Beş büyük bankacılık derneği, kamu şirketlerini dört iş günü içinde maddi siber güvenlik olaylarını açıklamaya zorlayan bir kuralı yürürlükten kaldırmaya resmi olarak ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) dilekçe verdi.
Kuruluşlar, kuralın, özellikle yabancı ihraççılar için Form 6-K uyarınca raporlama gereksiniminin ve yerli ihraççılar için Form 8-K Madde 1.05’in gereksiz riskler oluşturduğunu ve yatırımcının korunması amacına hizmet etmediğini iddia etmektedir.
SEC’in Uygulama Kurallarının 192 Kuralı uyarınca sunulan dilekçe, Amerikan Bankacılar Derneği (ABA), Banka Politikası Enstitüsü (BPI), Menkul Kıymetler Endüstrisi ve Finans Piyasaları Derneği (SIFMA), Amerika Bağımsız Topluluk Bankacıları (ICBA) ve Uluslararası Bankacılar Enstitüsü (IIB) tarafından ortaklaşa imzalanmıştır.
Bu kuruluşlar birlikte, trilyonları varlıklarda toplu olarak yöneten ve ülke çapında milyonlarca kişi istihdam eden firmalar da dahil olmak üzere ABD ve küresel finansal hizmetler sektörünün büyük çoğunluğunu temsil etmektedir.
SEC kuralına karşı dava
SEC’in 2023 yılında yürürlüğe giren siber güvenlik risk yönetimi, stratejisi, yönetişimi ve olay ifşa kuralı tartışmalı açıklama yetkileri içermektedir. Bu gereksinimler, şirketlerin maddi siber güvenlik ihlallerini sıkı, dört günlük bir zaman dilimi içinde halka açık bir şekilde duyurmaya zorlamaktadır-olay hala soruşturma altındaysa veya tam olarak iyileştirilmese bile.
Dilekçe, “Erken açıklama tescil ettirenlere zarar verdi ve aynı zamanda piyasaya yatırım kararları almak için anlamlı veya eyleme geçirilebilir bilgiler sağlayamadı” diyor. Bankacılık grupları ayrıca kuralın piyasadaki karışıklığı arttırdığını savunuyor. Şirketler genellikle 1.05 Madde, Madde 8.01 veya hiç rapor verip vermeyeceğine karar vermek için mücadele eder. Bu karışıklık, SEC tarafından verilen çok sayıda uyum ve açıklama yorumlarına, komisyon üyelerine ve yorum mektuplarına rağmen devam etmiştir.
Bankacılık grupları ayrıca, yabancı özel ihraççılar için Form 6-K açıklama gereksiniminin, küresel işleten kurumlar için gereksiz karmaşıklık ekleyerek Form 8-K Madde 1.05 ile aynı sorunları yansıttığını vurgulamaktadır.
Gerçek dünya sonuçları
Dilekçe sahipleri, kuralın yürürlüğe girmesinden bu yana gözlemlenen somut etkilere işaret ediyorlar. Örneğin, tescil ettirenlerin bir ihlalin kapsamını veya sonuçlarını tam olarak anlamadan önce açıklamaya zorlandıklarını belirtiyorlar. Bu, sadece siber güvenlik müdahale çabalarını baltalamakla kalmayıp aynı zamanda yatırımcıları eksik bilgilerle yanılttığını savunuyorlar.
Belirtilen bir sonuç, tehdit aktörleri tarafından ifşa kuralının silahlanmasıdır. 2023 yılında, hack grubu ALPHV, MeridianLink’e karşı bir veri ihlali bildirmediğini iddia ederek bir SEC şikayeti sundu. Bunun gibi olaylar, suçluların fidye yazılımı saldırıları sırasında ek baskı uygulamak için düzenleyici çerçeveden yararlandıklarını göstermektedir.
Finansal gruplar, kuralın bu şekilde kötüye kullanılmasının, şirketleri daha büyük siber güvenlik risklerine, artan sigorta yükümlülüklerine ve erken veya belirsiz açıklamalar nedeniyle daha fazla mali zarara maruz bırakabileceği konusunda uyarıyor.
Ulusal güvenlik ve kolluk kuvvetleri ile çatışma
Bir diğer önemli argüman, kuralın doğrudan ulusal siber güvenliğe yönelik diğer düzenleyici çabalarla çelişmesidir. Zorunlu kamu açıklamaları, diğer federal programlar altında gerekli olan gizli olay raporlarına müdahale edebilir ve kolluk soruşturmalarını engelleyebilir.
Dilekçe, “Karmaşık ve dar ifşa gecikme mekanizması olay müdahalesi ve kolluk soruşturmalarına müdahale ediyor” diye açıklıyor. Ayrıca, açıklamaların kamusal doğası, samimi iç iletişimi caydırabilir ve olay müdahale çabaları sırasında şirketler içindeki işbirliğini sınırlandırabilir.
Daha iyi bir alternatif çağrı
Dilekçeler, siber güvenlik olayları da dahil olmak üzere tüm önemli bilgilerin raporlanmasını gerektiren mevcut açıklama çerçevesinin, mevcut kuralın getirdiği ek riskler olmadan yeterli yatırımcı koruması sunduğunu iddia etmektedir.
SEC’in kendi personelinin, kuralını açıklığa kavuşturmak amacıyla, tasarımındaki temel sorunları yansıtan bir rehberlik ve yorum mektubu yaratması gerektiğini vurgularlar. Bankacılık grupları SEC’i Form 8-K Madde 1.05 ve ilgili Form 6-K gereksinimi tamamen iptal etmeye çağırdı.
Çözüm
SEC’in siber güvenlik olayı açıklama kuralını iptal etme dilekçesi, finansal hizmetler endüstrisindeki en etkili seslerden bazılarından birleşik ve güçlü bir duruşu temsil ediyor. 24,1 trilyon dolarlık bir endüstriyi temsil eden Amerikan Bankacılar Derneği tarafından yönetilen Banka Politikası Enstitüsü ile birlikte, siber güvenlik ve risk yönetimi savunuculuğunda bir lider olan koalisyon, bir milyon sermaye piyasası çalışanını, topluluk bankalarının rolünü ve 35 üzerindeki bankaların enstitüsünü temsil eden Amerika’nın bağımsız topluluk bankacılarını temsil eden SIFMA’yı da içeriyor.
Bu kuruluşlar birlikte SEC’i, operasyonel risklere, ulusal güvenlik kaygılarına ve yetersiz yatırımcı yardımına atıfta bulunarak, Form 6-K ve Form 8-K Madde 1.05 altındaki hızlı açıklama yetkilerini yeniden gözden geçirmeye çağırıyor.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.