SEC, “kayıt yaptıranların karşılaştıkları maddi siber güvenlik olaylarını açıklamalarını ve siber güvenlik risk yönetimi, stratejileri ve yönetişimine ilişkin maddi bilgileri yıllık bazda açıklamalarını zorunlu kılan” bir dizi yönerge oluşturdu. Bu yeni yönergeler 18 Aralık 2023’te yürürlüğe girdi; bu da 2024’ün işletmeler ve işletmelerin mevcut güvenlik düzenlemelerine nasıl uydukları açısından önemli bir yıl olacağı anlamına geliyor.
Güvenlik olaylarının neyin, nasıl ve ne zaman ifşa edildiğine ışık tutan bir raporlama altyapısı oluşturmak, genel olarak sektör için önemlidir ve siber güvenliğin iş çapında bir sorun olarak görülmesine yönelik büyük bir adımdır. Bununla birlikte, SEC düzenlemelerinin kritik kısımları, şirketlerin neyin “önemli” bir olay teşkil ettiği ve uygun şekilde ifşa edilmemesi halinde verilecek cezaların tam boyutunun ne olabileceği konusunda kendi takdirine (ve kafa karışıklığına) bırakan spesifiklikten yoksundur.
2024’te bu belirsizliğin ortadan kaldırılması gerekiyor: Açık bir rehberlik olmadan şirketler, gerçek anlamda maddi olayları maskeleyen gürültü yaratacak kadar bilgileri aşırı açıklayabilir.
Minimum çıta muhtemelen emsal yoluyla belirlenecek
Siber güvenlik olayları oldukça çeşitlidir ve sürekli olarak gelişmektedir ve şirketler için benzersiz bir zorluk teşkil etmektedir. Şirketler, daha büyük ölçekli veri ihlalleriyle uğraşırken genellikle ihtiyatlı davranarak yasal riskleri azaltmak için kapsamlı açıklama yapmayı tercih ediyor.
Bu yeni yönergelerle ilgili zorluk, SEC’in, tescil ettirenlerin maddi olarak önemli sayılan herhangi bir siber güvenlik olayını şu şekilde detaylandırarak açıklamasını zorunlu kılan direktifinden kaynaklanmaktadır: “… olayın niteliği, kapsamı ve zamanlamasının yanı sıra olayın maddi etkisi veya makul derecede muhtemel maddi etkisi. mali durumu ve faaliyet sonuçları da dahil olmak üzere tescil ettirenle ilgili olay. Bu gereklilik, yoruma yönelik önemli bir alan bırakmaktadır ve somut tanımların yalnızca hukuki emsal yoluyla ortaya çıkması muhtemeldir. Doğal olarak şirketler bu tanımlar için test vakası haline gelmekten çekiniyor.
Bu belirsizlik, işletmelerin SEC ile aşırı iletişim kurmasına ve acil açıklama gerekliliklerine kapsamlı uyum sağlanmasına neden olabilir. Ancak bu yaklaşım “maddi” bilginin önemini azaltma riski taşır. Bir siber olayın etkisine ilişkin içgörüler için bir şirketin 8-K dosyalarına güvenen yatırımcılar, aşırı bilgi yüklemesi nedeniyle sonuç olarak kritik ayrıntıları gözden kaçırabilir.
Buna karşı koymak için SEC’in, özellikle ihtiyaç duyulan ayrıntıların sıklığı ve kapsamı konusunda açıklama gerekliliklerini açıklığa kavuşturmak için proaktif diyaloglar kurması gerekiyor. Böyle bir rehberliğin yokluğunda, “yaptırım yoluyla düzenleme”, istemeden de olsa işletmeler için henüz yasal bir ortamda örneklendirilmemiş bir norm haline gelebilir.
Tüm siber güvenlik olayları kamuya açıklanmayı gerektirmez
Bir olayın önemliliğinin belirlenmesi, SEC kurallarındaki bir başka belirsiz görevdir. Derhal açıklanması ulusal güvenlik veya kamu güvenliği açısından bir risk oluşturmadığı sürece (resmi bir istisna süreci yoluyla onaylanması gerekir), şirketlerin önemli olduğu belirlenen bir olayı açıklamak için dört iş günü olacak.
Şirketler ayrıca olayın fark edilmesinin ardından “makul bir gecikme olmaksızın” önemliliği belirlemelidir. Önemliliğin belirlenmesi ne kadar zaman alır? Cevap yine siber olayın kapsamına ve niteliğine bağlı olarak hareketli bir hedeftir, dolayısıyla şirketler temkinli davranabilir. Her şeyin korkudan rapor edilmesi halinde, ifşa düzenlemesinin amacının değeri bozulabilir.
Etkilenenler üzerindeki etkisi, şirketin operasyonları üzerindeki etkisi ve gelecekteki etkileri de dahil olmak üzere neyin önemli bir ihlal teşkil ettiğinin daha açık bir şekilde tanımlanmasına acil bir ihtiyaç vardır. Tüm olaylar kamuya açıklanmayı gerektirmez; birçoğu normal operasyonlarda önemli bir kesinti olmaksızın dahili olarak yönetilebilir.
Aşırı raporlamanın aynı zamanda şirket içi yansımaları da vardır. Özellikle mevzuata uyum baskısı altında, bir ihlalin önemliliğini değerlendirmek için önemli miktarda kaynak tüketilir. Açık yönergelerin bulunmaması halinde, ihlali ele alma ve genel güvenliği güçlendirme konusunda daha iyi kullanılabilecek kaynaklar uyumluluk faaliyetlerine yönlendirilebilir. Bu nedenle, düzenleyici kurumların proaktif yönergeleri yalnızca dış paydaşlar için değil, aynı zamanda şirketin gelecekteki güvenlik duruşunu güçlendirmek açısından da hayati öneme sahiptir.
Çözüm
2024, siber güvenlik şirketleri ve hissedarları için çok önemli bir yıl olmaya hazırlanıyor; burada “yaptırım yoluyla düzenleme” büyük olasılıkla maddi siber olaylar yaşayan şirketler için ortak bir tema olacaktır.
Bir siber güvenlik olayını neyin “önemli” kıldığını tanımlamak ve “minimum düzeyde uygulanabilir” bir güvenlik duruşu için daha iyi temeller oluşturmak için devam eden bir süreç vardır. Bu bağlamda düzenleyicilerin net eylemi ve rehberliği zorunludur. Düzenleyiciler ve sektör bu alanda proaktif olmazsa, “güvenli davranma” zihniyeti aşırı bilgi yüklenmesine yol açarak bu düzenlemelerin etkinliğini azaltabilir.
Siber güvenlik olaylarının şirketler için yaygın bir olay olduğunu ancak hepsinin kamuya açıklanmasını gerektirmediğini bilmek önemlidir.