Mae Comisiwn Gwarantau a Chyfnewid yr Unol Daleithiau (SEC) wedi cynnig rheolau rheoli risg seiberddiogelwch newydd ar gyfer corfforaethau a fyddai'n ei gwneud yn ofynnol iddynt fod yn fwy tryloyw gyda datgeliadau cwsmeriaid.
Byddai'r rheolau newydd yn cael eu gweithredu fel diwygiadau i wahanol ffurfiau ynghylch datgeliadau seiberddiogelwch a byddent yn targedu cynghorwyr buddsoddi, cronfeydd buddsoddi a chwmnïau datblygu busnes yn benodol.
Dim mwy cuddio haciau cybersecurity
Nid yw cyflwyno rheoleiddio llymach ynghylch datgeliadau seiberddiogelwch yn ymdrech newydd gan y SEC. Yn 2018, dywedodd cyn Gomisiynydd SEC Robert J. Jackson Jr fod y gofynion datgelu cyfredol “yn cyfeiliorni ar ochr nondisclosure” ac yn aml yn gadael buddsoddwyr yn y tywyllwch pan brofodd cwmnïau haciau neu ymosodiadau seiberddiogelwch eraill.
Ar hyn o bryd, dim ond hysbysu byrddau am faterion seiberddiogelwch y mae'n ofynnol i reolwyr cwmnïau eu rhannu, heb unrhyw rwymedigaeth i'w rhannu â buddsoddwyr na chwsmeriaid eraill. Fodd bynnag, dangosodd adroddiad ar y cyd yn 2021, yn 2020, mai dim ond 17% o gwmnïau Fortune 100 a arolygwyd a adroddodd am faterion seiberddiogelwch i aelodau bwrdd bob blwyddyn neu bob chwarter.
Mae'r SEC yn ymddangos yn awyddus i newid hyn gan iddo dreulio'r rhan orau o 2022 yn cyflwyno cynigion amrywiol a fyddai - o'u pasio - yn ei gwneud yn ofynnol i gwmnïau cyhoeddus adrodd ar ymosodiadau a digwyddiadau seiber.
Mae hyn yn wir gyda'r Rheoli Risg Cybersecurity ar gyfer Cynghorwyr Buddsoddi, Cwmnïau Buddsoddi Cofrestredig, a Chwmnïau Datblygu Busnes cynnig, a gyhoeddwyd ar Chwefror 9.
Yn y ddogfen, mae'r SEC yn cynnig cyflwyno rheolau newydd o dan Ddeddf Cynghorwyr Buddsoddi 1940 a Deddf Cwmnïau Buddsoddi 1940 i'w gwneud yn ofynnol i gronfeydd a chynghorwyr weithredu polisïau seiberddiogelwch newydd. Yn ôl y ddogfen, mae'r polisïau a'r gweithdrefnau hyn wedi'u cynllunio'n benodol i fynd i'r afael â risgiau seiberddiogelwch trwy ei gwneud yn ofynnol i gwmnïau adrodd am ddigwyddiadau seiberddiogelwch sylweddol sy'n effeithio ar y cynghorydd, ei gronfa, neu gleientiaid cronfa breifat i'r SEC.
“Rydym yn credu y byddai ei gwneud yn ofynnol i gynghorwyr a chronfeydd adrodd am ddigwyddiadau seiberddiogelwch sylweddol yn hybu effeithlonrwydd ac effeithiolrwydd ein hymdrechion i amddiffyn buddsoddwyr, cyfranogwyr eraill yn y farchnad, a’r marchnadoedd ariannol mewn cysylltiad â digwyddiadau seiberddiogelwch,” meddai’r SEC yn y cynnig.
Jamil Farshchi, prif swyddog diogelwch gwybodaeth Equifax, Dywedodd Newyddion Bloomberg y byddai'r rheolau arfaethedig yn dod â thryloywder mawr ei angen i arweinyddiaeth gorfforaethol ac yn gofyn am atebolrwydd digynsail o ran seiberddiogelwch.
Mae mwy o reolau yn cyfateb i SEC cryfach
Mae llawer yn credu bod ymdrech ddiweddar yr SEC i chwarae rhan fwy gweithredol wrth gryfhau rheolau ynghylch seiberddiogelwch yn ganlyniad uniongyrchol i hac SolarWinds. Mae’r digwyddiad gwaradwyddus yn cael ei ystyried yn eang ymhlith y digwyddiadau seiber-ysbïo gwaethaf a ddioddefwyd gan yr Unol Daleithiau, wrth i’r wlad weld llawer o rannau o’i llywodraeth ffederal yn cael eu targedu gan grŵp o hacwyr a gefnogir gan Rwsia.
Fe wnaeth yr ymosodwyr heintio diweddariadau gan gontractwr ffederal o’r Unol Daleithiau, gan ddefnyddio hynny fel bwrdd neidio i ymwthio i wahanol asiantaethau a chwmnïau’r llywodraeth. Yn dilyn yr hac, anfonodd y SEC lythyrau at gwmnïau yr oedd yn credu eu bod mewn perygl o'r haciau, yn ei gwneud yn ofynnol iddynt hunan-adrodd a oeddent wedi cael eu hacio a'r difrod a achoswyd gan yr haciau.
Gan fod y Comisiwn wedi derbyn nifer llethol o ddatgeliadau, dechreuodd y Rhaglen Amnest—gan gynnig maddeuant i gwmnïau a gydymffurfiodd yn y pen draw â’r cais hunan-adroddiad, hyd yn oed os nad oeddent wedi datgelu’r digwyddiad i fuddsoddwyr o’r blaen.
Ar y pryd, galwodd Cymdeithas Genedlaethol y Cyfarwyddwyr Corfforaethol, y Gynghrair Cyber Bygythiad, a SecurityScorecard y rhaglen yn “nodedig,” gan ei bod yn arwydd o farn esblygol SEC ar risg seiber. Dywedodd Sachin Bansal, prif swyddog busnes a chyfreithiol SecurityScorecard, ei fod yn “trothwy” i’r SEC.
Ond, er gwaethaf hyn, mae cynnig newydd y SEC yn gadael llawer o gerrig heb eu troi.
Bydd y rheolau newydd yn ei gwneud yn ofynnol i gwmnïau ddatgelu digwyddiadau seiber “sylweddol” neu “sylweddol” os cânt eu gweithredu. Mae’r SEC yn ystyried gwybodaeth “berthnasol” fel unrhyw wybodaeth sydd â “tebygolrwydd sylweddol y byddai cyfranddaliwr rhesymol yn ei hystyried yn bwysig.”
Mae llawer yn gweld diffiniadau'r SEC yn rhy amwys i ddod ag unrhyw dryloywder ystyrlon i'r farchnad. Mae'r amwysedd hefyd yn golygu y byddai'r rheolau yn amodol ar ddehongliadau gan y SEC fesul achos, gan adael lle i gwmnïau apelio i ddyfarniadau a gosod cynseiliau a allai wneud y cynnig yn ei hanfod yn ddiwerth.
Fodd bynnag, mae lle i wella o hyd. Nid yw'r SEC ar fin pleidleisio ar y cynnig am ychydig wythnosau eraill, gan adael digon o le i gyfranogwyr y diwydiant rannu eu pryderon a'u hawgrymiadau gyda'r Comisiwn.
Nid yw'n glir sut mae hyn yn effeithio ar y diwydiant crypto - gyda mwy a mwy o gronfeydd buddsoddi gan gynnwys amrywiol asedau digidol a deilliadau crypto yn eu portffolios. Fodd bynnag, gallai'r rheolau arfaethedig arwain at lawer o ddatgeliadau yn dod o'r gofod crypto.
Ffynhonnell: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/