Showing posts with label sec. Show all posts
Showing posts with label sec. Show all posts

Monday, May 14, 2012

SEC Guidance Is a Really Big Deal

In November I wrote SEC Guidance Emphasizes Materiality for Cyber Incidents, my thoughts after reading an article by Senator Jay Rockefeller and former DHS Secretary Michael Chertoff. They explained why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CF Disclosure Guidance: Topic No. 2, Cybersecurity issued by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC in October is a big deal.

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I attended a conference on Director's and Officer's insurance in Connecticut, and spoke on a panel about that SEC guidance. During cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference I learned that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC guidance isn't a big deal -- it's a really big deal. We're talking a game changer, potentially on three fronts. Here's what I heard at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conference.

  1. First, lawyers who read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 language in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC guidance treated it as a "stop whatever you're doing and read this" moment. The lawyers I spoke to said cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC guidance absolutely defined new reporting duties for companies, despite talk of it being merely a "clarification" or restatement of existing guidance.

    Clients bombarded insurance firms asking what language cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y should use in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SEC disclosure documents. They asked "what are ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r companies saying? What should we say?" The firms noted similar boiler plate shared among clients, most of which insufficiently met cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC's requirements.

    One lawyer I spoke with said she expects cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC to give publicly traded firms a "one year pass" before bringing enforcement actions against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for insufficiently outlining digital risk, pre- and post-breach.

  2. Second, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC language will encourage shareholder lawsuits against companies by disgruntled parties who believe boards are not disclosing risks and actual breach details to investors. This will probably not be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 primary cause for a suit but it will likely be one of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r factors a shareholder action uses to show that a board is not fulfilling cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir duties to investors.
  3. Third, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC language may prompt whistleblower reports from dissatisfied IT and security staff to organizations like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC Office of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Whistleblower. (That is a real organization!) In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 seven weeks beginning with this new office's launch in August 2011, parties reported 334 tips from 37 states and 11 countries, with successful enforcement actions in up to 30% of cases.

    Although it doesn't appear that this new office has paid any whisteblowers yet, it is apparently gearing up to do so. Imagine a case where security staff believes that management is not treating a breach as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 staff thinks it should be treated, and decides to report cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incident to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC -- with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 possibility of a payout waiting!

Right now Congress doesn't seem to think that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC rules are working. Joe Menn reported in Hacked companies still not telling investors cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

At least a half-dozen major U.S. companies whose computers have been infiltrated by cyber criminals or international spies have not admitted to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents despite new guidance from securities regulators urging such disclosures.

Top U.S. cybersecurity officials believe corporate hacking is widespread, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Securities and Exchange Commission issued a lengthy "guidance" document on October 13 outlining how and when publicly traded companies should report hacking incidents and cybersecurity risk.

But with one full quarter having elapsed since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC request, some major companies that are known to have had significant digital security breaches have said nothing about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 incidents in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir regulatory filings.

Now Senator Rockefeller is taking a closer look as reported by Jennifer Martinez of Politico this week:

Senate Commerce Chairman Jay Rockefeller thinks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC needs to ensure hacked companies are adequately informing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir investors about when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y suffer a security breach or cybersecurity risk that could jeopardize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir financial standing.

The West Virginia Democrat wants cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full commission to issue guidance for companies — right now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y only have staff-level instructions — on when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to report cyber breaches or threats and what steps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y’re taking to minimize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risks.

“It’s crucial that companies are disclosing to investors how cybersecurity risks affect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir bottom lines, and what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are doing to address those risks,” Rockefeller said in a statement to POLITICO.

Rockefeller will soon introduce an amendment that calls on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SEC to issue interpretive guidance on when companies must disclose cybersecurity risks and intrusions. Staffers for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Commerce Committee are finalizing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 amendment and aim to introduce it before Sen. Joe Lieberman’s (I-Conn.) cybersecurity bill goes to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 floor.

This is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sort of activity that I think is going to mark a sea change in digital security over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 coming years. I don't expect engineering or technical developments to have anywhere near cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same level of impact as issues that involve legislators, lawyers, insurers, and financiers. Stay tuned!