A Comissão de Valores Mobiliários dos EUA (SEC) propôs novas regras de gerenciamento de riscos de segurança cibernética para corporações que exigiriam que fossem mais transparentes com as divulgações dos clientes.
As novas regras seriam implementadas como emendas a várias formas de divulgação de segurança cibernética e visariam especificamente consultores de investimentos, fundos de investimento e empresas de desenvolvimento de negócios.
Chega de esconder hacks de segurança cibernética
A introdução de regulamentações mais rígidas em relação às divulgações de segurança cibernética não é um esforço novo da SEC. Em 2018, o ex-comissário da SEC Robert J. Jackson Jr. disse que os atuais requisitos de divulgação “erram do lado da não divulgação” e muitas vezes deixaram os investidores no escuro quando as empresas sofreram hacks ou outros ataques de segurança cibernética.
Atualmente, a administração da empresa só é obrigada a manter os conselhos informados sobre questões de segurança cibernética, sem obrigação de compartilhá-los com investidores ou outros clientes. No entanto, um relatório conjunto de 2021 mostrou que, em 2020, apenas 17% das empresas da Fortune 100 pesquisadas relataram problemas de segurança cibernética aos membros do conselho anualmente ou trimestralmente.
A SEC parece ansiosa para mudar isso, pois passou a maior parte de 2022 apresentando várias propostas que - se aprovadas - exigiriam que as empresas públicas relatassem ataques e incidentes cibernéticos.
Este é o caso do Gerenciamento de riscos de segurança cibernética para consultores de investimento, empresas de investimento registradas e empresas de desenvolvimento de negócios proposta, publicada em 9 de fevereiro.
No documento, a SEC propõe a introdução de novas regras sob o Investment Advisers Act de 1940 e o Investment Company Act de 1940 para exigir que fundos e consultores implementem novas políticas de segurança cibernética. De acordo com o documento, essas políticas e procedimentos são projetados especificamente para abordar os riscos de segurança cibernética, exigindo que as empresas relatem incidentes significativos de segurança cibernética que afetam o consultor, seu fundo ou clientes de fundos privados à SEC.
“Acreditamos que exigir que consultores e fundos relatem a ocorrência de incidentes significativos de segurança cibernética reforçaria a eficiência e eficácia de nossos esforços para proteger investidores, outros participantes do mercado e os mercados financeiros em conexão com incidentes de segurança cibernética”, disse a SEC na proposta.
Jamil Farshchi, diretor de segurança da informação da Equifax, disse Bloomberg News que as regras propostas trariam a tão necessária transparência à liderança corporativa e exigiriam responsabilidade sem precedentes quando se trata de segurança cibernética.
Mais regras equivalem a uma SEC mais forte
Muitos acreditam que o recente esforço da SEC para desempenhar um papel mais ativo no fortalecimento das regras de segurança cibernética é um resultado direto do hack da SolarWinds. O infame evento é amplamente considerado um dos piores incidentes de espionagem cibernética sofridos pelos EUA, já que o país viu muitas partes de seu governo federal serem alvo de um grupo de hackers apoiados pela Rússia.
Os invasores infectaram atualizações de um contratado federal dos EUA, usando isso como um trampolim para invadir várias agências e empresas governamentais. Após o hack, a SEC enviou cartas para empresas que acreditava estarem em risco com os hacks, exigindo que elas relatassem se haviam sido hackeadas e os danos infligidos pelos hacks.
Como a Comissão recebeu um número insatisfatório de divulgações, iniciou o Programa de Anistia – oferecendo perdão às empresas que eventualmente cumpriram a solicitação de autorrelato, mesmo que não tivessem divulgado o incidente anteriormente aos investidores.
Na época, a Associação Nacional de Diretores Corporativos, a Aliança de Ameaças Cibernéticas e o SecurityScorecard chamaram o programa de “notável”, pois sinalizava a evolução da visão da SEC sobre o risco cibernético. Sachin Bansal, diretor de negócios e diretor jurídico da SecurityScorecard, chamou o momento de “divisor de águas” para a SEC.
Mas, apesar disso, a nova proposta da SEC deixa muitas pedras em aberto.
As novas regras exigirão que as empresas divulguem incidentes cibernéticos “materiais” ou “significativos”, se implementados. A SEC considera informação “relevante” como qualquer informação com “probabilidade substancial de que um acionista razoável a considere importante”.
Muitos acham as definições da SEC muito vagas para trazer qualquer transparência significativa ao mercado. A imprecisão também significa que as regras estariam sujeitas a interpretações pela SEC caso a caso, deixando espaço para as empresas recorrerem a decisões e abrirem precedentes que poderiam tornar a proposta essencialmente inútil.
No entanto, ainda há espaço para melhorar. A SEC não deve votar a proposta por mais algumas semanas, deixando bastante espaço para os participantes do setor compartilharem suas preocupações e sugestões com a Comissão.
Não está claro como isso afeta a indústria de criptomoedas – com cada vez mais fundos de investimento, incluindo vários ativos digitais e derivados de criptografia em seus portfólios. No entanto, as regras propostas podem resultar em muitas divulgações vindas do espaço criptográfico.
Fonte: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/