अमेरिकी प्रतिभूति और विनिमय आयोग (एसईसी) ने निगमों के लिए नए साइबर सुरक्षा जोखिम प्रबंधन नियमों का प्रस्ताव दिया है, जिसके लिए उन्हें ग्राहक प्रकटीकरण के साथ अधिक पारदर्शी होने की आवश्यकता होगी।
नए नियम साइबर सुरक्षा खुलासे के संबंध में विभिन्न रूपों में संशोधन के रूप में लागू किए जाएंगे और विशेष रूप से निवेश सलाहकारों, निवेश फंडों और व्यवसाय विकास कंपनियों को लक्षित करेंगे।
अब साइबर सुरक्षा हैक को छिपाना बंद हो गया है
साइबर सुरक्षा खुलासे के संबंध में सख्त विनियमन पेश करना एसईसी का कोई नया प्रयास नहीं है। 2018 में, पूर्व एसईसी आयुक्त रॉबर्ट जे. जैक्सन जूनियर ने कहा कि वर्तमान प्रकटीकरण आवश्यकताओं में "गैर-प्रकटीकरण के पक्ष में गलती" हुई और जब कंपनियों को हैक या अन्य साइबर सुरक्षा हमलों का अनुभव हुआ तो अक्सर निवेशकों को अंधेरे में छोड़ दिया गया।
वर्तमान में, कंपनी प्रबंधन को केवल साइबर सुरक्षा मुद्दों के बारे में बोर्डों को सूचित रखने की आवश्यकता होती है, उन्हें निवेशकों या अन्य ग्राहकों के साथ साझा करने की कोई बाध्यता नहीं है। हालाँकि, 2021 की एक संयुक्त रिपोर्ट से पता चला है कि 2020 में, सर्वेक्षण में शामिल फॉर्च्यून 17 कंपनियों में से केवल 100% ने सालाना या त्रैमासिक रूप से बोर्ड के सदस्यों को साइबर सुरक्षा मुद्दों की सूचना दी।
एसईसी इसे बदलने के लिए उत्सुक प्रतीत होता है क्योंकि उसने 2022 का अधिकांश समय विभिन्न प्रस्तावों को पेश करने में बिताया है - यदि पारित हो जाता है - तो सार्वजनिक कंपनियों को साइबर हमलों और घटनाओं पर रिपोर्ट करने की आवश्यकता होगी।
यह मामला है निवेश सलाहकारों, पंजीकृत निवेश कंपनियों और व्यवसाय विकास कंपनियों के लिए साइबर सुरक्षा जोखिम प्रबंधन प्रस्ताव, 9 फरवरी को प्रकाशित।
दस्तावेज़ में, एसईसी नई साइबर सुरक्षा नीतियों को लागू करने के लिए धन और सलाहकारों की आवश्यकता के लिए 1940 के निवेश सलाहकार अधिनियम और 1940 के निवेश कंपनी अधिनियम के तहत नए नियम पेश करने का प्रस्ताव करता है। दस्तावेज़ के अनुसार, इन नीतियों और प्रक्रियाओं को विशेष रूप से साइबर सुरक्षा जोखिमों को संबोधित करने के लिए डिज़ाइन किया गया है, जिससे कंपनियों को सलाहकार, उसके फंड या निजी फंड ग्राहकों को प्रभावित करने वाली महत्वपूर्ण साइबर सुरक्षा घटनाओं की रिपोर्ट एसईसी को करने की आवश्यकता होती है।
एसईसी ने प्रस्ताव में कहा, "हमारा मानना है कि महत्वपूर्ण साइबर सुरक्षा घटनाओं की रिपोर्ट करने के लिए सलाहकारों और फंडों की आवश्यकता से निवेशकों, अन्य बाजार सहभागियों और साइबर सुरक्षा घटनाओं के संबंध में वित्तीय बाजारों की सुरक्षा के हमारे प्रयासों की दक्षता और प्रभावशीलता में वृद्धि होगी।"
इक्विफैक्स के मुख्य सूचना सुरक्षा अधिकारी, जमील फ़र्शची, बोला था ब्लूमबर्ग न्यूज ने कहा कि प्रस्तावित नियम कॉर्पोरेट नेतृत्व में बहुत जरूरी पारदर्शिता लाएंगे और जब साइबर सुरक्षा की बात आती है तो अभूतपूर्व जवाबदेही की आवश्यकता होगी।
अधिक नियम एक मजबूत एसईसी के बराबर होते हैं
कई लोगों का मानना है कि साइबर सुरक्षा के संबंध में नियमों को मजबूत करने में अधिक सक्रिय भूमिका निभाने के लिए एसईसी का हालिया प्रयास सोलरविंड्स हैक का प्रत्यक्ष परिणाम है। इस कुख्यात घटना को व्यापक रूप से अमेरिका द्वारा झेली गई सबसे खराब साइबर-जासूसी घटनाओं में से एक माना जाता है, क्योंकि देश ने अपनी संघीय सरकार के कई हिस्सों को रूस समर्थित हैकरों के एक समूह द्वारा लक्षित देखा था।
हमलावरों ने एक अमेरिकी संघीय ठेकेदार के अपडेट को संक्रमित कर दिया, जिसका उपयोग विभिन्न सरकारी एजेंसियों और कंपनियों में घुसपैठ करने के लिए जंपिंग बोर्ड के रूप में किया गया। हैक के बाद, एसईसी ने उन कंपनियों को पत्र भेजे जिनके बारे में उसका मानना था कि उन्हें हैक से खतरा है, उन्हें यह बताने के लिए कहा गया कि क्या उन्हें हैक किया गया है और हैक से कितना नुकसान हुआ है।
जैसे ही आयोग को बहुत कम संख्या में खुलासे प्राप्त हुए, उसने एमनेस्टी कार्यक्रम शुरू किया - उन कंपनियों को माफी की पेशकश की जो अंततः स्व-रिपोर्ट अनुरोध का अनुपालन करती थीं, भले ही उन्होंने पहले निवेशकों को घटना का खुलासा नहीं किया था।
उस समय, नेशनल एसोसिएशन ऑफ कॉरपोरेट डायरेक्टर्स, साइबर थ्रेट अलायंस और सिक्योरिटीस्कोरकार्ड सभी ने कार्यक्रम को "उल्लेखनीय" कहा, क्योंकि इसने साइबर जोखिम पर एसईसी के विकसित होते दृष्टिकोण का संकेत दिया था। सिक्योरिटीस्कोरकार्ड के मुख्य व्यवसाय और कानूनी अधिकारी सचिन बंसल ने इसे एसईसी के लिए एक "वाटरशेड" क्षण कहा।
लेकिन, इसके बावजूद, एसईसी का नया प्रस्ताव कई कसरें छोड़ गया है।
नए नियम लागू होने पर कंपनियों को "महत्वपूर्ण" या "महत्वपूर्ण" साइबर घटनाओं का खुलासा करने की आवश्यकता होगी। एसईसी "भौतिक" जानकारी को "पर्याप्त संभावना वाली कोई भी जानकारी मानता है कि एक उचित शेयरधारक इसे महत्वपूर्ण समझेगा।"
कई लोग एसईसी की परिभाषाओं को बाजार में कोई सार्थक पारदर्शिता लाने के लिए बहुत अस्पष्ट पाते हैं। अस्पष्टता का मतलब यह भी है कि नियम एसईसी द्वारा मामले-दर-मामले आधार पर व्याख्या के अधीन होंगे, जिससे कंपनियों के लिए फैसलों के खिलाफ अपील करने और मिसाल कायम करने की गुंजाइश रहेगी जो प्रस्ताव को अनिवार्य रूप से बेकार बना सकती है।
हालाँकि, अभी भी सुधार की गुंजाइश है। एसईसी अगले कुछ हफ्तों तक प्रस्ताव पर मतदान करने के लिए तैयार नहीं है, जिससे उद्योग प्रतिभागियों के लिए आयोग के साथ अपनी चिंताओं और सुझावों को साझा करने के लिए पर्याप्त जगह बचेगी।
यह स्पष्ट नहीं है कि यह क्रिप्टो उद्योग को कैसे प्रभावित करता है - विभिन्न डिजिटल संपत्तियों सहित अधिक से अधिक निवेश फंडों के साथ क्रिप्टो डेरिवेटिव उनके पोर्टफोलियो में. हालाँकि, प्रस्तावित नियमों के परिणामस्वरूप क्रिप्टो क्षेत्र से कई खुलासे हो सकते हैं।
स्रोत: https://cryptoslate.com/the-sec-wants-better-corporate-disclosures-about-hacks/