تبریکات فصلی!در اولین شماره از «مطالعات فصلی»، توسعه‌های کلیدی در حوزه امنیت سایبری و هوش مصنوعی (AI) در سال ۲۰۲۵ را مرور می‌کنیم که همچنان به عنوان اولویت‌های برتر سازمان بورس و اوراق بهادار (SEC) در دوران رهبری جدید و استراتژی‌های در حال تغییر باقی ماندند. نکته قابل توجه، پایان غیرمنتظره یک پرونده قدیمی اجرای قوانین در زمینه امنیت سایبری مربوط به SolarWinds بود. خربزه‌کشی در پرونده حقوقی SolarWinds به داوطلبی منجر شد در نوامبر، SEC به صورت داوطلبانه و با اظهار پشیمانی، اقدام حقوقی خود علیه SolarWinds و مدیر ارشد امنیت اطلاعات (CISO) این شرکت را کنار گذاشت. این سازمان در اکتبر ۲۰۲۳ شکایتی تنظیم کرده بود که در آن متهم می‌شدند با عدم افشای آسیب‌پذیری‌های امنیت سایبری شناخته‌شده که در یک حمله سایبری روسیه مورد سوءاستفاده قرار گرفته بود، سرمایه‌گذاران را فریب داده‌اند. SEC ادعا کرد که این ضعف‌های کنترل امنیت سایبری، نقض کنترل‌های داخلی حسابداری قانونی بر اساس قوانین اوراق بهادار هستند. اما در ژوئیه ۲۰۲۴، قاضی فدرال غالب ادعاهای SEC را رد کرد و حکم داد که کنترل‌های حسابداری قانونی مربوط به کنترل‌های صورت‌جلسه مالی است و نه کنترل‌های عملیاتی امنیت سایبری. تنها یک ادعا درباره «گزارش امنیتی» نادرستی بر روی وب‌سایت SolarWinds اجازه پیگیری یافت. پس از تغییر رهبری در SEC تحت دولت جدید، طرفین توافق کردند که پرونده را حل و فصل کرده و در نوامبر به طور مشترک آن را کنار بگذارند بدون جریمه، دستور توقف یا محرومیت‌های اداری، و این پیروزی واضحی برای SolarWinds و CISO آن محسوب می‌شود که آن را «تایید و اثبات حقانیت» نامید. قوانین و فعالیت‌های اجرایی در حوزه امنیت سایبری علیرغم کنار گذاشتن برخی پیشنهادهای قوانینی در حوزه امنیت سایبری و خاتمه پرونده SolarWinds، SEC بر تمرکز خود بر اجرای مقررات امنیت سایبری ادامه داد. در فوریه ۲۰۲۵، واحد فناوری‌های نوظهور و امنیت سایبری (CETU) راه‌اندازی شد، که جایگزین واحد دارایی‌های رمزنگاری و سایبری شد. CETU متشکل از کارشناسان کلاهبرداری و وکلای مأمور در دفاتر مختلف SEC است که ماموریت آن مبارزه با سوءاستفاده‌های سایبری و حفاظت از سرمایه‌گذاران خرد در برابر کلاهبرداری‌های فناوری‌های نوظهور است. این واحد جدید نشان می‌دهد که SEC همچنان بر امنیت سایبری تأکید دارد، هرچند در حوزه تنظیم واحدهای رمزارزها عقب‌نشینی کرده است و تمرکز بر مقابله با کلاهبرداری‌هایی که سرمایه‌گذاران خرد را هدف قرار می‌دهد، حفظ شده است. اجرای قانون و قانون‌گذاری در حوزه هوش مصنوعی (AI) در حالی که از تدوین مقررات در حوزه امنیت سایبری عقب‌نشینی می‌کند، بخشی از SEC خواستار شفاف‌سازی‌های بهتر در مورد هوش مصنوعی شده‌اند. در ژوئن ۲۰۲۵، کمیته مشورتی سرمایه‌گذاری SEC پیشنهاد صدور راهنمایی برای استانداردسازی روش‌های افشای استفاده شرکت‌های عمومی از AI را داد.

پیشنهاد شده است که شرکت‌ها ملزم به: ۱) تعریف هوش مصنوعی، ۲) افشای نظارت هیئت مدیره بر استقرار AI، و ۳) توضیح تأثیر AI بر عملیات کسب‌وکار و مسائل مصرف‌کننده باشند. اما هنوز مشخص نیست که رهبری فعلی SEC قصد دارد قوانین یا راهنمایی‌های خاص در حوزه افشای AI وضع کند یا خیر، به دلیل رویکرد کلی این نهاد در مسیر کاهش تدوین مقررات. پدیده «شستن AI» این پیشنهاد بخشی به نگرانی‌ها درباره «شستن AI» پاسخ می‌دهد، پدیده‌ای که در آن شرکت‌ها توانایی‌ها و قابلیت‌های AI خود را اغراق‌آمیز یا نادرست نشان می‌دهند. در سال ۲۰۲۵، بخش اجرای قانون SEC همچنان بر مقابله با چنین رفتارهای کاذب تمرکز داشت. برای مثال، در ژانویه، SEC با شرکت Presto Automation به دلیل ادعاهای فریب‌دهنده مبنی بر اینکه محصول AI این شرکت، Presto Voice، نیاز به عامل انسانی در فرآیندهای سفارش‌گیری در رانندگی خودکار را حذف کرده، توافق کرد. در واقع، اکثر سفارش‌ها هنوز نیازمند دخالت انسانی بودند. در آوریل، SEC شکایت مدنی علیه آلبرت سانایگر، مدیرعامل سابق استارتاپ Nate Inc، مطرح کرد؛ اتهام این بود که او بیش از ۴۲ میلیون دلار جمع‌آوری کرده است با دروغ گفتن درباره اینکه اپلیکیشن خرید موبایلی شرکت از AI برای تکمیل خریدها بهره می‌برد، در حالی که بیشتر سفارش‌ها به صورت دستی پردازش می‌شدند. SEC متهم به نقض قوانین اوراق بهادار و جرائم ضدتقلب شد، هرچند هنوز سانایگر که ساکن اسپانیا است، احضار نشده است. این موارد بر اهمیت اطمینان از صحت، مستندسازی و شفافیت در اظهارنامه‌های عمومی درباره AI تأکید می‌کنند. CETU صراحتاً اعلام کرده است که از این پس بر مقابله با «شستن AI» تمرکز خواهد داشت. امنیت سایبری و هوش مصنوعی هنوز در بررسی‌های SEC اولویت دارند فراتر از اقدامات اجرایی، امنیت سایبری و AI همچنین محورهای اصلی در بررسی‌های SEC هستند. در نوامبر ۲۰۲۵، بخش بررسی‌های SEC اولویت‌های سال مالی ۲۰۲۶ خود را منتشر کرد که شامل مشاوران سرمایه‌گذاری، شرکت‌های سرمایه‌گذاری و کارگزار-نمایندگان می‌شود. این بخش مجدداً امنیت سایبری را به عنوان «اولویت دائمی» بررسی‌ها تأکید کرد، به دلیل خطرات عملیاتی ناشی از حملات سایبری. همچنین، یکی دیگر از محورهای اصلی در بررسی‌ها، آموزش‌های شرکت‌ها و کنترل‌های امنیتی برای شناسایی و کاهش ریسک‌های نوظهور مرتبط با AI خواهد بود. در مجموع، سازمان بورس در سال ۲۰۲۵ شاهد تغییرات استراتژیک ناشی از رهبری جدید بود، اما همچنان بر تعهد قوی به مقابله با چالش‌های حوزه امنیت سایبری و AI تأکید داشت، از طریق اجرای قانون، ایجاد واحدهای تخصصی جدید و اولویت‌بندی در بررسی‌ها، در حالی که با احتیاط در مسیر تدوین مقررات در این حوزه‌های در حال تحول حرکت می‌کند.