في 22 أكتوبر 2024، أعلنت هيئة الأوراق المالية والبورصة (SEC) أنها اتهمت أربع شركات عامة حالية وسابقة – Unisys Corp، وAvaya Holdings Corp، وCheck Point Software Technologies Ltd، وMimecast Limited – بتصنيع مواد مادية. الإفصاحات المضللة حول مخاطر الأمن السيبراني والتطفلات. وتراوحت العقوبات المدنية ما بين 990 ألف دولار إلى 4 ملايين دولار، وكانت الغرامة الأكبر على شركة Unisys.
وقال سانجاي وادوا، القائم بأعمال مدير قسم الإنفاذ في هيئة الأوراق المالية والبورصات في بيان صحفي“…بينما قد تصبح الشركات العامة أهدافًا للهجمات السيبرانية، يتعين عليها عدم إيذاء المساهمين أو غيرهم من الجمهور المستثمر من خلال تقديم إفصاحات مضللة حول حوادث الأمن السيبراني التي واجهتها.”
يقول كيرت سانجر، المستشار القانوني في شركة بوكانان إنجرسول آند روني للأمن السيبراني وخصوصية البيانات، إن مكتب المحاماة الخاص به يتوقع من حكومات الولايات والحكومات الأجنبية أن تستمر في الحزم فيما يتعلق بادعاءات الشركات بشأن أمنها السيبراني والذكاء الاصطناعي وغيرها من التقنيات النامية.
يقول سانجر في مقابلة عبر البريد الإلكتروني: “تتميز التقنيات الجديدة عمومًا بثلاث خصائص تجعل من الصعب التواصل بشأنها: فهي معقدة وغير مفهومة بشكل جيد، وتبشر بالخير الكبير، وتطرح مخاطر غير معروفة ومن المحتمل أن تكون كبيرة”. “قد يعتقد البعض أن التعقيدات المتأصلة ونقص الفهم يمنحهم غطاءً لحذف بعض الحقائق. قد يؤمن البعض بقوة بتقنياتهم لدرجة أنهم يصفونها على أساس التطلعات وليس الواقع والاحتمالات. عندما تقوم المؤسسات بإصدار بيانات مشكوك فيها بناءً على المعلومات المتاحة لها في ذلك الوقت، فإنها تترك نفسها عرضة للتدقيق من قبل الحكومة والعملاء والمساهمين.
هل هذا هو غيض من فيض؟
مايك بيازا، شريك في قانون سم ويقول محامي المحاكمة الإقليمي السابق للجنة الأوراق المالية والبورصات معارضة المفوضين هيستر بيرس ومارك أوديا جدير بالملاحظة لأنهم يختلفون حول ما هو “مادي”.
يقول بياتزا في مقابلة عبر البريد الإلكتروني: “من المفترض أن تلتزم هيئة الأوراق المالية والبورصة بمعيار الأهمية النسبية، ومع ذلك فمن الصعب تمييز المبادئ التوجيهية في تحديد المواد التي يجب الكشف عنها من خلال تلك القرارات الأربعة”. وأضاف: “نتيجة للانتخابات، ستتغير السيطرة على المفوضية. وبالتالي، فإن التوجيهات المقدمة من المفوضين المعارضين حول كيفية تحديد الأهمية النسبية لأغراض الكشف في هذه الظروف من المرجح أن تصبح المبادئ التوجيهية التي ينبغي للشركات التركيز عليها في المستقبل.
.jpg?width=700&auto=webp&quality=80&disable=upscale "Mike_Piazza_(002).jpg")
مايك بيازا، قانون CM
هناك أيضًا سؤال حول ما إذا كان النية أو الإهمال يحدث فرقًا. وفقًا لكين هيرزينغر، الشريك والرئيس المشارك العالمي لقسم التحقيقات والدفاع عن ذوي الياقات البيضاء في شركة المحاماة بول هاستينغز: القاعدة 10ب-5 من هيئة الأوراق المالية والبورصات يغطي الاحتيال القياسي، على الرغم من أنه يمكن لهيئة الأوراق المالية والبورصات فرض تهم الإهمال بموجبها قانون الأوراق المالية لعام 1933.
يقول هيرزينغر: “منذ يونيو 2021، أرسلت هيئة الأوراق المالية والبورصات رسائل إلى مئات الشركات العامة التي يُزعم أنها تأثرت بحادثة SolarWinds”. “ثم، في أغسطس من عام 2021، بدأت هيئة الأوراق المالية والبورصات في إرسال موجة أخرى من الرسائل. لقد عرضوا العفو على تلك الشركات التي ستكشف عما إذا كانت ضحية لاختراق SolarWinds أم لا، وأي مشاكل عانوا منها بسبب هذا الانتهاك. ولم تقدم هيئة الأوراق المالية والبورصات عفوًا عن أي تداول داخلي أو لوائح FD أو إفصاح أو انتهاكات للإجراءات.
والأهم من ذلك، أن هيئة الأوراق المالية والبورصة تريد فهم كل خرق شهدته الشركات العامة منذ أكتوبر 2019 دون قيود على الأهمية المادية.
“استجابت بعض الشركات. البعض لم يفعل ذلك. يقول هيرزينغر: “تقييمي هو أن هذه الحالات الأربع جاءت على الأرجح نتيجة لهذا الاجتياح”. “أعتقد أن هناك المزيد من الضحايا الذين تحقق هيئة الأوراق المالية والبورصة فيهم خلف الكواليس.”
يقول آرون تشارفوس، الشريك والرئيس المشارك لمجموعة خصوصية البيانات والأمن السيبراني في بول هاستينجز، إنه يتوقع المزيد من مثل هذه الدعاوى القضائية لأن هيئة الأوراق المالية والبورصة تضغط على عدة جبهات.
يقول شارفوس: “نحن لا نرى جانب التنفيذ فحسب، بل أيضًا تقارب الشركات وجانب الكشف الإيجابي، وهو تركيز حقيقي على إبراز هذه الأنواع من نقاط الضعف، وتوضيح ما يحدث”.
التوقيت مهم أيضا.
“إذا كان لديك خرق إلكتروني، فيجب التعامل معه كأولوية قصوى. [I] يقول بيازا: “أعلم أن هذا أمر صعب لأنني شاركت في هذه المواقف، وفي بعض الأحيان يكون من الصعب حقًا أن تستوعب نطاق الانتهاك”. “لكن لديك هذه الجداول الزمنية المصطنعة التي وضعتها هيئة الأوراق المالية والبورصة الآن، لذلك تحتاج إلى الحصول على 8K أولية بأي معلومات تعتبرها مادية، ثم استكمالها مع استمرار التحقيق. يجب أن تكون مستعدًا لإجراء تحقيق سريع، ثم نأمل أن تعالج الموقف بسرعة وتتابع ذلك بتقديم ملف إضافي إلى هيئة الأوراق المالية والبورصات حتى يكون المستثمرون لديك على دراية تامة بما يحدث.
كيفية تجنب نفس المصير
يجب على الشركات التأكد من أن المعلومات المتعلقة بأمن الإنترنت والبيانات التي تشاركها داخل مؤسساتها تتوافق مع ما تشاركه مع الوكالات الحكومية والمساهمين والجمهور، وفقًا لما ذكره بوكانان إنجرسول آند روني سانجر. وينطبق هذا على وضعهم الأمني قبل حدوث الاختراق، وكذلك على استجاباتهم بعد ذلك.
“من الصعب إدارة الرسائل المتسقة نظرًا لأن العشرات أو المئات أو الآلاف قد يكونون مسؤولين عن الأمن السيبراني للمؤسسة. يقول سانجر: “سيكون المحققون دائمًا قادرين على العثور على وجهة نظر مخالفة أو أكثر تشاؤمًا بين الأصوات المعنية”. “إذا كانت هناك حجة موثوقة مفادها أن الظروف أسوأ مما تشاركه المنظمة علنًا، فيجب على القيادة الاعتراف بها علنًا واتخاذ خطوات لتبرير وجهة النظر الرسمية”.
ومع ذلك، فإن الإبلاغ عن انتهاكات الأمن السيبراني للشركات لا يزال مجهولاً نسبيًا.
يقول سانجر: “حتى قادة الأعمال الذين يعتزمون التصرف بشفافية كاملة يمكن أن يرتكبوا أخطاء غير مقصودة أو يتواصلوا بشكل سيئ، خاصة وأن اللغة المستخدمة لمناقشة الأمن السيبراني لا تزال في طور التطور وتختلف بين المجتمعات”. “من الجدير بالذكر أن هيئة الأوراق المالية والبورصة صنفت كل شركة معاقب عليها على أنها “قللت عن طريق الإهمال من حادث الأمن السيبراني في إفصاحاتها العامة”. إن التوصيف الذي وضعته اللجنة بعناية بمثابة تحذير مفاده أن الشركات لا ينبغي لها أن تتجنب التحريف المتعمد فحسب، بل يتعين عليها أيضاً أن تبذل العناية الواجبة عند الإدلاء بتصريحات عامة لتجنب الاتهامات غير الواضحة أو التي تحجب المعلومات. بالإضافة إلى ذلك، يجب عليهم بذل العناية الواجبة لاكتشاف المعلومات المتاحة حول أنظمتهم. من غير المرجح أن يقدم العمى المتعمد دفاعًا.
في حين أنه كان من الضروري الإبلاغ عن الحوادث المادية تاريخيًا، إلا أنه لم يكن من الضروري الكشف عن التفاصيل الفنية لبرنامج الأمن السيبراني.
يقول شارفوس: “مع صدور قواعد الشركات العامة الجديدة عن هيئة الأوراق المالية والبورصة، نشهد تركيزًا أكبر على الحوكمة وعملية تحديد الإفصاح”. “لقد قلنا أنه يتعين على الشركات صياغة خطط الاستجابة للحوادث التي تحتوي على معايير موضوعية لتصنيف الحادث، ومجموعات محددة بشكل موضوعي من الأشخاص الذين سيتعاملون مع مستويات مختلفة من خطورة الحوادث، ويتم إخبارهم بها في فترة زمنية محددة بشكل موضوعي. يجب أن يصل ذلك إلى مجلس الإدارة.”
ومع ذلك، هناك تحديات، لأن الامتثال يمثل تكلفة تجارية وليس مصدرًا للإيرادات. وهذا يعني أنه في الأوقات الصعبة، قد يعاني الالتزام من ناحية الميزانية إذا لم يمنحه المديرون التنفيذيون ومجلس الإدارة الأولوية.
من الذي يجب عليه مراجعة الإفصاحات؟
يقول هيرزينغر إن هناك حالات لدى هيئة الأوراق المالية والبورصة تعود إلى شركة ياهو في عام 2018 والتي تظهر نقص التنسيق وتبادل المعلومات والتصعيد بين أولئك الذين يعملون في جانب الخصوصية وأولئك الذين يتعاملون مع إفصاحات هيئة الأوراق المالية والبورصة.
.jpg?width=700&auto=webp&quality=80&disable=upscale "هيرزينغر_كين_(002).jpg")
كين هيرزينغر، مكتب بول هاستينغز للمحاماة
“من وجهة نظرنا، يجب أن يشارك الكثير من الأشخاص المختلفين على جانبي المنزل – التأكد من أن الأشخاص الذين يقومون بصياغة البيانات العامة والإدلاء بها [on] يقول هيرزينغر: “يتم إطلاعنا بشكل كامل على المكالمات التي يتم كسبها وتحديثها بشأن ما يحدث بالضبط”. “التأكد من تدفق المعلومات من فريق CISO وأمن المعلومات إلى فريق الكشف ثم تصعيد ذلك إلى الإدارة القانونية؛ فريق الإدارة التنفيذية؛ لجان المخاطر والإفصاح والتدقيق. وفي النهاية المجلس.”
يقول سانجر إنه في نهاية المطاف، يجب على الرئيس التنفيذي أن يمتلك أي بيان يقدمه إلى لجنة الأوراق المالية والبورصات، ولكن يجب أن يتم تسليحه بموظفين للدفاع عنه.
“يجب أن تتم الصياغة والمراجعة من قبل المديرين التنفيذيين الذين يفهمون الجوانب الفنية للانتهاك، [such as] يقول سانجر: “كبير مسؤولي المعلومات وكبير مسؤولي أمن المعلومات، والمستشار العام الذي يفهم اللوائح المعنية وما إذا كانت تنطبق على الظروف، ومتخصصي الاتصالات الذين يمكنهم صياغة رسائل لكل من الجماهير المعنية”. “الأهم من ذلك، يحتاج مدير العمليات إلى فهم وشرح تأثيرات العمليات التجارية الناجمة عن الاختراق وكيف ستؤثر على الأنشطة المدرة للدخل، والقوى العاملة، والقدرة على القيام بالأنشطة العادية ومتى من المتوقع عودة العمل كالمعتاد. ”
ويحذر شارفوس من أنه يجب على الشركات التأكد من أن المعلومات الواردة في 8Ks و10Ks و10Qs لا تكشف عن وجود عدم تطابق بين ما يعرفه الفريق الفني ومجلس الإفصاح.
يقول شارفوس: “لا يمكنك الادعاء بأن شيئًا ما هو تنسيق بين مجلس الإفصاح وفريق InfoSec والمسؤول القانوني للتأكد من أنك لا تتجاهل أي شيء أو تقول شيئًا بطريقة خاطئة”.
الشيء المهم الذي يجب ملاحظته هو أن هيئة الأوراق المالية والبورصة لا تنظر فقط إلى ملفات هيئة الأوراق المالية والبورصات. في إحدى القضايا التي تمت محاكمتها، اتُهمت إحدى الشركات بتقديم بيانات كاذبة ومضللة بناءً على البيان الأمني الموجود على الموقع الإلكتروني للشركة.
“لا تقضي العديد من الشركات نفس القدر من الوقت في مراجعة هذا البيان وتنقيته كما تفعل مع ملفاتها لدى هيئة الأوراق المالية والبورصات، [because] يقول هيرزنجر من بول هاستينج: “إنهم لا ينظرون إلى الأمر بالضرورة بنفس الطريقة”. “أعتقد أن منظمي هيئة الأوراق المالية والبورصات ونقابة المدعين بدأوا في النظر فعليًا في أي بيان عام تدلي به شركة عامة حول برنامج الأمن السيبراني الخاص بها والتخمين بشأن ما إذا كانت هذه التصريحات دقيقة أم لا.”
يجب أن يتم تدريب مدراء تكنولوجيا المعلومات ومديري تكنولوجيا المعلومات على قوانين الأوراق المالية الفيدرالية، وأدوار الكشف، وأن تكون لديهم علاقة عمل أفضل مع مستشاري الإفصاح داخل وخارج هيئة الأوراق المالية والبورصة حتى يتمكنوا من التعرف على العلامات الحمراء.
“في النهاية، من مصلحة الجميع أن يقوم كبار مسؤولي أمن المعلومات وموظفي إعداد التقارير في لجنة الأوراق المالية والبورصات بتوثيق تلك القرارات الحاسمة التي تتخذها في الوقت الفعلي، لذلك إذا تساءل شخص ما في وقت لاحق عن سبب عدم الكشف عن الانتهاك، فسيكون لديك سجل يقول هيرزينغر: “من الأسباب، مثل لماذا لم يكن الانتهاك جوهريًا”. “لأنه إذا كنت بحاجة إلى الدفاع عن هذا القرار لمدة عام، فأنت تريد التأكد من أن لديك جميع المعلومات، ونقاط البيانات التي أخذتها في الاعتبار في ذلك الوقت، ومثبتة كتابيًا في مكان ما حتى لا تضطر إلى الرجوع إلى الوراء. أعد إنشاء العجلة.”
الخط السفلي
لا تقتصر “إفصاحات” الشركات على إيداعات هيئة الأوراق المالية والبورصة للشركات العامة. ما تدعيه المنظمات على موقعها الإلكتروني أو غير ذلك يجب أن يكون متسقًا وصادقًا. وبخلاف ذلك، يمكن أن تكون المعلومات الخاطئة المتعمدة وحتى البيانات المهملة بمثابة الأساس لتحقيقات هيئة الأوراق المالية والبورصات والغرامات والإضرار بالسمعة.
