Политический акцент на кибербезопасности сохраняется, и 13 июля правительство Австралии опубликовало для обсуждения документ о регулировании и стимулах кибербезопасности в Австралии. Несмотря на то, что в документе описывается ряд инициатив, особое внимание уделяется роли директоров и должностных лиц в предотвращении киберинцидентов.
Какова в настоящее время подверженность директоров и должностных лиц киберрискам?
В течение некоторого времени обсуждалось теоретическое воздействие, с которым сталкиваются директора и должностные лица после киберинцидентов. В частности, обязанности директоров в отношении заботы и навыков, изложенные в разделе 180 Закона о корпорациях 2001 (Cth), требуют от директоров защиты от основных бизнес-рисков. В результате директора уже подвергаются искам о возмещении ущерба и регулирующим расследованиям, если они не обеспечивают наличие в их компаниях соответствующих систем для предотвращения киберинцидентов и реагирования на них (особенно в обстоятельствах, когда могло произойти несколько инцидентов).
Бремя более остро для директоров владельцев лицензий Австралийских финансовых услуг (AFS). Лицензиаты AFS должны иметь системы и средства контроля для управления бизнес-рисками. Австралийский орган пруденциального регулирования и Австралийская комиссия по ценным бумагам и инвестициям (ASIC) ясно дали понять, что киберриски являются ключевой проблемой систем и контроля.
Что намерено сделать австралийское правительство?
В документе, опубликованном для обсуждения, правительство заявило, что нынешняя формулировка обязательств директоров и должностных лиц в отношении киберрисков является несовершенной, поскольку она содержит ряд недостатков:
- Отсутствие ясности и конкретности;
- Сосредоточены на обязательствах перед акционерами, а не на клиентах или общественности в целом.
Делая такой вывод, правительство указывает на исследование, которое показывает, что советы директоров в настоящее время не имеют надлежащего понимания киберрисков, и заявляет, что это создает больший риск для потребителей и австралийской экономики. В документе предлагаются три варианта решения этой проблемы:
- Статус-кво (без действий);
- Добровольный стандарт управления кибербезопасностью для крупного бизнеса;
- Обязательный стандарт управления кибербезопасностью, который требует от предприятий принятия мер в определенные сроки.
В документе предполагается, что любые добровольные стандарты будут описывать обязанности и процессы по управлению риском кибербезопасности, тем самым поддерживая роль совета директоров компании в надзоре за риском кибербезопасности. Предлагается, чтобы стандарты были разработаны в консультации с отраслью и согласованы с международными стандартами.
В документе не комментируется, как будет применяться какой-либо обязательный стандарт или какие санкции будут следовать за любым нарушением. Некоторые комментаторы предположили, что стандарт мог бы действовать аналогично обязательствам советов директоров в отношении систем и средств контроля за здоровьем и безопасностью на рабочем месте.
Правительство требует представить материалы для обсуждения до 27 августа 2021 года и с 23 июля 2021 года проводит серию консультационных мероприятий.
Анализ
В настоящее время на правительство оказывается значительное политическое давление с целью принятия мер в отношении киберрисков и их воздействия на экономику Австралии - как для предприятий, так и для потребителей. В июне член парламента от лейбористов Тим Уоттс внес на рассмотрение законопроект, предлагающий обязательную систему отчетности о программах-вымогателях, требующую направления уведомления в Австралийский центр кибербезопасности после выплаты требования о выкупе.
Создание основы для большей индивидуальной ответственности было стандартным ответом правительства на такие вызовы. Учитывая политическое давление, маловероятно, что правительство выберет статус-кво по завершении периода консультаций.
Обязательный подход представляет собой значительный отход от текущих обязательств и создает большую нагрузку на соблюдение нормативных требований. Это может оказаться неприятным для правительства, которое считает себя сторонником бизнеса. Тем не менее, ожидается, что введение обязательных требований в этой сфере останется на повестке дня в течение многих лет.
В том случае, если правительство выберет добровольную основу, ее соблюдение может, тем не менее, стать стандартом заботы в гражданском судопроизводстве или судебном преследовании ASIC за нарушение обязанностей директоров. Правительство заявляет в консультационном документе, что «добровольный стандарт может рассматриваться судом при определении того, являются ли сбои, связанные с надзором за киберрисками, нарушением обязанностей директоров». Таким образом, стандарт может стать обязательным на практике, если не в законе.
В документе для обсуждения подчеркивается, что кибербезопасность, киберустойчивость и управление данными должны быть фундаментальной частью практик и структур управления рисками всех организаций. Советы директоров столкнутся с усилением контроля за поддержанием эффективных методов управления данными для предотвращения киберинцидентов, включая утечки данных.
Независимо от того, являются ли стандарты добровольными или обязательными, если организация пострадает от киберинцидента и не сможет продемонстрировать наличие адекватных политик и процедур, к директорам может быть предъявлен иск. Это также совпадает с усилением контроля, с которым в настоящее время сталкиваются компании при оформлении страховки от киберрисков, при этом компаниям (и их советам директоров) теперь необходимо продемонстрировать подлинную приверженность киберустойчивости и реальное понимание существующих систем и процессов для предотвращения будущие инциденты или уязвимости.
Подготовлено порталом Allinsurance.kz