Американские группы по защите интересов банковской и финансовой индустрии обратились в Комиссию по ценным бумагам и биржам с просьбой отменить требования о публичном раскрытии информации об инцидентах кибербезопасности.
Пять американских банковских групп во главе с Американской банковской ассоциацией обратились к регулятору с просьбой отменить правило в письме от 22 мая, утверждая, что раскрытие информации об инцидентах кибербезопасности «прямо противоречит требованиям конфиденциальной отчетности, направленным на защиту критической инфраструктуры и предупреждение потенциальных жертв».
Группа, в которую также вошли Ассоциация индустрии ценных бумаг и финансовых рынков, Институт банковской политики, Независимые банкиры сообщества Америки и Институт международных банкиров, заявила, что правило подрывает усилия регулирующих органов по укреплению национальной кибербезопасности.
Правило SEC по управлению рисками кибербезопасности, опубликованное в июле 2023 года, требует от компаний оперативно раскрывать информацию об инцидентах кибербезопасности, таких как утечки данных или взломы. Однако банковские группы утверждают, что это правило изначально было несовершенным и на практике оказалось проблематичным с момента вступления в силу.
Банковские органы заявили, что «сложный и узкий механизм задержки раскрытия информации» мешает реагированию на инциденты и обеспечению соблюдения законов и создает «путаницу на рынке» между обязательным и добровольным раскрытием информации.
Публичное раскрытие информации также «использовалось преступниками-вымогателями в качестве метода вымогательства для достижения злонамеренных целей», а преждевременное раскрытие информации ухудшает проблемы страхования и ответственности для компаний и «рискует заморозить откровенные внутренние коммуникации и рутинный обмен информацией», — заявила группа.
Некоторые претензии и опасения банковских групп относительно постановления. Источник: SIFMA
Группы в частности хотят, чтобы «Пункт 1.05» был отменен из правил SEC для отчетности по форме 8-K и требований параллельной отчетности, применимых к форме 6-K.
Форма 8-K используется для публичного уведомления инвесторов в публичные компании США об определенных событиях, включая инциденты кибербезопасности, которые могут быть важны для акционеров или SEC.
«Критически важно, что без пункта 1.05 интересы инвесторов будут по-прежнему защищены, и мы считаем, что им будет лучше служить уже существующая структура раскрытия для сообщения существенной информации, которая может включать существенные инциденты кибербезопасности», — заявили группы.
Полная версия петиции включала примеры путаницы со стороны участников, конкретные инциденты атак с целью вымогательства и задокументированные конфликты нормативных актов.
Публичные криптокомпании, на которые это повлияло
Требование также влияет на публично котируемые криптокомпании, такие как Coinbase, которая в начале этого месяца раскрыла, что хакеры подкупили ее вспомогательный персонал, чтобы тот раскрыл пользовательские данные.
Раскрытие информации привело к тому, что компания столкнулась как минимум с семью судебными исками по поводу раскрытия информации.
Coinbase заявила, что отклонила требование о выкупе в размере 20 миллионов долларов после того, как сотрудники раскрыли пользовательские данные в ходе крупной фишинговой атаки, что, по словам биржи, может стоить ей до 400 миллионов долларов убытков.
Если SEC отменит это требование, это может дать таким фирмам, как Coinbase, больше времени для раскрытия информации об инцидентах кибербезопасности для общественности.
