19 апреля 2023 г. — Кибербезопасность становится все более серьезной проблемой для инвесторов и приоритетом для Комиссии по ценным бумагам и биржам. Комиссия по ценным бумагам и биржам признала, что киберугрозы «вездесущи» и представляют серьезную опасность для наших рынков капитала. Сообщество инвесторов и комментаторы признают, что необходимо, чтобы SEC и суды действовали быстро и строго, требуя от компаний надежного и немедленного раскрытия инцидентов кибербезопасности, а также внедрения мер безопасности для защиты от кибератак.
SEC хорошо оснащена для решения проблем кибербезопасности. Чиновники Комиссии проследили за усилиями по нормотворчеству, начатыми в 2022 году, и перечислили три инициативы в области кибербезопасности в своей Единой программе действий по регулированию и дерегулированию на осень 2022 года.
В число пунктов повестки дня в области кибербезопасности входят: защита данных, обнаружение кибератак и реагирование на них, а также информирование общественности о кибербезопасности.
Будут введены дополнительные правила для устранения рисков кибербезопасности и связанного с ними раскрытия информации.
Поправки к правилам, которые помогут инвесторам понять управление рисками кибербезопасности, стратегию и управление владельца регистрации, а также обеспечить своевременное уведомление о существенных инцидентах кибербезопасности.
Существуют правила для улучшения раскрытия информации фондами и инвестиционными консультантами и управления рисками кибербезопасности.
Хотя некоторые из этих инициатив находятся на «этапе окончательного правила», остается неясным, предпримет ли SEC действия по улучшению раскрытия информации и мер безопасности, связанных с кибербезопасностью.
В 2022 году SEC предприняла многообещающие шаги для защиты инвесторов от вредоносных киберинцидентов. 3 мая 2022 года SEC почти удвоила размер подразделения кибер-и крипто-активов отдела правоприменения. Это усиленное подразделение все еще находится на ранней стадии разработки, но пока есть обнадеживающие признаки.
За последний год департамент предпринял принудительные меры в отношении нескольких организаций, регулируемых SEC, за несоблюдение надлежащих мер контроля кибербезопасности и неспособность должным образом раскрыть связанные с кибербезопасностью риски и инциденты. SEC обвинила компании в нарушении Регламента S-P, который требует от организаций, регулируемых SEC, «принятия письменных политик и процедур, касающихся административных, технических и физических мер безопасности для защиты записей и информации о клиентах».
Эти принудительные действия SEC привели к обвинениям, штрафам и урегулированию. Например, в июле 2022 года SEC обвинила JP Morgan Securities LLC, UBS Financial Services Inc. и TradeStation Securities, Inc. в недостатках их программ кибербезопасности, которые позволили совершить кражу личных данных клиентов (с января 2017 года по октябрь 2019 года). Эти фирмы в конечном итоге заплатили штрафы в размере 1,2 миллиона долларов, 925 000 долларов и 425 000 долларов соответственно для урегулирования обвинений. Смотрите пресс-релиз здесь.
В сентябре 2022 года SEC обязала Morgan Stanley Smith Barney LLC выплатить 35 миллионов долларов за неспособность обеспечить надлежащую защиту записей и информации 15 миллионов клиентов.
Недавние действия SEC по обеспечению кибербезопасности не ограничиваются только регулируемыми организациями. Отдельные лица также привлечены к ответственности за правонарушения, связанные с нарушениями кибербезопасности. Например, в августе 2022 года SEC возбудила иск против трех человек за незаконное предоставление чаевых и торговлю ценными бумагами Equifax, Inc. в преддверии объявления компании в 2017 году о массовом кибервторжении и утечке данных. Обвиняемые были связаны с фирмой по связям с общественностью, нанятой для оказания помощи в обработке запросов, вызванных объявлением о вторжении и взломе.
Два ответчика, не признавая и не отрицая обвинения в жалобе SEC, каждый дал согласие на вынесение окончательного решения. Этим ответчикам было приказано отказаться от своей прибыли и выплатить гражданские штрафы, а также им навсегда запретили нарушать раздел 10 (b) Закона о биржах. Третий подсудимый оспаривает обвинения.
Комиссия по ценным бумагам и биржам вновь открыла период комментариев для предложенных правил и поправок, касающихся управления рисками кибербезопасности и раскрытия информации, связанной с кибербезопасностью, для зарегистрированных инвестиционных консультантов, зарегистрированных инвестиционных компаний и компаний по развитию бизнеса в марте 2023 года.
Комиссия по ценным бумагам и биржам предложила Правило 10, которое требует от организаций принятия конкретных мер для защиты от рисков кибербезопасности. Если Правило 10 будет принято, рыночные субъекты, включая брокеров-дилеров и национальные биржи ценных бумаг, должны будут установить, поддерживать и применять письменные политики и процедуры, которые разумно разработаны для устранения их рисков кибербезопасности.
Субъекты рынка должны будут пересматривать и оценивать свои политики и процедуры в области кибербезопасности не реже одного раза в год, а также направлять SEC электронное уведомление о значительных инцидентах в области кибербезопасности, как только у субъектов рынка появятся разумные основания полагать, что они произошли.
В случае принятия Правило 10 потребует от субъектов рынка сообщать о киберрисках и инцидентах в Комиссию по ценным бумагам и биржам в «Форме SCIR», часть которой будет доступна для общественности. В целом правило поможет обеспечить большую прозрачность внутренней работы субъектов рынка и лучшую оценку киберрисков на рынках ценных бумаг США. Период общественного обсуждения предложенного правила в настоящее время открыт до 22 мая 2023 года.
В то время как SEC продолжает предпринимать принудительные действия и предлагать правила кибербезопасности для управления другими регулируемыми организациями, акционеры ожидают решения SEC по правилу, предложенному в марте 2022 года, которое еще больше усилит и стандартизирует требования к раскрытию информации в отношении управления рисками кибербезопасности, стратегии, управления и отчетности об инцидентах. .
Предложенное SEC в марте 2022 года правило требует от публичных компаний сообщать о существенных инцидентах кибербезопасности в форме 8-K. Предлагаемое правило также требует периодического раскрытия информации о политиках и процедурах владельца регистрации для выявления и управления рисками кибербезопасности, роли руководства в реализации политик и процедур кибербезопасности, а также об опыте совета директоров в области кибербезопасности, если таковой имеется.
Предлагаемое правило потребует от компаний предоставлять обновленную информацию о ранее зарегистрированных инцидентах кибербезопасности, а также о новых мерах кибербезопасности, которые они внедрили. Правило SEC, касающееся кибербезопасности, предоставит дополнительные возможности для наказания компаний, которые не применяют меры кибербезопасности и не раскрывают надлежащую информацию.
SEC работает над созданием более согласованного режима регулирования кибербезопасности к 2023 году, но неясно, каковы будут долгосрочные последствия для компаний, находящихся под ее юрисдикцией. Дополнительная ясность и структура принесут пользу как SEC, так и акционерам, которые хотят остановить компании, которые не раскрывают надлежащую информацию о кибер-инцидентах.
Джонатан Д. Усланер регулярно участвует в судебных разбирательствах по ценным бумагам в Reuters Legal News и Westlaw Today.
