انتقاد جمهوری خواهان مجلس نمایندگان از قوانین جدید افشای حوادث سایبری کمیسیون بورس و اوراق بهادار

به گزارش کارگروه بین الملل خبرگزاری سایبربان، اعضای پشت نامه ای که روز جمعه به آژانس ارسال شد، از جمله مارک گرین به عنوان رئیس و اندرو گاربارینو، رئیس کمیته فرعی امنیت سایبری و حفاظت از زیرساخت، به رئیس کمیسیون بورس و اوراق بهادار، گری گنسلر، گفتند که قوانین جدید افشای حوادث امنیت سایبری آژانس با قانون گزارش رویداد سایبری دو حزبی کنگره برای زیرساخت های حیاتی 2022 (CIRCIA) در تضاد است.

بر اساس قوانین جدید کمیسیون بورس و اوراق بهادار، شرکت‌ها باید جزئیات مربوط به «ماهیت، دامنه و زمان‌بندی» یک حادثه امنیت سایبری را به آژانس ارائه کنند و اطلاعاتی در مورد تأثیر احتمالی آن ارائه دهند.

از شرکت‌ها خواسته شده است که تعیین کنند که آیا یک حادثه "مادی" است یا نه و در صورت رسیدن به این آستانه، ظرف چهار روز کاری آن را به کمیسیون بورس و اوراق بهادار اطلاع دهند.

در نامه روز جمعه، اعضای جمهوری‌خواه استدلال می‌کنند که کمیسیون بورس و اوراق بهادار باید با شورای گزارش‌دهی حوادث سایبری وزارت امنیت داخلی همکاری کند و تجزیه و تحلیل کمیسیون بورس و اوراق بهادار را در مورد اینکه چگونه قانون جدید آن با قانون گزارش رویداد سایبری دو حزبی کنگره برای زیرساخت های حیاتی و همچنین سایر قوانین گزارش‌دهی حوادث سایبری فدرال مطابقت دارد، ارائه دهد.

در نامه اعضا آمده است:

در حالی که هدف کمیسیون بورس و اوراق بهادار ممکن است استانداردسازی افشای اطلاعات مربوط به حاکمیت امنیت سایبری و گزارش رویداد توسط شرکت‌های دولتی باشد، این الزامات جدید افشای گسترده برای شرکت‌های عمومی دقیقاً برعکس عمل می‌کند و الزامات گزارش‌دهی حوادث سایبری موجود را تکرار و گیج می‌کند.

این نامه همچنین استدلال می‌کند که قوانین جدید کمیسیون بورس و اوراق بهادار، محرمانه بودن برنامه امنیت سایبری یک شرکت را به خطر می‌اندازد، بنابراین به جای محافظت از سرمایه‌گذاران، همانطور که قوانین مد نظر دارند، به سرمایه‌گذاران آسیب می‌رساند.

با این حال، برخی از رهبران جامعه، سرمایه گذاری پیشنهاد کمیسیون بورس و اوراق بهادار را هنگام اعلام آن تحسین کردند.

شرکت رتبه‌بندی اعتباری مودیز (Moody’s) بیانیه‌ای صادر کرد که در آن قوانین جدید برای تزریق شفافیت بیشتر به یک ریسک غیرشفاف اما رو به رشد و همچنین ثبات و پیش‌بینی‌پذیری بیشتر را ستوده است.

در بیانیه لسلی ریتر، معاون ارشد سرویس سرمایه‌گذاران مودیز، آمده است که تقاضای کمیسیون بورس و اوراق بهادار برای افزایش افشای اطلاعات به شرکت‌های دولتی این امکان را خواهد داد تا با ایجاد انگیزه در شرکت‌هایی که ریسک سایبری بالاتری برای رفع مشکلات دارند، شیوه‌ها را با هم مقایسه کنند و ممکن است باعث بهبود در دفاع سایبری شود.

با این حال، جمهوری خواهان پشت نامه روز جمعه، تناقضات عمده بین قوانین جدید کمیسیون بورس و اوراق بهادار و قانون گزارش رویداد سایبری دو حزبی کنگره برای زیرساخت های حیاتی و همچنین چشم انداز استراتژی امنیت سایبری ملی را که اخیراً رونمایی شده است، مطرح کردند.

این نامه استدلال می‌کند که تصویب قانون گزارش رویداد سایبری دو حزبی کنگره برای زیرساخت های حیاتی، همانطور که در استراتژی اخیراً رونمایی شده مشهود است، ثابت می‌کند که هماهنگ‌سازی مقررات سایبری، یک اولویت دو حزبی در کنگره و دولت بایدن است.

در این نامه آمده است:

روشن است که این قوانین اخیراً صادر شده توسط کمیسیون بورس و اوراق بهادار، با هدف کنگره و دولت مغایرت دارد.

این نامه همچنین با استناد به «عواقب بالقوه مضر» این قانون، از کمیسیون بورس و اوراق بهادار می‌خواهد «تحلیل داخلی» را تکمیل کند.

در این نامه آمده است:

عدم انجام این کار تنها استراتژی‌های گزارش‌دهی محرمانه شرکت‌ها را به خطر می‌اندازد و آسیب‌پذیری‌ها را به طور عمومی در زیرساخت‌های حیاتی کشورمان فاش خواهد کرد.