SEC yêu cầu các công ty không được che giấu chi tiết về các vụ hack

Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã đề xuất quy tắc quản lý rủi ro an ninh mạng mới cho các công ty, yêu cầu họ phải minh bạch hơn về thông tin khách hàng.

Các quy tắc mới sẽ được thực hiện dưới dạng sửa đổi đối với các hình thức khác nhau liên quan đến tiết lộ an ninh mạng và sẽ nhắm mục tiêu cụ thể đến các cố vấn đầu tư, quỹ đầu tư và các công ty phát triển kinh doanh.

Không được che giấu các vụ hack an ninh mạng

Đưa ra quy định chặt chẽ hơn về tiết lộ an ninh mạng không phải là một nỗ lực mới của SEC. Vào năm 2018, cựu Ủy viên SEC Robert J. Jackson Jr nói rằng các yêu cầu công bố thông tin hiện tại “đã bị sai sót về mặt không tiết lộ thông tin” và thường khiến các nhà đầu tư chìm trong bóng tối khi công ty gặp phải các vụ hack hoặc các cuộc tấn công an ninh mạng khác.

Hiện tại, ban quản lý công ty chỉ được yêu cầu thông báo cho hội đồng quản trị về các vấn đề an ninh mạng, không có nghĩa vụ phải chia sẻ chúng với các nhà đầu tư hoặc khách hàng khác. Tuy nhiên, một báo cáo chung năm 2021 cho thấy vào năm 2020, chỉ 17% trong số 100 công ty được Fortune khảo sát báo cáo các vấn đề an ninh mạng cho các thành viên hội đồng quản trị hàng năm hoặc hàng quý.

SEC dường như mong muốn thay đổi điều này vì họ đã dành phần lớn thời gian của năm 2022 để giới thiệu các đề xuất khác nhau – nếu được thông qua – sẽ yêu cầu các công ty đại chúng báo cáo về các cuộc tấn công và sự cố mạng.

Đây là trường hợp của đề xuất Quản lý rủi ro an ninh mạng dành cho các nhà tư vấn đầu tư, các công ty đầu tư đã đăng ký và các công ty phát triển kinh doanh, được công bố vào ngày 9 tháng 2.

Trong tài liệu, SEC đề xuất đưa ra các quy tắc mới theo Đạo luật Cố vấn Đầu tư năm 1940 và Đạo luật Công ty Đầu tư năm 1940 để yêu cầu các quỹ và cố vấn thực hiện các chính sách an ninh mạng mới. Theo tài liệu, các chính sách và thủ tục này được thiết kế đặc biệt để giải quyết các rủi ro an ninh mạng bằng cách yêu cầu các công ty báo cáo các sự cố an ninh mạng quan trọng ảnh hưởng đến cố vấn, quỹ của mình hoặc khách hàng của quỹ tư nhân cho SEC.

“Chúng tôi tin rằng việc yêu cầu các cố vấn và quỹ báo cáo các sự cố an ninh mạng nghiêm trọng sẽ tăng cường hiệu quả và hiệu lực của các nỗ lực của chúng tôi để bảo vệ các nhà đầu tư, những người tham gia thị trường khác và thị trường tài chính liên quan đến các sự cố an ninh mạng”.

Jamil Farshchi, giám đốc an ninh thông tin tại Equifax nói rằng các quy tắc được đề xuất sẽ mang lại sự minh bạch rất cần thiết cho ban lãnh đạo công ty và yêu cầu trách nhiệm giải trình chưa từng có khi nói đến an ninh mạng.

Nhiều quy tắc hơn có nghĩa là đôi cánh của SEC sẽ mạnh hơn

Nhiều người tin rằng nỗ lực gần đây của SEC để đóng một vai trò tích cực hơn trong việc củng cố các quy tắc liên quan đến an ninh mạng là kết quả trực tiếp của vụ hack SolarWinds. Sự kiện được nhiều người coi là một trong những vụ gián điệp mạng tồi tệ nhất mà Hoa Kỳ phải gánh chịu, khi nước này chứng kiến ​​nhiều bộ phận trong chính phủ liên bang của mình bị nhắm mục tiêu bởi một nhóm hacker do Nga hậu thuẫn.

Những kẻ tấn công đã làm lây nhiễm các bản cập nhật từ một nhà thầu liên bang của Hoa Kỳ, sử dụng nó như một bàn cờ để xâm nhập vào các cơ quan chính phủ và công ty khác nhau. Sau vụ hack, SEC đã gửi thư tới các công ty mà họ tin rằng có nguy cơ bị tấn công, yêu cầu họ phải tự báo cáo nếu họ đã bị tấn công và thiệt hại mà các vụ tấn công gây ra.

Vì SEC nhận được một số lượng lớn các thông tin tiết lộ, nên họ đã bắt đầu Chương trình Ân xá – đề nghị tha thứ cho các công ty đã tuân thủ yêu cầu tự báo cáo, ngay cả khi trước đó họ chưa tiết lộ sự việc cho các nhà đầu tư.

Vào thời điểm đó, Hiệp hội các Giám đốc Doanh nghiệp Quốc gia (NACD), Liên minh Đe doạ Mạng (CTA) và SecurityScorecard đều gọi chương trình là “đáng chú ý” vì nó báo hiệu quan điểm ngày càng phát triển của SEC về rủi ro mạng. Sachin Bansal, giám đốc kinh doanh và pháp lý của SecurityScorecard, đã gọi đây là thời điểm “bước ngoặt” đối với SEC.

Các quy tắc mới sẽ yêu cầu các công ty tiết lộ các sự cố mạng “quan trọng” hoặc “nghiêm trọng” nếu được thông qua. SEC coi thông tin “quan trọng” là bất kỳ thông tin nào có “khả năng đáng kể mà một cổ đông hợp lý sẽ coi nó là quan trọng”.

Nhiều người nhận thấy các định nghĩa của SEC quá mơ hồ để mang lại bất kỳ sự minh bạch có ý nghĩa nào cho thị trường. Sự mơ hồ cũng có nghĩa là các quy tắc sẽ được SEC giải thích theo từng trường hợp cụ thể, để lại chỗ cho các công ty kháng cáo các phán quyết và đặt ra các tiền lệ có thể khiến đề xuất về cơ bản là vô giá trị.

Tuy nhiên, vẫn có cơ hội cải thiện. SEC chưa bỏ phiếu về đề xuất ngay và những người tham gia trong ngành có thời gian vài tuần để chia sẻ mối quan tâm và đề xuất của họ với Ủy ban.

Không rõ điều này ảnh hưởng như thế nào đến ngành công nghiệp tiền điện tử – với ngày càng nhiều quỹ đầu tư bao gồm các tài sản kỹ thuật số khác nhau và phái sinh tiền điện tử trong danh mục đầu tư của họ. Tuy nhiên, các quy tắc được đề xuất có thể khiến không gian tiền điện tử bị phơi bày nhiều hơn.

Tham gia Telegram của Tạp Chí Bitcoin để theo dõi tin tức và bình luận về bài viết này: https://t.me/tapchibitcoinvn

• Một ví ETH đã mua $400.000 loạt token ngay trước khi Coinbase thông báo xem xét list: May mắn hay giao dịch nội gián?
• Chủ mưu vụ hack Ronin của Axie Infinity là nhóm hacker Triều Tiên Lazarus Group

Ông Giáo

Theo Cryptoslate