Komisi Sekuritas dan Bursa AS (SEC) telah mengusulkan aturan manajemen risiko keamanan siber baru untuk perusahaan yang mengharuskan mereka untuk lebih transparan dengan pengungkapan pelanggan.
Aturan baru akan diterapkan sebagai amandemen terhadap berbagai bentuk pengungkapan keamanan siber dan secara khusus akan menargetkan penasihat investasi, dana investasi, dan perusahaan pengembangan bisnis.
Tidak ada lagi peretasan keamanan siber yang disembunyikan
Memperkenalkan peraturan yang lebih ketat mengenai pengungkapan keamanan siber bukanlah upaya baru dari SEC. Pada tahun 2018, mantan Komisaris SEC Robert J. Jackson Jr. mengatakan bahwa persyaratan pengungkapan saat ini “salah di sisi nondisclosure” dan sering membuat investor tidak tahu apa-apa ketika perusahaan mengalami peretasan atau serangan keamanan siber lainnya.
Saat ini, manajemen perusahaan hanya diwajibkan untuk memberi tahu dewan tentang masalah keamanan siber, tanpa kewajiban untuk membagikannya kepada investor atau pelanggan lain. Namun, laporan gabungan tahun 2021 menunjukkan bahwa pada tahun 2020, hanya 17% dari perusahaan Fortune 100 yang disurvei melaporkan masalah keamanan siber kepada anggota dewan setiap tahun atau setiap tiga bulan.
SEC tampaknya ingin mengubah ini karena menghabiskan sebagian besar tahun 2022 dengan memperkenalkan berbagai proposal yang — jika disahkan — akan mengharuskan perusahaan publik untuk melaporkan serangan dan insiden dunia maya.
Ini adalah kasus dengan Manajemen Risiko Keamanan Siber untuk Penasihat Investasi, Perusahaan Investasi Terdaftar, dan Perusahaan Pengembangan Bisnis proposal, diterbitkan pada 9 Februari.
Dalam dokumen tersebut, SEC mengusulkan untuk memperkenalkan aturan baru di bawah Undang-Undang Penasihat Investasi tahun 1940 dan Undang-Undang Perusahaan Investasi tahun 1940 yang mewajibkan dana dan penasihat untuk menerapkan kebijakan keamanan siber baru. Menurut dokumen tersebut, kebijakan dan prosedur ini secara khusus dirancang untuk mengatasi risiko keamanan siber dengan mewajibkan perusahaan untuk melaporkan insiden keamanan siber yang signifikan yang memengaruhi penasihat, dana, atau klien dana swasta ke SEC.
“Kami percaya membutuhkan penasihat dan dana untuk melaporkan terjadinya insiden keamanan siber yang signifikan akan meningkatkan efisiensi dan efektivitas upaya kami untuk melindungi investor, pelaku pasar lainnya, dan pasar keuangan sehubungan dengan insiden keamanan siber,” kata SEC dalam proposal tersebut.
Jamil Farshchi, kepala petugas keamanan informasi di Equifax, mengatakan Bloomberg News bahwa aturan yang diusulkan akan membawa transparansi yang sangat dibutuhkan bagi kepemimpinan perusahaan dan membutuhkan akuntabilitas yang belum pernah terjadi sebelumnya dalam hal keamanan siber.
Lebih banyak aturan sama dengan SEC yang lebih kuat
Banyak yang percaya bahwa dorongan SEC baru-baru ini untuk memainkan peran yang lebih aktif dalam memperkuat aturan terkait keamanan siber adalah akibat langsung dari peretasan SolarWinds. Peristiwa terkenal itu secara luas dianggap sebagai salah satu insiden spionase dunia maya terburuk yang diderita oleh AS, karena negara itu melihat banyak bagian dari pemerintah federalnya menjadi sasaran sekelompok peretas yang didukung Rusia.
Para penyerang menginfeksi pembaruan dari kontraktor federal AS, menggunakannya sebagai papan loncatan untuk menyusup ke berbagai lembaga pemerintah dan perusahaan. Setelah peretasan, SEC mengirim surat kepada perusahaan yang diyakini berisiko dari peretasan, mengharuskan mereka untuk melaporkan sendiri jika mereka telah diretas dan kerusakan yang ditimbulkan oleh peretasan tersebut.
Karena Komisi menerima jumlah pengungkapan yang kurang, Komisi memulai Program Amnesti—menawarkan pengampunan kepada perusahaan yang akhirnya memenuhi permintaan laporan diri, bahkan jika mereka sebelumnya tidak mengungkapkan insiden tersebut kepada investor.
Pada saat itu, National Association of Corporate Directors, Cyber Threat Alliance, dan SecurityScorecard semuanya menyebut program itu "penting", karena menandakan pandangan SEC yang berkembang tentang risiko dunia maya. Sachin Bansal, kepala bisnis dan petugas hukum SecurityScorecard, menyebutnya sebagai momen "batas air" bagi SEC.
Namun, terlepas dari ini, proposal baru SEC meninggalkan banyak hal yang terlewatkan.
Aturan baru akan mengharuskan perusahaan untuk mengungkapkan insiden cyber "materi" atau "signifikan" jika diterapkan. SEC menganggap informasi "materi" sebagai informasi apa pun dengan "kemungkinan besar bahwa pemegang saham yang wajar akan menganggapnya penting."
Banyak yang menganggap definisi SEC terlalu kabur untuk membawa transparansi yang berarti ke pasar. Ketidakjelasan juga berarti bahwa aturan akan tunduk pada interpretasi oleh SEC berdasarkan kasus per kasus, meninggalkan ruang bagi perusahaan untuk mengajukan banding atas putusan dan menetapkan preseden yang dapat membuat proposal pada dasarnya tidak berharga.
Namun, masih ada ruang untuk ditingkatkan. SEC tidak akan memberikan suara pada proposal untuk beberapa minggu lagi, meninggalkan banyak ruang bagi peserta industri untuk berbagi keprihatinan dan saran mereka dengan Komisi.
Tidak jelas bagaimana ini mempengaruhi industri kripto — dengan semakin banyak dana investasi termasuk berbagai aset digital dan turunan kripto dalam portofolio mereka. Namun, aturan yang diusulkan dapat menghasilkan banyak pengungkapan yang berasal dari ruang crypto.
Sumber: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/