カジノサイト
SEC が新たなサイバーインシデントの開示と登録者に対する透明性要件を採用
米国証券取引委員会 (SEC) は水曜日、登録企業に重大なサイバーセキュリティ インシデントを 4 営業日以内に開示し、サイバーセキュリティ体制についてより透明性を高めることを義務付ける最終規則を採択しました。
要件は SEC の一部です これはもともと 2022 年 3 月に提案されました。これにより、SEC の登録者(SEC の報告要件の対象となる組織)に対するサイバーセキュリティに関する新しい要件が作成されます。
「企業が火災で工場を失うか、サイバーセキュリティインシデントで何百万ものファイルを失うかは、投資家にとって重要かもしれない」とSEC委員長のゲイリー・ゲンスラー氏は声明で述べた。 「現在、多くの上場企業が投資家にサイバーセキュリティ開示を提供しています。しかし、この開示がより一貫性があり、比較可能で、意思決定に役立つ方法で行われれば、企業も投資家も同様に利益を得るでしょう。企業が重要なサイバーセキュリティ情報を開示することを保証することを支援することで、今日の規則は投資家、企業、そしてそれらをつなぐ市場に利益をもたらすでしょう。」
サイバーセキュリティ コンサルタント会社 Sabertooth Cyber の CEO、Matthew Modica 氏が、 で講演しました。差し迫ったSEC規則について、同氏は今年後半まで採用されるとは予想していなかった。 とのフォローアップインタビューでセキュリティ管理、彼は、SEC が今週この規則を採用したことに嬉しい驚きを感じていると言います。
「私の考えでは、ルール要件の多くは合理的であり、競争条件を平等にし、投資家やその他の企業関係者が企業が直面しているサイバーリスクを理解するのに役立ちます。」と Modica 氏は付け加えました。 「言い換えれば、透明性は企業の利害関係者にとって良いことです。しかし、コンプライアンス、法務、サイバーセキュリティの各チームには、ルールが遵守され、何が開示され、何が開示されないのかについて文書化された根拠があることを保証するために、追加の負担がかかることになります。」
新しいルールでは何が必要ですか?
まず、新しい SEC 規則を理解するための重要な定義が 3 つあります。
- サイバーセキュリティインシデント。 登録者の情報システムまたはそこに存在する情報の機密性、完全性、または可用性を危険にさらす、登録者の情報システムを通じて行われる不正な出来事。
- サイバーセキュリティの脅威。 登録者の情報システムまたはそこに存在する情報の機密性、完全性、または可用性に悪影響を及ぼす可能性のある、登録者の情報システム上での、または登録者の情報システムを介して行われる潜在的な不正行為。
- 情報システム。 業務を維持またはサポートするために登録者が情報を整理、収集、処理、維持、使用、共有、配布、または廃棄するために所有または使用する電子情報リソース。
新しい規則の下では、登録者は重要であると判断したサイバーセキュリティ インシデントを新しいフォーム (8-K 項目 1.05) で開示する必要があります。彼らは、財務状況や経営など、インシデントが会社に及ぼす重大な影響、または合理的に考えられる重要な影響とともに、インシデントの性質、範囲、タイミングの重要な側面をリストする必要があります。
SEC「合理的な株主が投資決定を行う際にその情報が重要であると考える可能性がかなりある場合、またはそれが『利用可能な情報の全体の組み合わせを大幅に変更』する可能性がある場合には資料として。情報が重要かどうか疑問がある場合、関連する情報は「法律が保護するように設計されている人々、つまり投資家に有利に解決されるべきである」と SEC は述べています。
ただし、規則によれば、開示要件は「インシデントに対する登録者の計画的な対応、またはそのサイバーセキュリティ システム、関連ネットワークおよびデバイス、またはインシデントに対する登録者の対応や修復を妨げるような詳細な潜在的なシステムの脆弱性に関する特定の技術情報」には適用されません。
登録者は、事件が重大なものであると判断してから 4 営業日以内にこの開示を行う必要があります。 SECのファクトシートによると、事件の即時開示が「国家安全保障または公共の安全に重大なリスクをもたらす」と米国司法長官が判断し、その決定を[SEC]に書面で通知した場合、開示が遅れる可能性がある。 「司法長官がさらなる遅延が必要であると示唆した場合、委員会は追加の遅延要請を検討し、免除命令の可能性を通じてそのような救済を認める可能性があります。」
開示要件に加えて、新しい SEC 規則では、サイバーセキュリティの脅威による重大なリスクを評価、特定、管理するためのプロセスを登録者が共有することが義務付けられています。これにより、登録者はサイバーセキュリティの脅威によるリスクが重大な影響を及ぼしているか、または影響を与える可能性が合理的にあるかどうかを開示することが求められます。
さらに、登録企業は、サイバーセキュリティの脅威による重大なリスクの評価と管理における経営陣の専門知識と役割とともに、サイバーセキュリティの脅威によるリスクに対する取締役会の監督について説明する必要があります。
また、サイバーセキュリティの重大なインシデントを開示するとともに、サイバーセキュリティのリスク管理、戦略、ガバナンスを共有することも求められます。これらの発行者は通常、米国外に本社を置き、米国内で運営および事業を行う企業です。
なぜ今?
SEC はしばらくの間、この新しいルールセットを評価してきました。サイバーセキュリティの事件や脅威が公開企業、投資家、市場参加者に継続的かつ増大するリスクをもたらしていることを観察した後、委員会は2022年3月に新しい規則を提案した。
ファクトシートによると、SECは「登録者の業務のデジタル化、リモートワークの増加、サイバーセキュリティ事件を収益化する犯罪者の能力、デジタル決済の利用、クラウドコンピューティング技術を含む情報技術サービスにおけるサードパーティサービスプロバイダーへの依存の増大に伴い、サイバーセキュリティリスクが増大していることを指摘した」としている。 「委員会はまた、サイバーセキュリティインシデントによる企業とその投資家のコストが上昇しており、その速度も増加していることを観察しました。これらの傾向はすべて、開示の改善の必要性を強調しています。」
IBM セキュリティの年次報告書によると、データ侵害の平均コストは現在、1 件あたり 445 万ドルという史上最高額に達しているため、増加率は軽視されています
このレポートは、2022 年 3 月から 2023 年 3 月までにデータ侵害の影響を受けた 553 の組織を評価しました。データ侵害の平均コストは、2022 年から 2.3% (435 万ドル) 増加し、2020 年 (386 万ドル) から 15.3% 増加したことがわかりました。
医療業界のコストは特に高く、2020 年以来 53% 増加し、1 件あたり平均 1,093 万ドルに達しています。 IBM セキュリティ担当バイスプレジデントのジェニファー・ケイディ氏は、コスト上昇の理由の一部は、新型コロナウイルス感染症のパンデミック以来、ヘルスケア企業が脅威アクターの標的になっていることにあると述べています。
「脅威アクターは最も抵抗の少ない道を選びます。今日の業界全体で、医療業界は防御の強化が最も遅い業界の 1 つです。」と Kady 氏は付け加えます。 「サイバー犯罪者は、盗まれたデータを下流の被害者がアクセスしやすくすることで、医療記録の機密性を悪用しています。医療記録を利用して、攻撃者は侵害された組織への圧力を増幅させます。顧客 PII は最も一般的に侵害された記録タイプであり、全業界の侵害の 52% には顧客 PII データが含まれていました。また、最もコストが高かったのです。」
次のステップは何ですか?
最終規則は 2023 年 8 月 25 日に発効し、登録会社が SEC への開示の提出を開始する必要がある場合にはさまざまな展開日が設定されます。 2023 年 12 月 15 日以降に終了する会計年度の年次報告書に対するサイバーセキュリティ脅威プロセスの開示に関する規則。小規模な報告会社を除くすべての登録会社に対するサイバーセキュリティ インシデントの開示は、最終規則が連邦官報に公表されてから 90 日後、または 2023 年 12 月 18 日から開始する必要があります。
コンプライアンスに備えるために、サイバーセキュリティを評価および監視するための正式なプロセスを持たない企業は、今すぐプロセスを確立する必要があるとモディカ氏は言います。
「これは単に既存のリスク管理プロセスの拡張または変更、あるいはサイバーセキュリティ リスクに焦点を当てた新しいプロセスである可能性があります。」と彼は付け加えました。 「組織に正式なサイバーセキュリティ プログラムがある場合、この評価プロセスはおそらくすでに存在しますが、表示されなかったり、適切な管理チームのメンバーに報告されなかったりする可能性があります。組織は既存のプロセスを評価し、適切な管理チームのメンバーに高いリスクを認識させ、それらのリスクをいつどのように扱うかに関する構造化されたプロセスを確立する必要があります。」
モディカも知り合いになるようアドバイスしています役員メンバーまた、新しい規則の発効に伴いサイバーセキュリティ リテラシーを向上させるための背景と課題を理解します。
「また、取締役会が求める定量的および定性的指標、重要なサイバーセキュリティ リスク、およびそれらに対する取り組みを提供する一貫した取締役会レベルの更新を行うことをお勧めします。」と彼は説明します。 「多くの経営幹部は、取締役会、場合によっては経営陣の共感を呼ぶ適切なメッセージを作成するのに苦労しています。この分野で企業の能力を加速するために、サイバーセキュリティの経験豊富な取締役会メンバーまたは取締役会アドバイザーの出番となるのです。」
新しいルールが登録者のサイバーセキュリティ体制にどのような影響を与えるかはまだわかりませんが、データ侵害の修復コストが増加する可能性があります。
IBM の年次報告書の分析によると、データ規制がロングテール侵害コストにつながり、規制の低い環境にある組織は初年度のデータ侵害コストの 3 分の 2 近くを負担しています。これと比較して、規制の厳しい環境にある組織では初年度のデータ侵害コストの半分未満しか負担していません。
「レポートでは、規制への違反もコストを増大させるトップ 3 であることが判明しました」と Kady 氏は言います。 「規制違反のレベルが高い組織の平均コストは 500 万ドルで、データ侵害の平均コストを 56 万ドル上回っています。」
2023 年のレポートから得られたもう 1 つの明らかな発見は、データ侵害を経験した組織のうち、侵害後にセキュリティへの投資を増やしたのはわずか 51% だったということです。残りの 57% は侵害のコストを消費者に転嫁しました。
消費者がより高い価格を受け入れたがらなくなるにつれて、この力関係は将来変化する可能性があります。
「多くの組織は、違反金が支払われた後でも価格を引き下げません」と Kody 氏は説明します。 「一部の企業は、その利益をより良いセキュリティ対策に再投資しています。そして長期的には、より多くの企業がセキュリティ侵害後だけでなく、積極的にセキュリティコストを商品やサービスの価格に織り込み始めるようになるかもしれません。」
「ガソリン価格の高騰に対する航空業界の対応を考えてみてください」と彼女は続けます。 「乗客は、高額な費用をカバーするために手荷物料金を請求され、現在でも手荷物料金を追加で支払っています。重要なのは適切なバランスを見つけることです。消費者が支払ってもよい金額には限界があります。」
