ABD’de Bankacılık Grupları, SEC’in Siber Güvenlik Açıklama Şartının Kaldırılmasını Talep Etti

Amerika’nın önde gelen bankacılık birlikleri, SEC’in kamu şirketlerine siber güvenlik olaylarını dört gün içinde açıklama zorunluluğu getiren hükmün kaldırması için resmi başvuru yaptı. Gerekçeleri arasında kritik altyapı güvenliğinin riske atılması, fidye yazılımı saldırganlarının bu bilgileri silah olarak kullanması ve piyasalarda kafa karışıklığı yaratılması yer alıyor.

Finans Dünyasından SEC'e Çağrı: “Bu uygulama Kamu Güvenliğini Tehlikeye Atıyor”

ABD'deki beş büyük bankacılık kuruluşu, Menkul Kıymetler ve Borsa Komisyonu’na (SEC) 22 Mayıs’ta gönderdikleri bir mektupta, şirketlerin siber güvenlik olaylarını kamuya açıklamasını zorunlu kılan maddenin geri çekilmesini talep etti.

Başvuruyu yapan gruplar arasında şu kurumlar yer alıyor:

American Bankers Association (ABA)

Securities Industry and Financial Markets Association (SIFMA)

Bank Policy Institute

Independent Community Bankers of America

Institute of International Bankers

Eleştirilen Madde: “Item 1.05” Hedefte

Gruplar özellikle Form 8-K'deki “Item 1.05” maddesinin iptal edilmesini istiyor. Bu madde, halka açık şirketlerin yatırımcıları etkileyecek olayları (örneğin siber saldırılar, veri sızıntıları) SEC ve kamuoyuyla paylaşmalarını şart koşuyor.

Banka temsilcileri, bu zorunluluğun:

Kritik altyapının korunmasına yönelik gizli raporlama sistemleriyle çeliştiğini,

Olaylara müdahaleyi ve kolluk kuvvetlerinin çalışmalarını zora soktuğunu,

Ransomware (fidye yazılımı) gruplarının şirketleri tehdit etmek için açıklamaları kullandığını,

Kurum içi iletişimi ve bilgi paylaşımını bastırdığını belirtiyor.

“Yatırımcı Korunuyor, Bu Kural Gereksiz”

Bankacılık kuruluşlarına göre, “Item 1.05” olmadan da yatırımcı çıkarları mevcut açıklama çerçeveleri içinde yeterince korunuyor. Bu nedenle, mevcut sistemin kullanılmaya devam edilmesini öneriyorlar.

“Siber güvenlik olayları önemliyse, zaten mevcut sistem kapsamında açıklanabiliyor. Zorunlu dört günlük bildirim şartı gereksiz yük ve risk yaratıyor.”

Kripto Şirketleri de Etkileniyor: Coinbase Örneği

Söz konusu uygulama, Coinbase gibi halka açık kripto para şirketlerini de doğrudan etkiliyor. Coinbase, kısa süre önce çalışanlarının rüşvet karşılığında kullanıcı verilerini sızdırdığı bir phishing (oltalama) saldırısına uğradığını duyurdu.

Şirket, 20 milyon dolarlık fidye teklifini reddetti,

Olayı kamuya açıklamasının ardından en az yedi farklı dava ile karşı karşıya kaldı,

Coinbase, olayın 400 milyon dolara kadar zarar doğurabileceğini açıkladı.

Eğer SEC, bu kuralı iptal ederse, şirketler benzer siber güvenlik olaylarını kamuoyuna açıklamak için daha esnek zaman çizelgelerine sahip olabilir.

Sonuç: Şeffaflık mı Güvenlik mi?

Tartışma, dijital çağın en kritik meselelerinden birine işaret ediyor: şeffaflık ile güvenlik arasındaki denge. Bankacılık sektörü güvenliğe öncelik verirken, düzenleyici kurumlar yatırımcıları korumayı sürdürüyor. SEC’in bu başvuruya vereceği yanıt, sadece finans dünyasını değil, kripto para şirketlerini de doğrudan ilgilendiriyor.