Năm nhóm ngành công nghiệp ngân hàng lớn đã chính thức yêu cầu Ủy ban Chứng khoán và Giao dịch (SEC) bãi bỏ quy định tiết lộ sự cố an ninh mạng của mình, cho rằng quy định này làm suy yếu nỗ lực bảo đảm an ninh quốc gia và gây ra nhiều vấn đề hơn là giải quyết. Hiệp hội Ngân hàng Mỹ đã dẫn đầu liên minh trong một lá thư ngày 22 tháng 5 thách thức nền tảng của các yêu cầu tiết lộ công khai cho các sự cố an ninh mạng.
Những điều cần biết:
- Năm nhóm ngân hàng cho rằng quy định tiết lộ an ninh mạng của SEC xung đột với việc báo cáo bí mật để bảo vệ cơ sở hạ tầng quan trọng
- Quy định yêu cầu nhanh chóng tiết lộ công khai các sự cố như vi phạm dữ liệu, nhưng các ngân hàng nói điều này giúp tội phạm ransomware và làm tổn hại đến nỗ lực ứng phó
- Liên minh ngân hàng muốn bãi bỏ Hạng mục 1.05 từ yêu cầu báo cáo Mẫu 8-K mà thông báo cho nhà đầu tư về các sự cố an ninh mạng
Liên minh ngành nhắm vào cơ chế tiết lộ cốt lõi
Liên minh bao gồm Hiệp hội Ngành Công nghiệp chứng khoán và Thị trường tài chính, Viện Chính sách Ngân hàng, Hiệp hội Ngân hàng Cộng đồng Độc lập của Mỹ và Viện Ngân hàng Quốc tế. Những nhóm này đại diện cho hàng ngàn tổ chức tài chính trên khắp Hoa Kỳ. Kiến nghị của họ đặc biệt nhắm đến "Hạng mục 1.05" trong yêu cầu báo cáo Mẫu 8-K của SEC.
Mẫu 8-K phục vụ như phương tiện chính để thông báo cho các nhà đầu tư về các sự kiện quan trọng ảnh hưởng đến các công ty công khai.
Quy định về an ninh mạng yêu cầu các công ty tiết lộ các sự cố có thể tác động đáng kể đến hoạt động hoặc điều kiện tài chính của họ. Các nhóm ngân hàng cho rằng cơ chế này tạo ra nhiều tổn hại hơn là sự minh bạch.
Quy tắc Quản lý Rủi ro An ninh mạng của SEC có hiệu lực sau khi được công bố vào tháng 7 năm 2023. Các công ty hiện phải nhanh chóng tiết lộ các sự cố an ninh mạng bao gồm các vi phạm dữ liệu và các sự cố xâm nhập hệ thống. Quy định nhằm cung cấp thông tin kịp thời cho các nhà đầu tư về các rủi ro an ninh mạng có thể ảnh hưởng đến khoản đầu tư của họ.
Các ngân hàng nêu lên mối quan tâm về hoạt động và an ninh
Đại diện ngân hàng cho rằng các yêu cầu tiết lộ xung đột trực tiếp với các hệ thống báo cáo bí mật hiện có được thiết kế để bảo vệ cơ sở hạ tầng quan trọng. Họ tuyên bố rằng các tiết lộ công khai sớm can thiệp vào quy trình ứng phó sự cố và điều tra của lực lượng thực thi pháp luật. Các cơ chế trì hoãn phức tạp được xây dựng trong quy định tạo ra sự nhầm lẫn giữa các nghĩa vụ tiết lộ bắt buộc và tự nguyện.
Theo nhóm ngân hàng, bọn tội phạm ransomware đã sử dụng các yêu cầu tiết lộ công khai làm công cụ cưỡng đoạt. Các tổ chức tội phạm hiện đe dọa kích hoạt thời hạn tiết lộ bắt buộc để ép nạn nhân trả tiền chuộc nhanh hơn. Sự phát triển này đã thay đổi căn bản động lực của ứng phó sự cố an ninh mạng.
Nhóm cũng nêu lên mối quan ngại về các vấn đề bảo hiểm và trách nhiệm pháp lý.
Các tiết lộ sớm làm phức tạp các yêu cầu bảo hiểm và tăng cường rủi ro pháp lý cho các công ty bị ảnh hưởng. Truyền thông nội bộ trở nên cẩn trọng hơn khi nhân viên biết cuộc thảo luận ứng phó sự cố của họ có thể trở thành hồ sơ công khai.
Sự nhầm lẫn trên thị trường đại diện cho một mối lo ngại đáng kể khác cho ngành ngân hàng. Quy định tạo ra sự không chắc chắn về những sự cố nào cần tiết lộ ngay lập tức so với những sự cố có thể được xử lý thông qua các khung thông tin hiện có. Sự nhầm lẫn này ảnh hưởng cả đến các công ty cố gắng tuân thủ và các nhà đầu tư cố gắng diễn giải các tiết lộ.
Các công ty Crypto đối mặt với áp lực tiết lộ tương tự
Các công ty tiền mã hóa niêm yết công khai đã trải nghiệm tác động thực tế của các yêu cầu tiết lộ này. Coinbase đã tiết lộ hồi đầu tháng này rằng hacker hối lộ nhân viên hỗ trợ để truy cập dữ liệu người dùng, dẫn đến ít nhất bảy vụ kiện đối với công ty. Sàn giao dịch đã từ chối yêu cầu đòi tiền chuộc 20 triệu đô la nhưng ước tính có thể tốn đến 400 triệu đô la cho sự cố này.
Trường hợp của Coinbase minh họa cách các yêu cầu tiết lộ có thể gia tăng tác động tài chính của các sự cố an ninh mạng. Rủi ro pháp lý nhân lên khi các công ty phải ngay lập tức thông báo cho công chúng về các vi phạm mà có thể được giải quyết lặng lẽ hơn.
Động thái này đặc biệt ảnh hưởng đến các công ty công nghệ và dịch vụ tài chính xử lý dữ liệu khách hàng nhạy cảm.
Nếu SEC chấp thuận kiến nghị của ngành ngân hàng, các công ty như Coinbase có thể có thêm linh hoạt trong việc xác định thời gian tiết lộ an ninh mạng của mình. Thời hạn cứng nhắc của quy định hiện tại thường buộc công ty tiết lộ sự cố trước khi họ hiểu đầy đủ phạm vi hoặc tác động.
Khung làm việc thay thế được đề xuất bởi liên minh ngân hàng
Nhóm ngân hàng cho rằng các khung tiết lộ hiện có đã bảo vệ lợi ích của nhà đầu tư mà không cần các yêu cầu riêng về an ninh mạng. Các quy tắc tồn tại từ trước về báo cáo thông tin đáng kể tiếp tục bao gồm các sự cố an ninh mạng quan trọng thực sự ảnh hưởng đến hiệu suất hay điều kiện tài chính của công ty.
Họ tin rằng cách tiếp cận này sẽ phục vụ tốt hơn cả lợi ích của nhà đầu tư và lợi ích an ninh quốc gia.
Kiến nghị bao gồm các ví dụ được tài liệu hóa về xung đột quy định và sự nhầm lẫn của người tham gia kể từ khi quy định được thực hiện. Nhóm ngân hàng đã thu thập các sự cố cụ thể chứng minh cách yêu cầu tiết lộ làm cản trở các cuộc điều tra của lực lượng thực thi pháp luật và nỗ lực ứng phó sự cố.
Các tổ chức tài chính cũng chỉ ra các nghĩa vụ quy định hiện tại của họ dưới sự kiểm soát của các cơ quan liên bang khác. Ngân hàng đã báo cáo các sự cố an ninh mạng cho các nhà quản lý tài chính thông qua các kênh bí mật được thiết kế để bảo vệ thông tin cơ sở hạ tầng nhạy cảm trong khi vẫn đảm bảo giám sát thích hợp.
Những suy nghĩ cuối cùng
Thách thức của ngành ngân hàng đối với quy định tiết lộ an ninh mạng của SEC phản ánh căng thẳng rộng hơn giữa minh bạch và bảo mật trong quy định dịch vụ tài chính. Kiến nghị của họ cho rằng việc công khai thông tin bắt buộc tạo ra nhiều rủi ro hơn là lợi ích, đặc biệt khi tội phạm khai thác các yêu cầu này để tống tiền.