Siber olaylar için yeni Menkul Kıymetler ve Borsa Komisyonu (SEC) ifşa kuralı, Amerika Birleşik Devletleri hükümeti tarafından siber güvenliği zorunlu kılmak için bugüne kadarki en kapsamlı girişimi temsil ediyor. Halka açık bir şirketin sahibiyseniz veya bu şirkette çalışıyorsanız, halka açık bir şirket tarafından sağlanan verileri yönetiyorsanız veya yalnızca halka açık bir şirkete tedarik sağlıyorsanız, bu yeni kural işinizi etkileyecektir.

Yeni SEC Açıklama Kuralı Nedir?

Federal Soruşturma Bürosu tarafından bildirildiği üzere, yeni SEC Açıklama Kuralı 5 Eylül 2023'te yürürlüğe girecek. Geniş anlamda şunları gerektiriyor:

• Amerika Birleşik Devletleri'ndeki halka açık her şirket, işleri üzerinde "maddi etkisi" olan herhangi bir siber güvenlik olayının keşfedilmesinden veya farkına varılmasından sonraki 8 gün içinde 4K formunu EDGAR veri tabanına dosyalamalıdır.
• Amerika Birleşik Devletleri Başsavcısı, siber güvenlik olayının kamu güvenliği veya ulusal güvenlik için bir tehlike oluşturması durumunda, 30 güne kadar bir bildirim gecikmesine izin verebilir ve olası bir 30 gün daha yenileme yapabilir.
• Amerika Birleşik Devletleri Başsavcısı, yalnızca ulusal güvenlik için önemli bir risk varsa, bildirimde 60 günlük ek bir gecikmeye izin verebilir.

Halka açık işletmeler, bir siber güvenlik olayının operasyonları veya değerlemeleri üzerinde önemli bir etkisi olup olmadığını belirleme yeteneğine sahiptir. Böyle bir durumda, olayın niteliğini, kapsamını ve zamanlaması ile etkisini veya potansiyel etkisini raporlamalıdırlar.

Halka Açık Bir İşletmem Olmazsa SEC Kuralı Bana Nasıl Uygulanır?

Bu kural, kapsamlı soruşturma yeteneklerine ve ihlal edenlerin karşılaşacağı cezaları belirleme yeteneğine sahip olan SEC tarafından uygulanacaktır. aksine FTC Önlemler Kuralıcezaları ve düzenlemeleri tanımlayan SEC ifşa kuralı, hem "maddi etkiyi" neyin tanımladığı ve kurumun nasıl takip edeceği açısından açıktır. En kötü senaryoda, Federal müfettişler, halka açık bir şirketi etkileyen bir siber güvenlik olayından sorumlu olduğunuza inanırlarsa veya şirket, verilerin kaynağının sizin işletmeniz olduğunu tespit ederse, kapınıza kadar gelip belgelere ve cihazlara el koyabilir. çiğneme.

İşte bir şirketin yanlışlıkla bir SEC soruşturmasına sürüklenebileceği yollardan birkaç örnek:

• Ulusal bir şirketin franchise sahibi, müşterilerinin kişisel mali bilgilerini ifşa eden bir veri ihlaline maruz kalır.
• Bir nakliye şirketi, sahte bir sipariş alır. bahane saldırısı önemli değeri olan para veya malzemeleri suç aktörlerine yönlendiren.
• Bir konferans planlayıcısı, tüm konferans katılımcılarının e-posta adreslerini, kullanıcı adlarını ve oturum açma kimlik bilgilerini açığa çıkaran bir veri ihlaline maruz kalır.
• Bir pazarlama ajansının sunucuları ihlal edilir ve bir müşterinin yeni ürününün ambargolu teknik özellikleri ortaya çıkar.
• Bir hukuk firmasının e-postası ihlal edilerek bir müşterinin patent başvurularının veya davalarının ayrıntıları ortaya çıkar.
• Bir doktorun muayenehanesinin kablosuz ağının güvenliği ihlal edilerek bilgisayar korsanlarının şirket yöneticilerinin kişisel sağlık bilgilerini çalmasına izin verilir.
• Bir ipotek komisyoncusunun dosya aktarım sisteminin güvenliği ihlal edilerek bir müşteri tarafından yönlendirilen kişilerin mülk değerleri açığa çıkar.
• Bir şirketin web sitesi saldırıya uğradı ve yönetici kullanıcı adları ve kimlik bilgileri açığa çıktı.

Bu örnekler üç geniş kategoriye ayrılır:

1. Bir müşterinin müşterilerine ait verileri açığa çıkaran veri ihlalleri.
2. Bir müşterinin gelecekteki iş planlarını, dahili bilgilerini veya fikri mülkiyetini ortaya çıkaran bilgisayar korsanlığı saldırıları.
3. Bir müşterinin liderliğini veya çalışanlarını riske atan kimlik bilgisi hırsızlığı veya korunan kişisel veri hırsızlığı.

Bilgisayar korsanları bu bilgileri müşterinize hedefli bir saldırı başlatmak veya başkalarına satmak için kullanırsa, e-posta kişilerinizi ifşa eden bir kimlik avı saldırısı kadar basit bir şey önemli olabilir. Müşterinin çalışması için ihtiyaç duyduğu ödemeleri, malzemeleri veya bitmiş ürünleri yönlendiren bahane saldırıları, müşterinin satışları üzerinde önemli bir etkiye sahipse, önemli olabilir. Müşterilerinizi gerekli hizmetlerden mahrum bırakan, operasyonlarını kesintiye uğratan fidye yazılımı saldırıları da önemli bir etki olarak nitelendirilebilir.

Uyum İçin Ne Yapmam Gerekiyor?

İfşa kuralı kapsamında yalnızca halka açık işletmelerin siber olayları bildirmesi gerekir, ancak bildirimde bulunabilmeleri satıcılarının, bayiliklerinin, hizmet sağlayıcılarının ve ortaklarının desteğine bağlıdır. İşletmeniz, bir müşterinin işini tehlikeye atan bir siber olayın kaynağıysa, soruşturmaya tabi tutulabileceğinizi ve siber güvenlik ilkelerinizin inceleneceğini unutmayın. Halka açık şirket SEC cezalarıyla karşı karşıya kalacak. Müşteriyi kaybedersiniz ve itibarınız önemli bir darbe alır.

Hiçbir işletme SEC ile uğraşmak istemez. Soruşturmalar uzun, yıkıcı ve pahalı olabilir. Halka açık şirketlerin, siber güvenlik olaylarının rapor edileceğine dair satıcılardan ve ortaklardan bir miktar hesap verebilirlik ve güvenceler, muhtemelen yasal olarak bağlayıcı güvenceler talep etmesi çok muhtemeldir. Halka açık olmayan şirketler için uygunluk talepleri muhtemelen aşağıdakileri içerecektir:

1. Olay izleme ve güvenlik güncellemeleri dahil olmak üzere mevcut siber güvenlik standartlarının dokümantasyonu.
2. belgeleri siber güvenlik çalışanı eğitimi uygulamaları.
3. Siber güvenlik olaylarını, bu olaylar öğrenilir öğrenilmez etkilenen müşterilere bildirmek için yazılı planlar.
4. Siber saldırılara yanıt vermek ve bunları durdurmak için yazılı planların yanı sıra veri kaybı veya olası üçüncü taraf güvenlik ihlallerinin değerlendirilmesi.

Müşteriler bu belgeleri isterse şaşırmayın. Müşteriler ayrıca, siber olaylara ilişkin belirli bir dil içeren ek ifşa etmeme anlaşmaları (NDA'lar) yapmak isteyebilir veya bu korumaların hizmet sözleşmelerinde veya sözleşme değişikliklerinde ana hatlarıyla belirtilmesini isteyebilir.

SEC, Siber Olay Açıklama Kuralını Nasıl Uygulayacak?

SEC ihlalleri vaka bazında ele alma eğiliminde olduğundan, yaptırımın nasıl görüneceğini bilmek imkansızdır. Yeni düzenlemelerle ilgili geçmişteki davranışlara dayanarak, SEC'in ilk kez suç işleyenler veya küçük ihlaller için bir süreliğine uyarı vermesi muhtemeldir. Önemli bir ihlal meydana gelirse veya halka açık bir şirket kuralı tekrar tekrar ihlal ederse, bunu önemli cezalar içeren kapsamlı bir soruşturma takip eder. Bu, hizmet sağlayıcıların talebe ayak uydurmakta zorlanmasına ve şirketlerin kendilerine yardımcı olabilecek sağlayıcılar bulmak için çabalamasına neden olacak hizmetler için bir izdihamı tetikleyecektir. Artık bu konuyu ciddiye alıp ihtiyaçlarınızı değerlendirip ihtiyacınız varsa profesyonel siber güvenlik desteği almanızda fayda var.

Yeni ifşa kuralının, siber güvenlik olaylarını denetlemek veya raporlamak için deneyimli veya sertifikalı bir profesyonel gerektirmediğini unutmayın. Çoğu küçük işletme, uyumluluğu kendi başlarına veya bir yardımcının yardımıyla yönetebilmelidir. VCISO.

FTC Neden Bu Raporlama Kuralını Ekledi?

SEC, yeni açıklama kuralını yönlendiren iki ihtiyacı özetledi. Birincisi, SEC, birçok kolluk kuvvetinin yaptığı gibi, siber suçların eksik bildirildiğine inanıyordu. SEC, yetkilerini bu alana getirerek, bazı işletmelerin sessiz sedasız fidye ödeme veya görünüşte küçük siber saldırıları göz ardı etme eğilimini ortadan kaldırarak, daha yüksek düzeyde raporlama uyumluluğunu zorunlu kılmayı amaçlıyor.

İkincisi, SEC, siber güvenlik olaylarını diğer ticari zorluklarla bir araya getiren mevcut raporlamanın hissedarlara yeterli bilgi sağlamadığını hissetti. Standart rapor, yatırımcıların fırsatları değerlendirmek için kullanabilecekleri başka bir veri noktası sağlayarak, hissedarların bir işletmenin siber güvenlik olaylarına ne sıklıkta maruz kaldığını ve bunların ne kadar şiddetli olduğunu görmelerine olanak tanıyacak.

Belirtilmemiş nihai, daha geniş bir hedef olarak, ifşa kuralı, halka açık bir şirketle çalışan herkesin, müşterilerinin etkileşimlerinin Federal inceleme altında olduğunu fark etmelerini sağlar. Bu muhtemelen tüm ABD işletmelerinde siber güvenlik en iyi uygulamalarının daha fazla benimsenmesini zorunlu kılacak ve bu da suçluların saldırı gerçekleştirmesini zorlaştıracaktır. Bu bağlamda, ABD hükümetinin siber güvenliği ticari operasyonların temel bir unsuru olarak tesis etmesi ve şart koşması bugüne kadarki en önemli çabasıdır.

• SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
• PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
• PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
• PlatoESG. Otomotiv / EV'ler, karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
• PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
• ChartPrime. Ticaret Oyununuzu ChartPrime ile yükseltin. Buradan Erişin.
• Blok Ofsetleri. Çevre Dengeleme Sahipliğini Modernleştirme. Buradan Erişin.
• Kaynak: https://www.finextra.com/blogposting/24765/the-new-sec-disclosure-rule-will-impact-nearly-every-us-business?utm_medium=rssfinextra&utm_source=finextrablogs