SEC verscherpt eisen inzake cyberbeveiliging

De Amerikaanse Securities and Exchange Commission (SEC) staat op het punt een nieuwe, strengere regel uit te vaardigen over de manier waarop bedrijven cyberaanvallen en interne controles daarop moeten behandelen en rapporteren. Deze maatregel, die een van de topprioriteiten van de commissie weerspiegelt, is slechts een van de vele regelgevings-, handhavings- en wetgevingsinitiatieven die samenkomen om beleggers meer transparantie te geven over de cyberbeveiligingsrisico's van bedrijven.

"De SEC heeft aangegeven dat ze cyberkwetsbaarheden veel serieuzer is gaan nemen dan in het verleden", aldus een recent artikel in de Harvard Business Review (HBR).[1] Bedrijven wordt geadviseerd hun risicobeheerplannen voor cyberbeveiliging opnieuw te bekijken en hun beleid en procedures voor het melden van cyberkwesties aan hun senior management, raden van bestuur en de SEC te versterken.

Kijk uit voor nieuwe SEC-regel over cyberbeveiliging

De commissie heeft nieuwe cyberbeveiligingseisen beloofd,[2] die volgens waarnemers in Washington de volgende vorm zouden kunnen aannemen:

• Een verplichte regel in plaats van de huidige SEC-richtsnoeren inzake cyberbeveiliging.[3]
• meer nadruk op de verantwoordelijkheden van het bestuur van ondernemingen op het gebied van cyberbeveiliging.
• Een oproep tot meer gedetailleerde rapportage.

De SEC heeft haar regelgeving op het gebied van cyberbeveiliging opgevoerd sinds zij in 2011 haar eerste richtsnoeren uitbracht en deze in 2018 bijwerkte. [4] De nieuwe regel zou voortbouwen op de richtlijnen van 2018, die informatieverschaffing aanbevelen, waaronder:

• Cyberbeveiligingsmaatregelen: Zijn ze toereikend? Wat zijn de kosten? Wat is het restrisico?
• Incidenten: Hoeveel eerdere cyberbeveiligingsincidenten heeft het bedrijf meegemaakt, en hoe ernstig? Wat is de waarschijnlijkheid van toekomstige incidenten?
• Bedrijfsrisico: Wat zouden de operationele kosten en gevolgen van een aanval zijn? Eventuele reputatieschade?
• Juridisch risico: Zou de onderneming te maken krijgen met wettelijke sancties of civiele rechtszaken?
• Governance: Hoe betrokken is de raad van bestuur en het senior management bij cyberbeveiliging?

Volgens de richtlijnen van 2018 moeten uitgebreide beleidsmaatregelen en procedures van bedrijven zorgen voor tijdige interne rapportage aan de bedrijfsleiding en externe openbaarmaking aan de SEC van significante cyberbeveiligingsrisico's en -incidenten. Daarnaast moeten er specifieke openbaarmakingscontroles en -procedures zijn, moeten bestuurders en leidinggevenden van bedrijven op de hoogte zijn van de situatie en moet handel met voorkennis over cyberbeveiligingsinformatie worden geblokkeerd.

Veel bedrijven hebben hun cyberbeveiligingsinformatie op basis van deze richtlijnen verbeterd, maar slechts in bescheiden mate, meldde EY vorig jaar.[5] Een ander rapport van een aparte groep bedrijven en brancheorganisaties zei: "Te vaak is cybergerelateerde openbaarmakingstaal boilerplate op een manier die een belegger niet zou kunnen helpen bij het beoordelen van het cyberrisicoprofiel van een bedrijf of het beheer van die risico's." [6]

In laatstgenoemd rapport wordt bijvoorbeeld een jaarverslag aan de SEC aangehaald waarin staat: "Wij zijn in het verleden het doelwit geweest van cyberaanvallen en verwachten dat wij in de toekomst het doelwit zullen worden van nog meer cyberaanvallen en dat wij te maken kunnen krijgen met inbreuken op gegevens".

Waar de huidige SEC-richtlijnen zeggen wat moet worden gedaan, kan de nieuwe regel actualiseren en voorschrijven wat bedrijven moeten doen - of boetes en andere straffen tegemoet kunnen zien. Net zoals de huidige richtlijnen gelden voor elk bedrijf dat in de VS beursgenoteerd is, zou de nieuwe regel ook breed toepasbaar kunnen zijn. "In een digitaal verbonden wereld levert cyberbeveiliging voortdurende risico's en bedreigingen op voor onze kapitaalmarkten en voor bedrijven die in alle sectoren actief zijn," merkte de SEC in 2018 op. [7]

SEC begint boetes uit te delen voor tekortkomingen in cyberbeveiliging

Nog voordat de SEC een bindende cyberbeveiligingsregel heeft uitgevaardigd, is zij onlangs begonnen met de handhaving van cyberbeveiligingsvereisten door haar algemene regels voor de bekendmaking van risico's toe te passen.

Zo heeft de SEC in juni een stakingsbevel uitgevaardigd tegen een bedrijf dat diensten verleende op het gebied van de afwikkeling van onroerend goed, en een boete van 500.000 dollar opgelegd. Een van de applicaties van het bedrijf had gedurende meerdere jaren meer dan 800 miljoen afbeeldingen blootgelegd, waarvan sommige gevoelige persoonsgegevens bevatten, maar "als gevolg van gebrekkige openbaarmakingscontroles was het hoger management zich totaal niet bewust van deze kwetsbaarheid en het verzuim van het bedrijf om deze te verhelpen", aldus de SEC.[8]

In een andere zaak in augustus stemde een educatieve uitgever ermee in 1 miljoen dollar te betalen nadat de SEC had vastgesteld dat het bedrijf beleggers had misleid over een diefstal in 2018 van leerlinggegevens van 13.000 schooldistricten.[9] Specifiek had het bedrijf in een halfjaarlijks SEC-rapport verwezen naar de inbreuk - die al had plaatsgevonden - als "een hypothetisch risico", aldus de SEC. Het bedrijf vertelde de media ook dat het over degelijke beschermingsmaatregelen beschikte, hoewel de inbreuk in kwestie het gevolg was van een kwetsbaarheid die al lang niet meer was gepatcht. En net als in de zaak van juni hierboven haalde de SEC aan dat managers hadden nagelaten hoger op de bedrijfsladder te rapporteren.

Eveneens in augustus schikten acht beleggingsfirma's de aanklachten van de SEC wegens tekortkomingen in hun cyberbeveiligingsbeleid en -procedures die resulteerden in de overname van e-mailaccounts, waarbij de persoonlijke gegevens van klanten werden blootgesteld.[10] De meeste firma's slaagden er niet in hun eigen veiligheidsbeleid te volgen om de gegevens te beschermen, aldus de SEC, die boetes vaststelde van $200.000 tot $300.000.

"Deze boetes betekenen een belangrijke verschuiving, die de manier waarop bedrijven over cyberveiligheidsbedreigingen denken, intern over deze bedreigingen communiceren en inbreuken bekendmaken, ingrijpend zou kunnen veranderen," concludeerde het HBR-artikel.

Daarnaast is de SEC een "vertrouwelijk feitenonderzoek" gestart naar een aanval in 2020 op een bedrijf dat netwerksoftware maakt en ongeveer 18.000 van zijn zakelijke klanten besmette. Een van haar vragen: of de klanten het incident in SEC-deponeringen bekendmaakten.[11]

Wetgeving stelt bestuur cyberbeveiligingsmandaat voor

In het Congres is intussen een wetsvoorstel ingediend om bedrijven te verplichten bekend te maken of zij een cyberbeveiligingsdeskundige in hun bestuur hebben. Terwijl de Cybersecurity Disclosure Act zich richt op de jurisdictie van de SEC, richten verschillende andere wetsvoorstellen en uitvoerende richtlijnen zich op de verantwoordelijkheden van bedrijven om zich te beschermen tegen cyberbeveiligingsincidenten en deze te melden bij andere agentschappen, zoals het Cybersecurity and Infrastructure Security Agency (CISA).

Voorbereiding op nieuwe SEC-focus op cyberbeveiliging

Wat moeten bedrijven op dit moment doen?

"De eerste stap is het maken van een uitgebreide heatmap van het hele cyberbeveiligingsprogramma van het bedrijf om eventuele zwakke punten in technologie, mensen en processen aan te pakken", zegt Garth Landers, directeur productmarketing van Mimecast. "Naarmate de gebeurtenissen zich ontvouwen, moet er intern een constante keten van verhoging en transparantie zijn die leidt tot externe rapportage. Dit wordt net als het driemaandelijkse financiële rapportageproces; het eindigt nooit."

Het HBR-artikel en de juristen[12] suggereren tactieken zoals:

• Implementeren en documenteren van beste praktijken op het gebied van cyberbeveiliging.
• Krijg meer inzicht in IT-middelen.
• Implementeren en testen van procedures voor detectie en reactie op incidenten.
• Het cyberbeveiligingsprogramma van de onderneming periodiek evalueren en bijwerken.
• Regelmatige evaluaties van cybersecuritysystemen en dreigingen.
• Duidelijke verantwoordelijkheden en interne rapportageprocedures toewijzen.
• Stel een openbaarmakingscomité in van directeuren en hoger management, met inbegrip van veiligheidsfunctionarissen.
• Wees bereid om problemen op het gebied van cyberbeveiliging aan het licht te brengen, nog voordat ze volledig zijn onderzocht en geanalyseerd.

"Het is duidelijk dat het identificeren van potentiële problemen en het oplossen ervan bij het dagelijks werk hoort als je in IT en cyberbeveiliging zit," zei Landers. "Maar vaak hebben we een rallying event als deze verhoogde SEC-controle nodig om een uitgebreide controle en evaluatie uit te voeren."

Wat staat er op het spel?

De SEC heeft gewezen op de aanzienlijke kosten die bedrijven na een inbreuk moeten maken. Waaronder:

• Verlies van inkomsten en klantenrelaties.
• Vorderingen wegens contractbreuk.
• Bedreiging voor toekomstige kasstromen.
• Waardevermindering van intellectuele eigendom.
• Hogere financieringskosten.
• Hogere verzekeringspremies.
• Onderzoekskosten.
• Nalevingskosten voor kennisgeving van inbreuken, herstelmaatregelen, boetes en rechtszaken.

Schattingen van het risico en de kosten van een datalek lopen uiteen, maar onderzoeksbureau Cyentia Institute meldde onlangs dat een Fortune 1000-bedrijf 6% kans heeft om in een periode van 12 maanden 100 miljoen dollar of meer te verliezen als gevolg van een cyberincident.[13] Typische financiële verliezen na een succesvolle cyberaanval kunnen oplopen tot ongeveer 200.000 dollar, aldus de groep.

De kern van de zaak

De SEC wil dat bedrijven transparanter zijn tegenover beleggers over hun cyberbeveiligingsrisico's, -controles en -incidenten. De commissie zal naar verwachting binnenkort een nieuwe regel uitvaardigen, die bedrijven zou kunnen verplichten hun cyberbeveiligingsprogramma's en rapportageprocedures bij te werken.

[1] "De SEC is serieus over cyberbeveiliging. Is uw bedrijf dat ook?," Harvard Business Review

[2] "Testimony Before the United States Senate Committee on Banking, Housing and Urban Affairs," U.S. Securities and Exchange Commission

[3] "SEC to 'Dig Deeper' in Cybersecurity Enforcement," CFO Dive

[4] "Commission Statement and Guidance on Public Company Cybersecurity Disclosures," U.S. Securities and Exchange Commission

[5] "What Companies Are Disclosing About Cybersecurity Risk and Oversight," EY

[6] "The State of Cyber-Risk Disclosures of Public Companies," Security Scorecard et al

[7] "Commission Statement and Guidance on Public Company Cybersecurity Disclosures," U.S. Securities and Exchange Commission

[8] "SEC Charges Issuer with Cybersecurity Disclosure Control Failures," U.S. Securities and Exchange Commission

[9] "SEC Charges Pearson plc for Misleading Investors About Cyber Breach," U.S. Securities and Exchange Commission

[10] "SEC Announces Three Actions Charging Deficient Cybersecurity Procedures," U.S. Securities and Exchange Commission

[11] "In the Matter of Certain Cybersecurity-Related Events," U.S. Securities and Exchange Commission

[12] "SEC maakt van cyberbeveiliging topprioriteit," JD Supra

[13] "Cyentia Institute publiceert baanbrekend onderzoek naar de frequentie en de kosten van inbreuken," Cyentia