банківською коаліцією, злочинці з програм-вимагачів використовують вимоги до публічного розкриття як засіб вимагання. Кримінальні групи тепер погрожують викликати обов'язкові тимчасові обмеження на розкриття, щоб змусити жертв швидше платити викуп. Цей розвиток фундаментально змінює динаміку реагування на кіберінциденти.
Групи також висувають занепокоєння з приводу страхових і відповідальних наслідків. Передчасні розкриття ускладнюють страхові вимоги та збільшують юридичну відповідальність для уражених компаній. Внутрішня комунікація стає обережнішою, коли співробітники знають, що їхнє обговорення реакції на інцидент може стати публічним записом.
Помилка на ринку становить іншу істотну стурбованість для банківської галузі. Правило створює невизначеність щодо того, які інциденти вимагають негайного розкриття проти тих, які можуть бути вирішені через існуючі рамки матеріальної інформації. Ця плутанина впливає і на компанії, що намагаються дотриматися правил, і на інвесторів, які намагаються зрозуміти розкриття.
Криптокомпанії стикаються з подібним тиском вимог до розкриття
Публічні криптокомпанії зазнали практичного впливу цих вимог до розкриття. Coinbase повідомила раніше цього місяця, що хакери підкупили працівників служби підтримки для доступу до даних користувачів, що призвело до як мінімум семи судових позовів проти компанії. Біржа відхилила запит на викуп у розмірі $20 мільйонів, але оцінює, що інцидент може обійтися в $400 мільйонів.
Випадок Coinbase ілюструє, як вимоги до розкриття можуть посилити фінансовий вплив кіберінцидентів. Юридичний вплив множиться, коли компанії зобов'язані негайно інформувати громадськість про порушення, які могли б бути вирішені тихіше.
Ця динаміка особливо зачіпає технологічні компанії та компанії, що надають фінансові послуги, які працюють із конфіденційними клієнтськими даними.
Якщо SEC задовольнить петицію банківського галузі, такі компанії, як Coinbase, можуть отримати більшу гнучкість у визначенні часу для своїх розкриттів про кібербезпеку. Сувора тимчасова шкала чинного правила часто змушує компанії розкривати інциденти до того, як вони повністю зрозуміють їхній обсяг або вплив.
Альтернативний підхід, запропонований банківською коаліцією
Банківські групи стверджують, що існуючі рамки розкриття вже захищають інтереси інвесторів без специфічних вимог до кібербезпеки. Вже існуючі правила для звітування важливої інформації покриватимуть значні кіберінциденти, які дійсно впливають на продуктивність компанії або фінансовий стан.
Вони вважають, що цей підхід краще слугуватиме як інтересам інвесторів, так і національним інтересам безпеки.
У петиції наводяться задокументовані приклади регуляторних конфліктів і плутанини учасників з моменту вступу правила в силу. Банківські групи склали конкретні приклади, як вимоги до розкриття заважали розслідуванням правоохоронних органів і зусиллям реагування на інциденти.
Фінансові установи також вказують на свої існуючі регуляторні зобов'язання під іншими федеральними агентствами. Банки вже повідомляють про кіберінциденти фінансовим регуляторам через конфіденційні канали, які розроблені для захисту конфіденційної інформації про інфраструктуру, забезпечуючи належний нагляд.
Заключні думки
Виклик банківської галузі правилам розкриття кібербезпеки SEC відображає ширші напруженість між прозорістю та безпекою у регулюванні фінансових послуг. Їхня петиція стверджує, що обов'язкове публічне розкриття створює більше ризиків, ніж вигод, особливо коли злочинці використовують вимоги для цілей вимагання.