2 czerwca 2023 r. amerykańska Komisja Papierów Wartościowych i Giełd (SEC) wydała oświadczenie, w którym poinformowała opinię publiczną, że naruszenie wewnętrznych danych z 2017 r. miało znacznie większy wpływ, niż wcześniej sądzono. Ta wiadomość pojawia się w trakcie proponowanych zmian zasad SEC dotyczących zgłaszania incydentów cybernetycznych przez spółki publiczne. Samo naruszenie przez agencję podkreśla trudności operacyjne i potencjalne negatywne skutki przestrzegania tej zbliżającej się – choć jeszcze nie sfinalizowanej – zmiany zasad.

Naruszenie danych SEC

W kwietniu 2022 r. SEC poinformowała, że ​​niektórzy z jej pracowników organów ścigania uzyskali dostęp do uprzywilejowanych materiałów dotyczących rozstrzygania spraw toczących się w jej wewnętrznym systemie sądownictwa. Ponad rok później, po przeprowadzeniu wewnętrznego przeglądu, SEC poinformowała, że ​​problem dotyczy 89 jej przypadków, a nie wcześniej zgłoszonych dwóch przypadków.

Kanadyjskie organy regulacyjne rynków kapitałowych nie były odporne na własne incydenty związane z danymi – Kanadyjska Organizacja Regulacyjna Przemysłu Inwestycyjnego (IIROC) była ostatnio przedmiotem pozwu zbiorowego dotyczącego prywatności w Quebecu w związku z naruszeniem danych w 2013 r. (chociaż pozew ten został ostatecznie oddalony).

Proponowana zmiana zasad raportowania

Ogłoszona w marcu 2022 r. proponowana przez SEC zmiana przepisów wprowadzi ulepszony i ustandaryzowany system ujawniania informacji w zakresie zarządzania ryzykiem cybernetycznym, strategii, zarządzania i zgłaszania incydentów dla spółek publicznych. Między innymi SEC nakaże ujawnienie przez rejestrujących SEC za pośrednictwem formularza 8-K informacji związanych z „istotnymi incydentami związanymi z cyberbezpieczeństwem” w ciągu czterech dni roboczych od stwierdzenia, że ​​naruszenie jest istotne. „Incydent cybernetyczny” to nieautoryzowane zdarzenie w systemie informatycznym podmiotu zarejestrowanego w SEC, które zagraża poufności, integralności lub dostępności systemu, w tym wszelkich znajdujących się w nim informacji. Informacja o takim incydencie jest uważana za istotną, jeżeli „istnieje duże prawdopodobieństwo, że rozsądny akcjonariusz uznałby ją za ważną” przy podejmowaniu decyzji inwestycyjnej lub gdyby „znacząco zmieniłaby„ całość ”udostępnionych informacji”. We wniosku wskazano szereg kluczowych rodzajów informacji, które należy ujawnić w formularzu 8-K:

• Kiedy incydent został odkryty i czy trwa.
• Krótki opis charakteru i zakresu zdarzenia.
• Czy jakiekolwiek dane zostały skradzione, zmienione, udostępnione lub użyte do innych nieautoryzowanych celów.
• Wpływ incydentu na działalność rejestrującego oraz
• Czy rejestrujący naprawił lub obecnie usuwa incydent.

Niezależnie od oczekiwania takiego szczegółowego ujawnienia, zainteresowane podmioty regulowane nie będą musiały publicznie ujawniać konkretnych informacji na temat planowanej reakcji na incydent lub potencjalnych luk w zabezpieczeniach systemu, które utrudniałyby samą reakcję.

SEC przedstawiła tę zmianę zasad jako instrument ochrony inwestorów w celu ujednolicenia ujawniania informacji, złagodzenia obaw związanych z niedostateczną sprawozdawczością oraz terminowego i spójnego powiadamiania inwestorów o istotnych incydentach związanych z cyberbezpieczeństwem. Jednak proponowane zmiany, a zwłaszcza obowiązek raportowania w ciągu czterech dni, spotkały się z poważną krytyką ze strony komentatorów branżowych. Jak wynika z własnych doświadczeń SEC, pełna skala i skutki incydentu rzadko są znane na tak wczesnym etapie, a publiczne ujawnienie niekompletnych (i często niedokładnych) informacji może nie tylko wprowadzić w błąd inwestorów, ale także narazić rejestrujących na odpowiedzialność za wprowadzanie inwestorów w błąd. Wczesne ujawnienie może również zagrozić dochodzeniom wewnętrznym i utrudnić działania naprawcze poprzez informowanie cyberprzestępców, powodując dalsze szkody dla firmy i inwestorów.

Ani ujawnienie SEC z kwietnia 2022 r., ani z czerwca 2023 r. nie wspomina o dacie, w której incydent został uznany za istotny, co stawia pod znakiem zapytania, czy SEC była w stanie zastosować się do własnych proponowanych wymogów dotyczących ujawniania informacji.

Kanadyjskie obowiązki informacyjne

Kanadyjscy emitenci publiczni są zobowiązani przez prowincjonalne organy regulacyjne ds. papierów wartościowych do ujawniania istotnych zmian, co do których można zasadnie oczekiwać, że wpłyną na cenę rynkową lub wartość spółki. Jak wskazano w zawiadomieniu personelu 51-347, w pewnych okolicznościach incydenty cybernetyczne mogą należeć do tej kategorii. Podczas gdy kanadyjskie organy regulacyjne ds. papierów wartościowych opublikowały wytyczne dotyczące incydentów cybernetycznych, w tym ogólne oczekiwania dotyczące ujawnień, konkretne szczegóły takiego ujawnienia pozostawia się w dużej mierze do określenia przez zainteresowanego emitenta. Wytyczne regulacyjne przyznają, że to, co stanowi istotne naruszenie, może się różnić w zależności od branży, rodzaju incydentu i zakresu konsekwencji. Jeśli chodzi o czas, w wytycznych uznano, że często występuje opóźnienie między wystąpieniem a wykryciem naruszenia, a ocena pełnego zakresu wpływu może zająć trochę czasu. Wreszcie, ujawniając informacje, emitent powinien rozważyć zapewnienie „widoczności co do przewidywanego wpływu i kosztów incydentu”.

Oprócz wymagań wynikających z kanadyjskich przepisów i regulacji dotyczących papierów wartościowych, organizacje mogą być zobowiązane do zgłaszania określonych rodzajów incydentów cybernetycznych zgodnie z obowiązującymi prowincjonalnymi i federalnymi przepisami dotyczącymi prywatności. Na przykład organizacje podlegające art Ustawa o ochronie danych osobowych i dokumentach elektronicznych (PIPEDA) musi zgłaszać naruszenia zabezpieczeń dotyczące danych osobowych, które stwarzają realne ryzyko znacznej szkody dla osób fizycznych, do Komisarza ds. Prywatności Kanady i powiadamiać osoby, których to dotyczy.

Dania na wynos

Zmiany SEC w jej wymogach ujawniania informacji dotyczących incydentów cybernetycznych były bardzo oczekiwane od ponad roku i wynikają z niedawnych wzmożonych wysiłków SEC w celu zajęcia się implikacjami cyberbezpieczeństwa dla rynku kapitałowego. W przeciwieństwie do propozycji SEC, bardziej „oparte na zasadach” kanadyjskie podejście wprowadzone w 2017 roku zapewnia emitentom raportującym znacznie większą elastyczność w określaniu treści ujawnień na podstawie ich własnej oceny istotności. Dopiero okaże się, czy SEC zmieni proponowaną zmianę przepisów w oparciu o własne niedawne doświadczenia.