فشار نهادهای بانکی آمریکا برای لغو قانون افشای سایبری SEC
در شرایطی که هکرها از ضرب الاجل های سختگیرانه ی افشاگری برای اخاذی سوءاستفاده می کنند، گروه های بانکی آمریکا خواستار بازنگری اساسی در مقررات افشای حوادث سایبری شده اند.
مقرراتی که به گفته ی آن ها، به جای محافظت، ممکن است امنیت زیرساخت های حیاتی را تضعیف کند و مسیر قانون گذاری در حوزه ی امنیت سایبری را برای تمامی شرکت های عمومی تغییر دهد.
در تاریخ ۲۲ مه ۲۰۲۵، انجمن بانکداران آمریکا (ABA)، مؤسسه سیاست گذاری بانکی (BPI) و انجمن بازارهای مالی و اوراق بهادار (SIFMA)، با ارسال دادخواستی رسمی به کمیسیون بورس و اوراق بهادار ایالات متحده (SEC)، خواستار لغو فوری یکی از قوانین جنجالی افشای حوادث سایبری شدند.
این دادخواست خواستار لغو بند 1.05 در فرم 8-K و الزام مشابه در فرم 6-K برای ناشران خصوصی خارجی است. طبق این قانون، شرکت ها باید حوادث سایبری با اهمیت را ظرف چهار روز کاری پس از تشخیص افشا کنند.
اما نهادهای بانکی هشدار داده اند که این قانون خطرات جدی برای امنیت ملی، منافع سرمایه گذاران و عملکرد عادی شرکت ها دارد.
افشای زودهنگام حوادث سایبری به نفع هکرهاست
در این دادخواست آمده است: «افشای زودهنگام حملات سایبری، مهار حمله را دشوار کرده، هماهنگی با نیروهای امنیتی را مختل می کند و موجب سردرگمی در بازار و چالش های حقوقی می شود.»
قانون افشای حوادث سایبری SEC که در ژوئیه ۲۰۲۳ تصویب شد، با هدف شفاف سازی بیشتر و ایجاد چارچوبی یکپارچه برای اطلاع رسانی تهدیدات سایبری به سرمایه گذاران طراحی شده بود.
اما منتقدان می گویند این قانون نتیجه ای کاملاً معکوس داشته است. در این دادخواست تأکید شده شرکت ها حتی زمانی که حمله هنوز در جریان است، تحقیقات کامل نشده و سیستم ها بازیابی نشده اند، مجبور به گزارش دهی هستند—و این اطلاعات ممکن است به نفع هکرها تمام شود.
بلاتکلیفی و تهدیدهای حقوقی برای شرکت ها
این قانون باعث ابهام گسترده درباره زمان و نحوه ی افشای حملات شده است.
با وجود تلاش SEC برای شفاف سازی از طریق تفسیرهای رسمی، نامه های نظر و بیانیه های کمیسیونرها، همچنان شرکت ها برای تشخیص اینکه آیا باید طبق بند 1.05 یا بند 8.01 افشاگری کنند، دچار سردرگمی اند.
گروه های بانکی هشدار داده اند که این وضعیت، شرکت ها را در معرض شکایات حقوقی و آسیب اعتباری قرار می دهد، بدون اینکه اطلاعات مفیدی برای سرمایه گذاران فراهم کند.
نکته نگران کننده تر این است که باج افزارها و دیگر مهاجمان سایبری، از همین مهلت های افشاگری به عنوان ابزار فشار استفاده می کنند؛ تهدید به افشای عمومی حمله، حالا به سلاحی برای اخاذی تبدیل شده است.
در دادخواست آمده: «الزام افشای فوری حادثه، توسط مجرمان سایبری برای رسیدن به اهداف مخرب مورد سوءاستفاده قرار گرفته و ممکن است احتمال تکرار حمله را هم افزایش دهد، زیرا شرکت ها را به عنوان اهداف آسیب پذیر معرفی می کند.»
تداخل با قوانین محرمانه امنیتی
در بخش دیگری از دادخواست آمده که افشای علنی اطلاعات حساس ممکن است با قوانین محرمانه تری مثل “قانون گزارش دهی حوادث سایبری برای زیرساخت های حیاتی” (CIRCIA) در تعارض باشد و راهبرد ملی امنیت سایبری را تضعیف کند.
چارچوب های فعلی برای افشاگری کافی است
با وجود نیت SEC برای افزایش شفافیت و محافظت از سرمایه گذاران، نهادهای بانکی تأکید دارند که قانون فعلی، اطلاعات ناقص و گمراه کننده تولید می کند و درنهایت به ضرر همان شرکت هایی است که باید از آن ها حمایت کند.
این گروه ها معتقدند قوانین افشای موجود مثل بند 105 از مقررات S-K و چارچوب پیشین افشای اطلاعات مهم، از قبل شرکت ها را ملزم کرده اند که ریسک های بزرگ از جمله تهدیدات سایبری را به درستی گزارش دهند—بدون آنکه امنیت ملی یا تاب آوری شرکت ها را به خطر اندازند.
در پایان نامه آمده است: «ما معتقدیم سرمایه گذاران از طریق چارچوب های قبلی برای افشای اطلاعات مهم—که شامل حملات سایبری نیز می شود—به طور بهتری محافظت خواهند شد و نگرانی های مطرح شده نیز کاهش می یابد.»
کمیسیون SEC هنوز به این دادخواست واکنشی نشان نداده است. اما تصمیم نهایی این نهاد، ممکن است شیوه ی توازن بین شفافیت و امنیت سایبری را برای شرکت های آمریکایی در آینده ای پرمخاطره، دگرگون سازد.
بیشتر بخوانید: پایان رسمی پرونده حقوقی ریپل با SEC
[…] بیشتر بخوانید: آیا قانون سایبری SEC به هکر ها کمک می کند؟ […]
[…] بیشتر بخوانید: آیا قانون سایبری SEC به هکر ها کمک می کند؟ […]