CVM dos EUA propõe regras de segurança cibernética para fundos e assessores

Reguladores financeiros propuseram na semana passada regras de segurança cibernética há muito esperadas para fundos de investimento e consultores que exigiriam que milhares de empresas relatassem ataques cibernéticos em 48 horas. De acordo com as propostas divulgadas, a Security and Exchange Comission (SEC, a CVM dos Estados Unidos) informou que os fundos e os assessores de investimentos registrados devem desenvolver políticas e procedimentos escritos para lidar com incidentes de segurança cibernética e manter registros detalhados sobre eles. Eventos significativos devem ser divulgados aos investidores e relatados aos reguladores, disse o regulador.

Embora a SEC tenha incluído elementos de orientação cibernética em outras regras – notadamente compliance e integridade de sistemas de regulamentação e sua regra de alertas vermelhos de roubo de identidade, conhecida como Regulamento S-ID – esta é a primeira vez que detalhou especificamente os preparativos de segurança cibernética que espera de assessores e fundos.

“A maioria dos assessores de investimentos confiáveis ​​já tem algo pronto, é parte de seu planejamento de continuidade de negócios e parte de seu plano de gerenciamento de desastres e crises”, disse Ken Joseph, diretor da consultoria Kroll Holdings Inc.

Joseph, que trabalhou como investigador da SEC por 21 anos antes de ingressar na Kroll, disse que a mudança real na abordagem do regulador é a exigência de que os assessores relatem grandes incidentes cibernéticos em 48 horas. “Se a regra for adotada como está escrita, eles também terão que divulgar esse risco publicamente para clientes reais e potenciais”, disse ele.

As regras propostas afirmam que os fundos devem divulgar quaisquer “incidentes significativos de segurança cibernética” dos últimos dois anos fiscais em folhetos e documentos regulatórios.

Como a SEC define “significativo” continua sendo uma questão-chave, disse Kelly Koscuiszka, sócia do escritório de advocacia de Nova York Schulte Roth & Zabel LLP. “Depende de qual é o gatilho”, disse ela.

Nas regras propostas, a SEC descreve um incidente significativo como aquele que impede um assessor ou fundo de realizar operações críticas, como o processamento de transações, e diz que a obrigação de informar entra em ação depois que uma empresa tem uma “base razoável” para concluir que um evento cibernético está ocorrendo. A SEC também classifica as violações de dados como eventos significativos e está pedindo comentários públicos sobre suas definições.

As novas regras colocam grande parte do ônus para os preparativos de segurança cibernética, manutenção de registros e relatórios especificamente para consultores, mesmo que usem provedores de tecnologia terceirizados. De acordo com a proposta, os fundos devem garantir que seus fornecedores de tecnologia terceirizados cumpram as novas regras.

“Na verdade, torna nossa vida um pouco mais fácil”, disse George Ralph, diretor administrativo global e diretor de risco da RFA Inc., que fornece serviços de tecnologia para empresas financeiras. “Isso é o que costumamos dizer às pessoas que elas deveriam fazer, e agora a SEC está dizendo isso.”

A proposta é a mais recente ação focada em segurança cibernética da agência. Em setembro, a SEC chegou a um acordo de US$ 10 milhões com a empresa de análise App Annie Inc. por acusações de fraude de títulos, alegando que a empresa enganou os desenvolvedores de aplicativos móveis em seus controles de privacidade. A App Annie não admitiu irregularidades como parte do acordo. A ação da SEC, no entanto, sugeriu que estaria olhando mais de perto os provedores de dados de terceiros nos quais os investidores confiam cada vez mais para fazer negócios.

Em agosto, a SEC sancionou três empresas de investimento depois que hackers invadiram contas de e-mail, obtendo acesso a dados pessoais.

No ano passado, a SEC lançou uma investigação sobre a violação de várias agências federais e dezenas de empresas dos EUA por meio de uma atualização de software comprometida da SolarWinds Corp. As autoridades dos EUA só souberam do incidente depois que a Mandiant Inc., uma empresa de segurança cibernética então conhecida como FireEye Inc., informou que havia sido hackeada.

Na investigação da SEC que se seguiu, “muitas das perguntas se concentraram em como você aprende sobre eventos cibernéticos como vítima e como essas coisas são relatadas”, comentou Koscuiszka.

No ano passado, o governo Biden lançou os primeiros requisitos de relatórios de incidentes cibernéticos para oleodutos, nos quais os operadores devem divulgar certos ataques cibernéticos dentro de 12 horas, e os operadores ferroviários, que têm um prazo de 24 horas. Enquanto isso, agências como a Federal Trade Commission e a Federal Communications Commission passaram a usar dados de empresas policiais explorando novos regulamentos ou aplicando padrões existentes de forma mais agressiva.

Apesar desses esforços, as tentativas dos legisladores de incluir mandatos de denúncia de hackers no orçamento de defesa dos EUA em dezembro falharam. Na semana passada, no entanto, o senadores Gary Peters e Rob Portman apresentaram um novo pacote de propostas de leis que incluem mandatos de denúncia de violações.

Na última terça-feira, um grupo de senadores escreveu para o presidente da SEC, Gary Gensler, pedindo à agência que proponha regras de denúncia de violações em coordenação com o diretor nacional de Cibernética, Chris Inglis. Gensler declarou em várias ocasiões nos últimos meses que novas regras de segurança cibernética estavam por vir.

“Os investidores merecem um entendimento claro sobre se as empresas e os gestores de investimentos estão priorizando a segurança cibernética. Eles também têm o direito de notificar imediatamente incidentes graves de segurança cibernética”, escreveram os senadores.

Com Valor Pro, serviço de informação em tempo real do Valor Econômico

Leia a seguir