Menkul Kıymetler ve Borsa Komisyonu’nun Kurumsal Finansman Bölümü lideri, kurumun yeni siber güvenlik kurallarının tehdit gruplarına saldırıları konusunda bir yol haritası sağlayacağı veya güvenlik yöneticilerine aşırı bir yük getireceği yönündeki endişeleri küçümsedi.
Kurumsal Finansman Bölümü Direktörü Erik Gerding, personelin Temmuz ayında kabul edilen nihai kurallardan önce bu konuları kendi iç görüşmelerinin bir parçası olarak dikkatle değerlendirdiğini söyledi.
Gerding Nihai tavsiyelere ilişkin bazı önemli çıkarımlar sağladık, Perşembe günü, SEC’in uygulama tarihlerinin başlamasının planlanmasından hemen önce kamuoyuna yapılan açıklamalarda. Ajans, Mart 2022 tavsiyelerinin ardından geniş bir kamuoyu yorumu aldı ve nihai dilde birkaç önemli değişiklik yaptı.
Gerding, nihai önerilerdeki bazı ana noktaların yanı sıra orijinal önerilerdeki önemli değişiklikleri de vurguladı:
SEC daha önce siber rehberlik yayınlamıştı
SEC daha önce, 2011’de yayınlanan personel kılavuzu ve en son 2018’de yayınlanan tavsiyeler de dahil olmak üzere siber güvenliğin ifşa edilmesine ilişkin bir kılavuz yayınlamıştı. Gerding, SEC’in önceki kılavuzun yayınlanmasından bu yana uyumlulukta iyileşme görse de şirketlerin güvenlik açıklamalarında tutarsız davrandığını söyledi.
“Komisyon, yeni kuralların yatırımcılara bilinçli yatırım ve oylama kararları vermeleri için ihtiyaç duydukları daha zamanlı, tutarlı, karşılaştırılabilir ve karar verme açısından yararlı bilgileri sağlayacağını belirledi.” dedi.
Daha fazla ekonomik tehdit var
Ekonomi büyük ölçüde dijital sistemlere bağımlı ve uzaktan çalışmadaki artış, dijital ödemelerin kullanımı ve bulut bilişim hizmetleri de dahil olmak üzere BT için üçüncü taraf sağlayıcılara daha fazla güvenmek, siber risk ortamını artırıyor.
“Benim görüşüme göre, yapay zeka ve diğer teknolojiler, hem kamu şirketlerinin siber güvenlik tehditlerine karşı savunma yeteneğini hem de tehdit aktörlerinin karmaşık saldırılar başlatma kapasitesini artırabilir.” dedi Gerding.
Gerding, SEC’in siber güvenlik olaylarının şirketlere ve yatırımcılara olan potansiyel maliyetinin endişe verici oranlarda arttığını gördüğünü söyledi. Tüm bunların daha iyi açıklamalara duyulan ihtiyacı artırdığını söyledi.
SEC güvenliği yönetmek istemiyor
Gerding, SEC’in şirketlerin siber güvenlik politikalarını veya prosedürlerini nasıl yönetmeleri gerektiğini dikte etmeye çalışmadığını vurguladı.
Gerding, “Halka açık şirketler, siber güvenlik risklerini ve tehditlerini kendi özel durum ve koşullarına göre nasıl ele alacaklarına karar verme esnekliğine sahip” dedi. “Ancak yatırımcılar, halka açık şirketlerin ne kadar başarılı olduğunu değerlendirmek için tutarlı ve karşılaştırılabilir açıklamalara ihtiyaç duyduklarını belirttiler” öyle yapıyorlar.”
Son kuralı anlamak
Nihai kural, orijinal tekliften daha dar kapsamlı olan “maddi” siber güvenlik olaylarının ifşa edilmesini gerektiriyor. SEC, uyumluluk maliyetlerinin yanı sıra şirketin olaylara müdahale etme ve düzeltme ihtiyacını da hesaba kattı.
Ancak nihai kural, bir şirketin bir olaya nasıl tepki vereceğine veya sistem açıklarına ilişkin ayrıntılara ilişkin herhangi bir spesifik teknik açıklama gerektirmiyor.
“Komisyon böylece açıklama ihtiyacını, belirli teknik bilgilerin açıklanmasının, tehdit aktörlerinin gelecekteki saldırılar için kullanabileceği bir yol haritası sağlaması riskiyle dengeledi” dedi.
Ulusal güvenlik kaygıları
Nihai açıklama kuralları, şirketlerin Adalet Bakanlığı’ndan gelecek bir bildirime bağlı olarak ulusal güvenlik kaygılarına dayalı olarak bildirimi geciktirmelerine olanak tanıyor. FBI bu ayın başında süreci açıklayan bir politika bildirimi yayınladı şirketlerin maddi siber olayları ifşa etmek için ulusal güvenlik gecikmelerini araması.
Gerding, bölümün, ulusal güvenlik gerekçesiyle gecikme isteyen bir şirketin, bir siber güvenlik olayını otomatik olarak açıklama gerektiren önemli bir konu haline getirmeyeceğini belirten bir Uyumluluk ve İfşa Yorumu yayınladığını belirtti. Olayla ilgili tüm gerçeklerin yine de dikkate alınması gerekiyor.
Açıklama gereklilikleri, bir kuruluşun önemliliği belirlemeden önce FBI’a, Adalet Bakanlığı’na, Siber Güvenlik ve Altyapı Güvenlik Ajansı’na veya başka bir ulusal güvenlik veya emniyet teşkilatına danışmasını engellemez.