SEC, 24 yıllık bir kuralda yapılan güncellemeyle, çok spesifik finansal kuruluşların finansal veri ihlali müdahale mekanizmalarına olan odağını sıkılaştırıyor.
Perşembe günü açıklanan değişiklikler, broker-satıcıların, finansman portallarının, yatırım şirketlerinin, kayıtlı yatırım danışmanlarının ve transfer acentelerinin, müşterilerin finansal bilgilerini içeren veri ihlallerini tespit etmek ve ele almak için kapsamlı planlar geliştirmesini zorunlu kılıyor.
Yeni kurallara göre, kapsam dahilindeki kurumların müşteri verilerini etkileyen ihlalleri tespit etmek ve hafifletmek için özel olarak tasarlanmış yazılı politika ve prosedürleri formüle etmesi, uygulaması ve desteklemesi gerekiyor. Ayrıca firmaların bir ihlal durumunda etkilenen müşterileri derhal bilgilendirmek, şeffaflığı sağlamak ve hızlı düzeltici eylemleri kolaylaştırmak için protokoller oluşturması gerekiyor.
SEC Başkanı Gary Gensler, “Son 24 yılda veri ihlallerinin doğası, ölçeği ve etkisi önemli ölçüde değişti” dedi. “SP Yönetmeliğinde yapılan bu değişiklikler, ilk olarak 2000 yılında kabul edilen bir kurala kritik güncellemeler yapacak ve müşterilerin mali verilerinin gizliliğinin korunmasına yardımcı olacaktır. Kapsam dahilindeki firmalar için temel fikir, eğer bir ihlal varsa, bunu bildirmeniz gerektiğidir. Bu yatırımcılar için iyi bir şey.”
Değişikliklere göre, düzenlemelere tabi kuruluşların, veri ihlalinin tespit edilmesinden itibaren en geç 30 gün süreyle etkilenen kişilere hızlı bir şekilde bildirimde bulunması gerekiyor.
Bildirim, olayla ilgili kapsamlı ayrıntıları, ele geçirilen verileri ve etkilenen tarafların bilgilerini korumaya yönelik uygulanabilir adımları içermelidir.
Değişiklikler Federal Kayıt’ta yayınlandıktan iki ay sonra yürürlüğe girecek olsa da, daha büyük kuruluşlara uyum sağlamak için 18 aylık bir ödemesiz süre verilecek, daha küçük kuruluşlara ise iki yıllık bir süre tanınacak. Ancak SEC, büyük ve küçük kuruluşlar arasında ayrım yapmak için açık kriterler sunmadı ve daha fazla açıklamaya yer bıraktı.
SEC’in Sıkı Yönergeleri Üzerine Tartışma
Bu değişikliklerin uygulamaya konması, halka açık şirketler için “önemli” siber güvenlik olaylarının zamanında SEC’e açıklanmasını zorunlu kılan yeni olay raporlama düzenlemelerinin uygulanmasıyla aynı zamana denk geliyor. ABD’deki halka açık şirketlerin mali durumlarını etkileyebilecek siber güvenlik ihlallerini açıklamaları için artık dört günü var.
SEC’in konuya ilgisi büyük bir endişeden kaynaklanıyor: Bilgi ihlali, şu anda kanunların gözünde gri bir alan olan, bilinçli ticaret adı verilen bir borsa faaliyetine yol açıyor.
Hewlett Packard ve Frontier’ın da aralarında bulunduğu birçok önde gelen şirket, bu düzenlemeler kapsamında gerekli başvuruları zaten sunmuş olup, siber güvenlik ifşaatlarına yönelik artan incelemelerin altını çizmektedir.
Temsilci Andrew Garbarino’nun çabaları da dahil olmak üzere bazı çevrelerden gelen itirazlara rağmen
Ancak SEC’in olay raporlama kuralı, Temsilciler Meclisi İç Güvenlik Komitesi Siber Güvenlik ve Altyapı Koruma Alt Komitesi Başkanı ve Temsilciler Meclisi Finansal Hizmetler Komitesi Üyesi Kongre Üyesi Andrew Garbarino’nun da aralarında bulunduğu yakın çevrelerden tepki aldı. Garbarino Kasım ayında Senatör Thom Tillis ile birlikte SEC’in yeni kurallarını onaylamayan ortak bir karar sundu.
“Bu siber güvenlik ifşa etme kuralı, SEC açısından tam bir aşırılıktır ve kongrenin niyetiyle doğrudan çelişmektedir. CISA, önde gelen sivil siber güvenlik kurumu olarak, kapsam dahilindeki kuruluşlarla ilgili siber olay raporlamaya yönelik düzenlemeler geliştirmek ve yayınlamakla görevlendirildi. Buna rağmen SEC, yalnızca yetersiz personele sahip siber güvenlik iş gücüne ek ve gereksiz raporlama gereklilikleri yüklemekle kalmayıp, aynı zamanda kongrenin talimatı olmadan ve güvenlik sağlamayı amaçlayan kamu hukukuna doğrudan aykırı olarak siber güvenlik riskini artıran mükerrer gereksinimler yaratmayı kendine görev edindi. Vatan,” dedi Garbarino o sırada.
Senatör Tillis, SEC’in “şirketleri unutulacak kadar aşırı düzenleyerek piyasa katılımcılarına zarar vermek için elinden geleni yaptığını” da sözlerine ekledi. Tüm yelpazedeki iş dünyası ve sektör liderleri yeni kurallara yoğun bir şekilde karşı çıktıklarını ifade ederken, Beyaz Saray düzenleyici çerçeveyi destekleme konusundaki kararlılığının sinyalini verdi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.