Търсене
Close this search box.

Организациите са изправени пред големи санкции за неразкриване на нарушения

Това може да се превърне в кошмар за правоприлагащите органи – потенциално милиони долари под формата на глоби, накърняване на репутацията, съдебни дела срещу акционери и други санкции очакват компаниите, които не спазват новите правила на SEC за оповестяване на нарушения на сигурността на данните.

Компаниите и техните ръководители на информационни системи могат да бъдат изправени пред глоби от стотици хиляди до милиони долари и други санкции от Комисията по ценните книжа и фондовите борси на САЩ (SEC), ако не приведат в ред процесите си за киберсигурност и оповестяване на нарушения на сигурността на данните, за да се съобразят с новите правила, които вече влязоха в сила.

За тези, които може да се окажат в грешната страна на разследване, е важно да знаят, че SEC разполага с различни инструменти, които може да използва за прилагане на законодателството. Те варират от постоянна съдебна забрана, нареждаща на обвиняемия да прекрати поведението, което е в основата на делото, през връщане на незаконно придобити печалби, до три нива на ескалиращи санкции, които могат да доведат до астрономически глоби.

Освен това Комисията по ценните книжа и фондовите борси може да забрани на дадено лице да изпълнява определени функции, като например да заема място в управителния съвет на други дружества, а подобни случаи могат да доведат и до нарастващи съдебни такси, увреждане на репутацията на предприятието и ръководителите, както и до парични обезщетения от искове на акционери.

Правилата на SEC за нарушенията имат остри зъби

Все още не са предприети действия по прилагане на законодателството, но в много отношения изискването дружествата да оповестяват всички „съществени“ инциденти, свързани с киберсигурността, се вписва в съществуващата рамка на SEC за разследване и санкции. Като цяло, компаниите трябва да са готови за разследване от страна на SEC.

Това означава, че трябва да предоставят на своите CISO възможността да изпълнят правилата, казва Джена Валдетеро, акционер и съпредседател на практиката по защита на личните данни и киберсигурността в САЩ в адвокатската кантора Greenberg Traurig, LLP.

„Комисията по ценни книжа и фондови борси много ясно показа, че това е приоритет на правоприлагането, така че наистина няма как да се борим с кметството по този въпрос“, казва тя и добавя: „Смятам, че CISO имат право да бъдат много загрижени, защото Комисията по ценни книжа и фондови борси ясно каза: „ще направим така, че отговорността да се поема от CISO“, [защото те са] най-добрият човек, който знае какви мерки за спазване на киберсигурността са въведени и пред какви рискове са изправени.“

Комисията по ценни книжа и фондови борси (SEC) традиционно има четири основни вида санкции, като всички те могат да бъдат приложени в кибернетичния свят. Първото е постоянно съдебно разпореждане, което не позволява на дружеството и на отделните лица да продължат да извършват определен вид дейност. Второ, отнемането на незаконно придобити печалби води до санкции, равни на размера на печалбата, за която се предполага, че е получена чрез измама или неразкриване на информация. Трето, те могат да поискат заповед, която забранява на дадено лице да работи като служител или директор, според Стив Малина, акционер в Greenberg Traurig и бивш старши адвокат в отдела за правоприлагане на SEC.

Тези три форми на облекчение обаче са доста малки в сравнение с потенциалните парични глоби, казва той. Санкциите започват от 5 000 долара на нарушение за всяко нарушение на правилата на SEC и бързо нарастват до 100 000 долара на нарушение – или 50 000 и 500 000 долара за организации – в зависимост от това дали е имало измама и дали инвеститорите са били ощетени. SEC може също така „да разбие на части случаите и всеки един път, когато смята, че сте нарушили закона,  да го приеме самостоятелно нарушение“, казва той.

„Постоянната забрана – като оставим настрана щетите за репутацията  е просто заповед, че няма да нарушавате закона отново“, казва Малина. „Но лишаването от права, гражданските парични санкции, те имат истински последици и могат наистина да навредят на нечие бъдеще в бизнеса.“

Тези санкции не включват увреждане на репутацията, искове от акционери и разходи за защита срещу всяко разследване или съдебен процес, казва той.

Страх и омраза в ръководството

Освен традиционните санкции за правоприлагане, има и други разходи, свързани с действията на SEC по правоприлагане.

Действията на SEC по прилагане на законодателството срещу SolarWinds и нейния CISO Тимъти Браун изненадаха ръководителите – може би повече, отколкото самите разпоредби на SEC. Независимо дали агенцията ще спечели делото си, или SolarWinds и Браун ще се защитят успешно, разходите за съдебния процес и ефектът му върху репутацията на компанията подчертават щетите, които могат да бъдат нанесени от всяко действие на SEC по прилагане на законодателството.

Може би най-притеснителното за CISO е личната отговорност, пред която са изправени за много области на бизнес операции, за които в миналото не са носили отговорност. Само половината от CISOs (54%) са уверени в способността си да се съобразят с решението на SEC, а две трети от CISOs (68%) се чувстват претоварени да се справят с новите правила, според проучване сред 300 ръководители, проведено от AuditBoard, облачна платформа за риск и съответствие.

„Винаги е имало отговорност на главния мениджър, но сега CISO имат ниво на лична отговорност, каквото не са имали никога преди“, казва Ричард Маркъс, вицепрезидент по информационна сигурност в компанията. „Ако нямате закована процедура за справяне с това и вземете погрешно решение, и не сте разкрили информация, когато е трябвало, можете да бъдете подведени под лична отговорност – много CISO, с които разговаряме, са загрижени за това.“

Всичко това води до широко преосмисляне на ролята на CISO, казва Кен Фишкин, старши мениджър по информационна сигурност – по същество изпълняващ длъжността CISO – в адвокатската кантора Lowenstein Sandler LLP.

„Много хора са много притеснени да заемат позиция като моята сега заради тази отговорност“, казва той. „Това е проблем на компанията, а не само на CISO. Всички ще бъдат много предпазливи по отношение на проверката на изявленията – защо трябва да казвам това? – без да има правна благословия … защото са много притеснени, че срещу тях ще бъдат повдигнати обвинения за дадено изявление.“

Притесненията ще доведат до допълнителни разходи за предприятията. Заради допълнителната отговорност компаниите ще трябва да имат по-всеобхватна застраховка за отговорност на директорите и служителите (D&O), която да покрива не само правните разходи на CISO за защита, но и разходите им по време на разследване.

Предприятията, които няма да плащат за подкрепа и защита на своя CISO, може да се окажат в невъзможност да наемат служители за тази позиция, а обратно – CISO може да имат проблеми с намирането на подкрепящи ги компании, казва Джош Салмансън, старши вицепрезидент по технологичните решения в Telos Corp., фирма за управление на киберрискове.

„Ще видим по-малко хора, които искат да бъдат CISO, или хора, които искат много по-високи заплати, защото смятат, че това може да е много краткосрочна роля, докато не бъдат „заловени“ публично“, казва той. „Броят на хората, които ще имат наистина идеална среда с подкрепа от компанията и необходимото финансиране, вероятно ще остане малък.“

Установени политики, добросъвестност, водене на записки

И все пак има и положителна страна. Правилото на SEC за оповестяване на нарушенията предупреждава компаниите, че трябва да обръщат внимание на сигурността и да разполагат с процес – включително доказателства от обсъжданията дали даден инцидент със сигурността е съществен за инвеститорите – но това вероятно ще доведе до по-загрижени за сигурността организации, казва Катлийн Макгий, партньор в Lowenstein Sandler LLP.

„Уверете се, че имате политика преди възникването на инцидента, че знаете кои са заинтересованите страни, кой ще взема тези решения и че документирате процеса, така че ако Комисията по ценните книжа и борсите се обади и иска да разбере какъв е бил мисловният процес, да имате готово добро обяснение“, казва тя.

Компаниите и ръководителите на КИС, които имат политика и я следват, вероятно няма да се притесняват толкова много за действия по прилагане на законодателството, дори ако по-късно доказателствата покажат, че първоначалното решение е било погрешно, казва тя.

„Ако [компаниите и техните CISO] първоначално вземат решение, че даден инцидент не е съществен, а след това [се] натъкнат на нова информация, която ме кара да вярвам, че е бил съществен“, те ще имат време – макар и четири дни – да коригират данните, казва Макгий.

 

Източник: DARKReading

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
Бъдете социални
Още по темата
17/06/2024

Потребностите от електроене...

Новото партньорство на Google с базираната...
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!