طالبت مجموعة من كبرى الهيئات المصرفية الأمريكية هيئة الأوراق المالية والبورصات (SEC) بإلغاء القاعدة التي تُلزم الشركات بالإفصاح العلني عن الحوادث المتعلقة بالأمن السيبراني.
ووفقًا لرسالة قُدمت في 22 مايو، دعت خمس مجموعات مصرفية بقيادة الرابطة الأمريكية للمصرفيين الهيئة إلى التراجع عن هذه القاعدة، معتبرةً أن الإفصاح العلني عن مثل هذه الحوادث يتعارض مع متطلبات السرية المصممة لحماية البنية التحتية الحيوية وتنبيه الضحايا المحتملين.
وإلى جانب الرابطة الأمريكية للمصرفيين، ضمت الرسالة كلًا من جمعية صناعات الأوراق المالية والأسواق المالية، ومعهد السياسات المصرفية، ورابطة البنوك المجتمعية المستقلة، ومعهد المصرفيين الدوليين. وادعت هذه المؤسسات أن قاعدة الإفصاح الجديدة تُقوّض الجهود التنظيمية لتعزيز الأمن السيبراني على المستوى الوطني، وأنها من حيث المبدأ كانت معيبة منذ البداية، وتسببت فعليًا في مشكلات ملموسة منذ دخولها حيّز التنفيذ.
القاعدة، المعروفة باسم "إدارة مخاطر الأمن السيبراني"، والتي نُشرت في يوليو 2023، تلزم الشركات بالإفصاح السريع عن الحوادث مثل الاختراقات وتسريبات البيانات. لكن المجموعات المصرفية ترى أن آلية تأجيل الإفصاح المسموح بها بموجب القاعدة معقدة ومقيدة، وتُعيق استجابة الفرق الأمنية وتنسيقها مع سلطات إنفاذ القانون، فضلًا عن خلق ارتباك في الأسواق بين الإفصاحات الإلزامية وتلك الطوعية.
وزعمت الرسالة أن الإفصاح العلني استُخدم في بعض الحالات من قبل قراصنة برامج الفدية كوسيلة ابتزاز لتحقيق أهداف خبيثة، وأن الإفصاح المبكر يُفاقم من مشاكل التأمين والمسؤولية القانونية للشركات، كما أنه يُثبّط من التواصل الداخلي الصريح وتبادل المعلومات الروتينية بين الفرق الأمنية داخل المؤسسات.
بعض المزاعم والمخاوف التي أبدتها مجموعات البنوك بشأن الحكم القضائي. المصدر: SIFMA
طالبت المجموعات بشكل محدد بإلغاء البند 1.05 من قواعد نموذج الإفصاح 8-K، وكذلك متطلبات الإفصاح الموازي في نموذج 6-K. ويُستخدم نموذج 8-K لإخطار المستثمرين في الشركات الأمريكية المدرجة بالأحداث الجوهرية، بما في ذلك الحوادث السيبرانية.
لكن الموقعين على الرسالة شددوا على أن حماية مصالح المستثمرين ستبقى قائمة حتى في حال إلغاء البند، حيث يمكن الاعتماد على إطار الإفصاح الحالي الخاص بالمعلومات الجوهرية، والذي يشمل بطبيعته الحوادث السيبرانية إن كانت مؤثرة ماديًا.
تضمنت الرسالة أيضًا أمثلة لحالات فوضى وقعت بسبب القاعدة الجديدة، وحوادث موثقة لهجمات فدية، وتعارضات تنظيمية تم التحقق منها، بحسب نص الشكوى الكاملة المقدمة إلى الهيئة.
شركات الكريبتو المتضررة: Coinbase مثالًا
وتتأثر شركات الكريبتو العامة أيضًا بهذه القاعدة، مثل Coinbase، التي أعلنت في وقت سابق هذا الشهر أن موظفًا لديها سرّب بيانات مستخدمين بعد أن تعرّض للرشوة من قراصنة.
وأسفر هذا الإفصاح عن سلسلة من الدعاوى القضائية، تجاوز عددها سبع قضايا على الأقل. وأوضحت Coinbase أنها رفضت دفع فدية قدرها 20 مليون دولار بعد تسريب البيانات، مشيرة إلى أن الهجوم قد يُكلّف الشركة ما يصل إلى 400 مليون دولار كتعويضات محتملة.
ويرى مراقبون أن إلغاء قاعدة الإفصاح من قِبل هيئة SEC قد يمنح شركات مثل Coinbase مزيدًا من الوقت والمرونة للإفصاح عن مثل هذه الحوادث بطريقة أكثر اتساقًا مع استراتيجيات الحماية والاستجابة.