미국 증권 거래 위원회(SEC)는 기업이 고객 정보를 보다 투명하게 공개하도록 요구하는 새로운 사이버 보안 위험 관리 규칙을 제안했습니다.
새로운 규칙은 사이버 보안 공개와 관련된 다양한 형태의 수정안으로 구현되며 특히 투자 고문, 투자 펀드 및 비즈니스 개발 회사를 대상으로 합니다.
더 이상 사이버 보안 해킹을 숨길 필요가 없습니다.
사이버 보안 공개에 관한 더 엄격한 규정을 도입하는 것은 SEC의 새로운 노력이 아닙니다. 2018년 전 SEC 위원인 Robert J. Jackson Jr.는 현재의 공개 요구 사항이 "비공개 측면에서 잘못되었으며" 회사가 해킹이나 기타 사이버 보안 공격을 경험할 때 투자자를 어둠 속에 빠뜨리는 경우가 많다고 말했습니다.
현재 회사 경영진은 이사회에 사이버 보안 문제에 대한 정보를 제공하기만 하면 되며 이를 투자자나 다른 고객과 공유할 의무는 없습니다. 그러나 2021년 공동 보고서에 따르면 2020년에는 조사에 참여한 Fortune 17대 기업 중 100%만이 매년 또는 분기별로 이사회 구성원에게 사이버 보안 문제를 보고했습니다.
SEC는 통과될 경우 공기업이 사이버 공격 및 사고에 대해 보고하도록 요구하는 다양한 제안을 도입하면서 2022년의 더 나은 시간을 보냈기 때문에 이를 변경하기를 열망하는 것 같습니다.
이것은 투자 고문, 등록된 투자 회사 및 비즈니스 개발 회사를 위한 사이버 보안 위험 관리 제안서, 9월 XNUMX일 발표.
이 문서에서 SEC는 1940년 투자 자문법과 1940년 투자 회사법에 따라 새로운 사이버 보안 정책을 구현하기 위해 자금과 자문가를 요구하는 새로운 규칙을 도입할 것을 제안합니다. 이 문서에 따르면 이러한 정책과 절차는 기업이 고문, 펀드 또는 사모펀드 고객에게 영향을 미치는 중요한 사이버 보안 사고를 SEC에 보고하도록 요구함으로써 사이버 보안 위험을 해결하도록 특별히 설계되었습니다.
SEC는 제안서에서 “중대한 사이버 보안 사고의 발생을 보고하도록 고문과 자금을 요구하면 사이버 보안 사고와 관련하여 투자자, 기타 시장 참여자 및 금융 시장을 보호하기 위한 노력의 효율성과 효과가 강화될 것이라고 믿습니다.”라고 말했습니다.
Equifax의 최고 정보 보안 책임자인 Jamil Farshchi는 이야기 Bloomberg News는 제안된 규칙이 기업 리더십에 절실히 필요한 투명성을 제공하고 사이버 보안과 관련하여 전례 없는 책임을 요구할 것이라고 말했습니다.
더 많은 규칙은 더 강력한 SEC를 의미합니다.
많은 사람들은 최근 SEC가 사이버 보안에 관한 규칙을 강화하는 데 보다 적극적인 역할을 하도록 추진한 것이 SolarWinds 해킹의 직접적인 결과라고 생각합니다. 이 악명 높은 사건은 러시아가 지원하는 해커 그룹이 연방 정부의 많은 부분을 표적으로 삼는 것을 보았기 때문에 미국이 겪은 최악의 사이버 스파이 사건 중 하나로 널리 간주됩니다.
공격자들은 미국 연방 계약업체의 업데이트를 감염시켰고 이를 다양한 정부 기관 및 회사에 침입하기 위한 도약판으로 사용했습니다. 해킹 이후 SEC는 해킹으로 인해 위험에 처해 있다고 생각되는 회사에 편지를 보내 해킹을 당했는지 여부와 해킹으로 인한 피해를 자체 보고하도록 요구했습니다.
위원회는 감당할 수 없을 정도로 많은 수의 공개를 받았고, 이전에 투자자에게 사건을 공개하지 않았더라도 결국 자체 보고 요청을 준수한 회사에 용서를 제공하는 사면 프로그램을 시작했습니다.
당시 미국 기업 이사 협회(National Association of Corporate Directors), 사이버 위협 연합(Cyber Threat Alliance) 및 SecurityScorecard는 모두 사이버 위험에 대한 SEC의 진화하는 관점을 나타내는 프로그램을 "주목할 만한" 프로그램이라고 불렀습니다. SecurityScorecard의 최고 비즈니스 및 법률 책임자인 Sachin Bansal은 이를 SEC의 "전환점"이라고 불렀습니다.
그러나 이것에도 불구하고 SEC의 새로운 제안은 많은 문제를 해결하지 못하고 있습니다.
새로운 규칙은 구현된 경우 기업이 "중요한" 또는 "중요한" 사이버 사고를 공개하도록 요구합니다. SEC는 "중요한" 정보를 "합리적인 주주가 중요하게 여길 상당한 가능성"이 있는 정보로 간주합니다.
많은 사람들이 SEC의 정의가 너무 모호해서 시장에 의미 있는 투명성을 제공하지 못한다고 생각합니다. 모호함은 또한 규칙이 사례별로 SEC의 해석에 따라 달라질 수 있음을 의미하며, 회사가 판결에 항소하고 제안을 본질적으로 가치가 없게 만들 수 있는 선례를 설정할 수 있는 여지를 남겨 둡니다.
그러나 여전히 개선의 여지가 있습니다. SEC는 향후 몇 주 동안 제안에 대해 투표할 예정이 아니므로 업계 참여자들이 우려 사항과 제안을 위원회와 공유할 수 있는 충분한 여지가 있습니다.
이것이 암호화폐 산업에 어떤 영향을 미치는지는 불확실합니다. 다양한 디지털 자산과 암호 유도체 그들의 포트폴리오에서. 그러나 제안된 규칙으로 인해 암호화 공간에서 많은 정보가 공개될 수 있습니다.
출처: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/