The US Securities and Exchange Commission (SEC) strives to make a positive impact on the US economy, capital markets and lives of its people. With a history spanning more than 85 years since its inception during the Great Depression, the SEC has remained dedicated to its mission of protecting investors, 维护公平, 有序的, 有效市场, and facilitating capital formation. 在整个存在过程中, 美国证券交易委员会一直在努力履行其职责,并坚持支撑其在金融业中的作用的原则. So, 它决定更积极主动地应对日益增长的网络安全威胁,这应该不足为奇.1
美国证券交易委员会提出了修正案,旨在加强和规范与网络安全风险管理相关的披露要求, 策略, governance and incident reporting for public companies. 这些拟议的修正案反映了SEC调整其披露制度以满足不断变化的风险因素和投资者需求的承诺, with cybersecurity now recognized as a significant risk that public issuers must increasingly address.
美国证券交易委员会主席加里·詹斯勒强调了向投资者提供澳门赌场官方下载如何管理网络安全风险的全面信息的重要性. 拟议的修订旨在确保以可比和对决策有用的方式持续披露此类信息. While many enterprises already disclose cybersecurity information to investors, 强制统一和透明的披露可以提高投资者评估上市公司网络安全实践和事件报告的能力.2
与之相反, 由于担心所涉及的时间和成本,并且认为不太可能为组织带来任何重大的恢复,澳门赌场官方下载通常不愿报告网络犯罪. 这种犹豫背后的理由是,该事件可能没有严重到需要执法部门介入的程度,可以在内部更有效地管理. 有些澳门赌场官方下载积极寻求其他解决办法或战略来处理这种情况,而不求助于理事机构. 他们的动机是希望尽量减少与外部权威接触可能产生的任何潜在负面影响. This could involve seeking internal resolutions, implementing changes within the organization, or finding other ways to mitigate the issues they are facing, all while avoiding the interference or intervention of governing bodies.3 这意味着,强烈反对强制性报告可能性的澳门赌场官方下载可能会反对拟议中的SEC规则.
拟议修正案的关键条款包括上市公司及时报告重大网络安全事件. Periodic reports would also be required to provide updates on previously reported incidents. 另外, 注册人需要披露其识别和管理网络安全风险的政策和程序. 董事会在监督网络安全风险方面的作用,以及管理层在评估和实施网络安全措施方面的专业知识,也将予以披露. 此外, 澳门赌场官方下载将有义务就其董事会的网络安全专业知识提供年度或代理披露, 如果适用的话.
建议修订的主要目的是让投资者更好地了解澳门赌场官方下载的风险管理, 策略, 和治理, while ensuring timely notification of significant cybersecurity incidents. 如果没有可靠的风险量化技术和一致的风险评估措施,澳门赌场官方下载有效满足这种披露期望的能力将是具有挑战性的. Since these vary from enterprise to enterprise and are largely dependent on risk appetite, 澳门赌场官方下载必须不断调整这些措施,以使风险保持在既定的容忍水平之内,同时仍能实现其愿景. 因此, 投资者需要一定程度的经验来解读这些数据,并将其纳入投资决策.
建议修订的主要目的是让投资者更好地了解澳门赌场官方下载的风险管理, 策略, 和治理, while ensuring timely notification of significant cybersecurity incidents.
In 2022, the SEC took notable steps to safeguard investors from cyberincidents. 一项重大行动是在2022年5月执法部门内大幅扩大了网络和加密资产部门.4 Although the full impact of this fortified unit has yet to be determined, early signs indicate promising outcomes in terms of combating cyberthreats effectively. 值得注意的是, since the division’s creation in 2017, 该部门已经针对欺诈和未注册的加密资产产品和平台采取了80多项执法行动. These actions have led to monetary relief exceeding US$2 billion, with a focus on investigating securities law violations related to crypto asset offerings, 加密资产交换, crypto asset lending and staking products, decentralized finance (DeFi) platforms, non-fungible tokens (NFTs), 和Stablecoins.
To date, multiple enterprises have been charged with deficiencies by the SEC. 这些指控是由于他们在防止客户身份被盗的程序中发现了缺陷, constituting a violation of the SEC's Identity Theft Red Flags Rule (Regulation S-ID). SEC的命令显示,这些澳门赌场官方下载的身份盗窃预防计划缺乏合理的政策和程序来识别身份盗窃的相关危险信号,并将其纳入其计划. 此外, 他们的程序没有充分解决对检测到的身份盗窃危险信号的适当响应,也没有确保定期更新以减轻客户面临的不断变化的身份盗窃风险.5
The SEC's efforts to enforce cybersecurity extend beyond regulated entities, as individuals are also being held accountable for their involvement in cybersecurity breaches. 一个值得注意的例子发生在2022年8月,当时美国证券交易委员会对3名从事与Equifax有关的非法小费和交易活动的个人采取了行动, 公司.、证券. 这些活动发生在Equifax于2017年宣布发生重大网络入侵和数据泄露之前. 被指控的个人与一家公关公司有关,该公司受雇管理因数据泄露而引发的咨询.6
值得注意的是,美国证券交易委员会应对网络安全风险的努力正在进行中,并不断发展,以应对不断变化的网络威胁和技术进步. 然而, 澳门赌场官方下载是否为潜在的未来法规及其对网络安全实践的影响做好了充分准备,还有待观察.
尾注
1 US Securities and Exchange Commission, “我们澳门赌场官方软件”,美国
2 US Securities and Exchange Commission, “SEC Proposes New Requirements to Address 网络安全 Risks to the US Securities Markets,美国,2023年3月15日
3 他,维.; “Why Businesses Don’t Report Cybercrimes to Law Enforcement,” 方案2019年5月30日
4 US Securities and Exchange Commission, "SEC Nearly Doubles Size of Enforcement’s Crypto Assets and Cyber Unit,美国,2022年5月3日
5 US Securities and Exchange Commission, “美国证券交易委员会起诉摩根大通, 瑞银(UBS), and TradeStation for Deficiencies Relating to the Prevention of Customer Identity Theft,美国,2022年7月27日
6 Uslaner J. D.; J. Cooper-Little; “The SEC Is 公司hing Closer to Clarity on 网络安全 Requirements,” Reuters, 19 April 2023
克里斯•麦高文
Is the principal of information security professional practices on the ISACA® Content Development and Services team. 在这个角色中, he leads information security thought leadership initiatives relevant to ISACA’s constituents. 麦高恩是一名成就卓著的美国海军老兵,拥有近23年的多学科安全和网络作战经验.