ABD'deki Bankacılık Grupları, SEC'in Siber Güvenlik Olaylarını Bildirme Kuralının İptalini İstiyor

Amerikan bankacılık ve finans sektörü lobileri, Menkul Kıymetler ve Borsa Komisyonu'na (SEC), siber güvenlik olaylarını kamuoyuna açıklama zorunluluğunu kaldırması için bir talepte bulundu. American Bankers Association öncülüğündeki beş ABD bankacılık grubu, 22 Mayıs tarihli bir mektupla, bu kuralın kaldırılmasını talep etti. Gerekçe olarak, siber güvenlik olaylarını açıklamanın, "kritik altyapıyı korumak ve potansiyel mağdurları uyarmak" amacıyla yapılan gizli raporlama gereklilikleriyle doğrudan çeliştiği belirtildi.

Bu gruba, Menkul Kıymetler Endüstrisi ve Finansal Piyasalar Birliği (SIFMA), Banka Politikası Enstitüsü, Bağımsız Topluluk Bankacıları Birliği ve Uluslararası Bankacılar Enstitüsü de eşlik etti. Grup, kuralın ulusal siber güvenliği artırma çabalarını tehlikeye attığını iddia etti.

SEC'in Temmuz 2023'te yayınladığı Siber Güvenlik Risk Yönetimi kuralı, şirketlerin veri ihlalleri veya hack'ler gibi siber güvenlik olaylarını hızla bildirmesini şart koşuyor. Ancak bankacılık grupları, bu kuralın baştan kusurlu olduğunu ve uygulamada sorunlu olduğunu savunuyor.

Bankacılık kuruluşları, "karmaşık ve dar kapsamlı açıklama erteleme mekanizmasının" olay müdahalesini ve kolluk kuvvetlerini engellediğini ve zorunlu ve gönüllü açıklamalar arasında "piyasa karışıklığı" yarattığını belirtti. Kamuoyuna açıklama ayrıca, fidye yazılımı suçluları tarafından kötü niyetli amaçlara ulaşmak için bir şantaj yöntemi olarak kullanıldı. Erken açıklamalar, şirketler için sigorta ve sorumluluk sorunlarını kötüleştiriyor ve "samimi dahili iletişim ve rutin bilgi paylaşımını tehlikeye atıyor" iddiasında bulunuldu.

Gruplar özellikle, SEC'in Form 8-K raporlaması ve Form 6-K için geçerli olan paralel raporlama gerekliliklerinden "Madde 1.05"in kaldırılmasını istiyor. Form 8-K, ABD'deki kamu şirketlerindeki yatırımcıları, hissedarlar veya SEC için önemli olabilecek siber güvenlik olayları dahil olmak üzere belirli olaylar hakkında bilgilendirmek için kullanılıyor.

Gruplar, "Önemli olan, Madde 1.05 olmadan bile yatırımcı çıkarlarının korunacağı ve bunların, maddi siber güvenlik olaylarını içerebilen, mevcut maddi bilgileri raporlama çerçevesi aracılığıyla daha iyi hizmet vereceğine inanıyoruz" dedi.

Bu gereklilik, bu ayın başlarında, destek personelini kullanıcı verilerini sızdırması için rüşvet verdiklerini açıklayan Coinbase gibi halka açık kripto şirketlerini de etkiliyor. Açıklama, şirket hakkında en az yedi dava açılmasına neden oldu. Coinbase, personelinin büyük bir kimlik avı saldırısında kullanıcı verilerini sızdırmasının ardından 20 milyon dolarlık bir fidye talebini reddettiğini ve bunun şirket için 400 milyon dolara kadar zarara mal olabileceğini söyledi. SEC'in gerekliliği kaldırması durumunda, Coinbase gibi şirketlere siber güvenlik olaylarını kamuoyuna açıklamak için daha fazla zaman tanıyabilir.