Finans ve Bankacılık , Sektöre Özgü , Standartlar, Düzenlemeler ve Uyumluluk
Biden Yönetimi Yetkilileri Hacklenme Riskine Karşı Sabırsızlık Gösteriyor
David Perera (@daveperera) •
15 Mart 2023
Menkul Kıymetler ve Borsa Komisyonu, ABD borsasının temelini oluşturan şirketler için bir dizi yeni siber güvenlik kuralı önerdi; bu, Biden yönetimi yetkilileri arasında özel sektörün dijital risk yönetimi konusunda artan mutsuzluğun son işareti.
Ayrıca bakınız: Bankalar Dijital Kimliğin Koruyucuları Olmalı mı?
Komisyon, olayın meydana geldiği ve hatta halen devam etmekte olduğu konusunda “makul bir temel” ile sonuca vardıktan sonra, piyasa varlıklarını önemli siber güvenlik olaylarını kuruma bildirme yetkisi altına sokan bir teklifi onayladı. Bu teklif ve komisyonun Çarşamba günü onayladığı diğerleri, bir başka komiser oylamasıyla karşılaşmadan önce kamuoyunun görüşlerinden geçmelidir.
Önerilen kural ayrıca, piyasa kuruluşlarının siber güvenlik tehditlerini ele almaya yönelik politika ve prosedürleri belgelemesini ve bu kontrolleri yıllık incelemeye tabi tutmasını gerektirecektir. SEC’in önemli bir pazar rolü oynamadığı şeklinde sınıflandırdığı küçük bayi-brokerler haricindeki piyasa varlıklarının büyük çoğunluğu, siber güvenlik olaylarını kamuya açıklamak zorunda kalacaktır. SEC ayrıca, küçük bayi-brokerler dışındaki herkesin, operasyonların sürekliliğini sürdürürken genel risk, kullanıcı erişim kontrolleri ve bir siber güvenlik olayına yanıt verme planı gibi siber güvenlik programı öğelerini özel olarak ele almasını gerektirecektir.
Ajans, finans sektörünün siber güvenliğe önemli ölçüde harcama yaptığını kabul etti, ancak riskin güvenlik bütçelerini geride bırakmaya devam ettiğini öne sürdü. Ajans, önerilen kuralında “Bütçe seviyelerinin kendisi bir siber güvenlik programının en önemli yönü değildir” diye yazdı.
Bir Demokrat olan SEC Başkanı Gary Gensler, Çarşamba günü yapılan bir komisyon toplantısında, “Sermaye piyasalarımızdaki piyasa varlıkları, karmaşık ve sürekli gelişen bilgi sistemlerine giderek daha fazla güveniyor. Bu sistemlere zarar vermek isteyenler daha sofistike hale geldi” dedi.
Cumhuriyetçi Komiser Hester M. Peirce, “Bu kuralı anlamak, menkul kıymetler piyasalarını daha güvenli hale getirmeye yönelik ciddi bir öneridense, yıl sonu uygulama istatistiklerimizi geliştirmek için bir araç olarak anlamaktan daha kolaydır,” dedi. Kuralın piyasa varlıklarını yasal riske açacağını iddia etti ve ajansı “firma karmaşık bir raporlama rejimine uymadığı takdirde kullanılacak bir sopa” hazırlamakla suçladı.
Biden yönetimi, Washington’un özel sektör siber güvenliğindeki rolünü sınırlayan siber güvenlik düzenlemesini on yıldan uzun bir süredir yöneten fikir birliğini sarsmak için harekete geçti. Gensler de dahil olmak üzere yönetim yetkilileri, bir yıldan uzun bir süredir düzenleyici gereklilikleri artırma niyetlerinin reklamını yaptılar; bu, önemli kritik altyapı operatörlerindeki güvenlik açıklarını ortaya çıkaran bir fidye yazılımı dalgasının yol açtığı bir değişiklik. Beyaz Saray, bu ayın başlarında, artırılmış düzenleyici otorite programını ortaya koyan bir ulusal siber güvenlik stratejisi yayınladı (bkz.: Beyaz Saray, Biden’ın Ulusal Siber Güvenlik Stratejisini Açıkladı).
Bugün SEC tarafından onaylanan diğer siber güvenlik önlemleri arasında, aracı kurumların, yatırım şirketlerinin ve danışmanların, hassas bilgileri içeren bir veri ihlali durumunda müşterileri 30 gün içinde bilgilendirmesini gerektiren bir teklif yer alıyor. Bildirim eşiği, bilgiye yetki olmadan erişildiğinde veya “makul olasılıkla erişilmiş” olduğunda olacaktır. Önerilen kural, “koruma önlemleri kuralı” tarafından kapsanan veri türlerini de genişletecektir. Genişletme, kamuya açık olmayan kişisel bilgiler için siber güvenlik korumaları gerektirecektir.
Başka bir teklif, Düzenleme Sistemleri Uyum ve Bütünlük kurallarını genişletecek ve güncelleyecektir. Teklif, menkul kıymet borsaları ve takas kurumları gibi halihazırda SCI kuralı kapsamında olan kuruluşların, bulut hizmeti sağlayıcıları da dahil olmak üzere üçüncü taraf riskini yönetmek için programları desteklemesini gerektirecektir. Ortalama toplam günlük dolar hacminin en az %10’u kadar ortalama günlük işlem hacmine sahip olan komisyoncu-satıcıları içerecek olan düzenlemeye tabi kuruluşların, yetkisiz erişim sorununu özel olarak ele alması gerekecektir.
Komisyon ayrıca, kayıtlı yatırım danışmanları ve şirketler için önerilen siber güvenlik düzenlemeleri hakkında kamuoyu yorumunu yeniden açtı.