SEC divulga ações em segurança cibernética após notícia sobre brecha
Mercados SecundáriosTecnologia e High-frequency Trading
O Comissário da SEC norte-americana, Jay Clayton, publicou uma nota sobre segurança cibernética, ressaltando a importância do tema e descrevendo as iniciativas que vem sendo tomadas pela Comissão (tanto como organização quanto como agência reguladora). A nota, contudo, ganhou especial relevância por trazer maiores informações sobre o ataque sofrido pela SEC em 2016, no repositório de informações corporativas denominado EDGAR.
De modo objetivo, o texto aborda os seguintes temas:
-
Os tipos de informação que a autoridade obtém e utiliza;
-
A gestão interna de risco de segurança cibernética;
-
A coordenação com demais autarquias;
-
A incorporação de considerações sobre segurança cibernética nos programas de supervisão e de divulgação de informação; e
-
A abertura e o acompanhamento de procedimentos para imposição das leis federais.
Entre as inúmeras iniciativas relacionadas a esses cinco aspectos, é importante ressaltar três. Em primeiro lugar, o Comissário informa que a SEC desenvolveu políticas internas de segurança cibernética que estão de acordo com o padrão NIST (que, por sua vez, é adotado por um número significativo de instituições que operam no mercado dos EUA). Essa opção evidencia a confiança que a autoridade deposita nos padrões definidos por outras autoridades, o que se reflete também nas suas atividades regulatórias.
Diferentemente daquilo que é observado em outras agências reguladoras nos EUA (como exemplo, ver Radar ANBIMA nº 20), membros da equipe da SEC reconhecem que não existiria uma abordagem única para segurança cibernética. Em linha com esse entendimento, a agência não define uma lista de práticas mínimas que devem ser obrigatoriamente observadas, mas atua principalmente por meio da publicação de avisos e da supervisão baseada em risco. Com isso, o segundo destaque da Nota relaciona-se à publicação, pelo regulador, de um relatório descrevendo principais recomendações a partir das inspeções sobre as políticas de segurança cibernética que são adotadas pelos seus regulados.
Em terceiro lugar, a SEC anunciou, poucos dias após a publicação da referida nota, que criará uma unidade dentro da sua procuradoria responsável por casos de má conduta relacionados à segurança cibernética. Possíveis áreas de atuação incluem: manipulação de mercado com base em informações falsas, divulgadas em redes sociais; obtenção indevida de informação confidencial; violações envolvendo distributed ledger technology e initial coin offerings. Além disso, a unidade deverá constituir uma força-tarefa para desenvolver iniciativas voltadas aos investidores de varejo.
Ao concluir a nota, o Comissário Payton afirma que o objetivo da SEC é contribuir para que o mercado tenha capacidade de tratar os riscos de segurança cibernética e, na medida que eventos ocorram, de mitigar os impactos e manter a resiliência.
As diversas iniciativas de autoridades locais, regionais ou outras entidades em regular ou determinar práticas relacionadas à segurança cibernética, com caráter mais ou menos prescritivo, ocorridas recentemente podem ser encontradas em um sumário produzido pelo FSB, divulgado em 13/10. A partir de uma solicitação do G-20, o documento reúne regras, diretrizes e práticas de supervisão efetivamente publicadas voltadas para a cibersegurança no setor financeiro, aí incluídos ambientes de negociação, infraestruturas de mercado, companhias de seguros, intermediários, gestores de recursos e fundos de pensão.
No que se refere ao mercado local, Banco Central editou o Edital de Consulta Pública nº 57/17, com uma proposta de resolução sobre a implementação, por parte das instituições financeiras e demais autorizadas, de política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem. A proposta fica em consulta até 21/11/2017.
A Anbima, por sua vez, realizou uma pesquisa entre todos seus associados sobre as suas práticas em segurança cibernética. As mais de 150 respostas – que não são identificadas – auxiliarão a Associação a mapear o nível de maturidade dos diferentes segmentos nela representados e desenhar medidas de acordo com essa avaliação. Em linha com a postura adotada pela SEC, a expectativa não é disciplinar um conjunto exaustivo de atividades, mas eventualmente aprimorar as recomendações de melhores práticas, como disponibilizadas no Guia de Cibersegurança, e auxiliar com outras iniciativas aprimoramento da segurança cibernética nos mercados financeiro e de capitais do Brasil.