ABD’de Biden yönetimi, Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) oldukça katı olan siber güvenlik ihlali raporlama kuralının geri alınmasına şiddetle karşı olduğunu kongre temsilcilerine ifade etti. Biden’ın Yönetim ve Bütçe Ofisi (OMB) tarafından yayınlanan bir politika bildirisinde yönetim, Senatör Thom Tillis tarafından Kasım ayında sunulan Senato Ortak Kararı 50’ye “şiddetle karşı çıktığını” söyledi. Temsilci Andrew Garbarino tarafından desteklenen ve aynı gün sunulan House Joint Resolution 100 ile birlikte ortak karar tasarısı, geçen yılın Temmuz ayında kabul edilen SEC kurallarını geçersiz kılacak.
SEC’in kuralı, siber suçlular tarafından vurulan halka açık şirketlerin olayı dört gün içinde bildirmesini gerektiriyor. SEC’in öncelikli kaygısının yatırımcıları korumak olduğu düşünüldüğünde, kurum daha çok bir şirketin kar hanesi üzerinde “önemli” bir etkiye sahip olabilecek ve dolayısıyla hissedarlar için bir risk oluşturabilecek ihlallerle ilgileniyor.
OMB, Senato tasarısına itirazında “Halka açık şirketlerin operasyonlarını ve verilerini etkileyen siber olaylar konusunda şeffaf olmaması, tüm sektörlerde ve tüm endüstrilerde artan siber saldırıları körüklemektedir” diyor ve ekliyor: “SEC’in kuralında öngörüldüğü üzere siber olaylarla ilgili daha fazla şeffaflık, şirket yöneticilerini siber güvenlik ve siber risk yönetimine yatırım yapmaya teşvik edecektir.”
ABD’de Senatör Thom Tillis’in hangi gerekçeyle ihlal raporlama gerekliliğini ortadan kaldırmak istediği net değil. Bir diğer ABD Senatörü Garbarino ise Kasım ayında Temsilciler Meclisi’nde önergesini sunduktan sonra konuyla ilgili tutumunu netleştiren bir açıklama yayınladı: “İhlal raporlama gereklilikleri Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) değil Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) işidir.”
Garbarino Kasım ayındaki açıklamasında, “Bu siber güvenlik ifşa kuralı SEC açısından tam bir aşırılıktır ve kongre niyetiyle doğrudan çelişmektedir” dedi ve ekledi:”Baş sivil siber güvenlik kurumu olarak CISA, kapsam dahilindeki kuruluşlarla ilgili olarak siber olay raporlaması için düzenlemeler geliştirmek ve yayınlamakla görevlendirilmiştir.”
Bu endişelerin bir kısmı, SEC Form 8-K’da sunulması gereken ve içeriği kamuya açık olan SEC olay raporlarının kamusal niteliğinden kaynaklanıyor olabilir. Açıklamalar olayın kapsamını, zamanlamasını ve niteliğini içermelidir, ancak ABD Başsavcısı bunun ulusal güvenlik veya kamu güvenliği için bir risk oluşturacağını belirlerse açıklama ertelenebilir.
Bu arada ABD Menkul Kıymetler ve Borsa Komisyonu’nun kendisi de kısa bir süre önce bir siber saldırının kurbanı olmuştu. 9 Ocak’ta SEC hesabı üzerinden yapılan açıklamada Bitcoin ETF onayının verildiği belirtilmişti. Ancak, SEC Başkanı, kendi hesabından yaptığı açıklamada, bu duyurunun gerçeği yansıtmadığını ve bir saldırıya uğrandığını bildirmişti.