SEC wzywa spółki publiczne: Jeśli zostaniesz zhakowany, musimy o tym wiedzieć w ciągu 4 dni

Zgodnie z nowymi przepisami Komisji Papierów Wartościowych i Giełd, spółki notowane na giełdzie, które padną ofiarą poważnego ataku hakerskiego, będą musiały ujawnić ten incydent w ciągu maksymalnie czterech dni roboczych.

SEC zagłosowała dziś za przyjęciem nowych zasad, które mają na celu zwiększenie przejrzystości dla inwestorów w czasach, gdy cyberataki stały się powszechne.

„Obecnie wiele spółek publicznych ujawnia inwestorom informacje na temat cyberbezpieczeństwa” – powiedział w komunikacie przewodniczący SEC Gary Gensler. „Uważam jednak, że zarówno spółki, jak i inwestorzy skorzystaliby na tym, gdyby informacje te były ujawniane w bardziej spójny, porównywalny i użyteczny sposób”.

W szczególności, firmy będą musiały ujawniać „istotne incydenty cyberbezpieczeństwa, których doświadczają”, co oznacza włamania, które obejmują stratę znacznej ilości pieniędzy lub działalności. Ponadto będą one musiały zgłosić włamanie w ciągu czterech dni roboczych po uznaniu incydentu za istotny.

Cztery dni to krótki czas, ale SEC twierdzi, że termin ten jest „wykonalny”, ponieważ firmy będą musiały jedynie podać „podstawowe dane identyfikacyjne incydentu oraz jego istotny wpływ lub racjonalnie prawdopodobny istotny wpływ”.

Jedynym wyjątkiem są włamania komputerowe, które mają wpływ na bezpieczeństwo narodowe. „Ujawnienie może zostać opóźnione, jeśli Prokurator Generalny Stanów Zjednoczonych stwierdzi, że natychmiastowe ujawnienie stanowiłoby poważne zagrożenie dla bezpieczeństwa narodowego lub publicznego i powiadomi Komisję o takim stwierdzeniu na piśmie” – czytamy w komunikacie SEC.

W takim przypadku firma może opóźnić naruszenie do 30 lub 60 dni. W związku z tym, jeśli firma nadal potrzebuje czasu na załatanie luki w oprogramowaniu, która ułatwiła włamanie, teoretycznie może złożyć wniosek o przedłużenie.

Inna ważna wprowadzona zasada dotyczy ogólnej postawy spółki notowanej na giełdzie w zakresie cyberbezpieczeństwa. SEC wymaga, aby firmy opisywały swoje wysiłki na rzecz odpierania cyberzagrożeń i opisywały, jaki istotny wpływ mogą one mieć na ich działalność.

Chociaż firmy często dobrowolnie zgłaszają incydenty związane z cyberbezpieczeństwem, zasady SEC obiecują zapobiec potencjalnemu ukrywaniu przez firmy z całej branży informacji o mniej znanych włamaniach. Oczekuje się, że zasady wejdą w życie do końca roku.

Amit Yoran, dyrektor generalny firmy Tenable zajmującej się cyberbezpieczeństwem, twierdzi, że nowe zasady powinny skłonić firmy do traktowania bezpieczeństwa IT jako „konieczności”, a nie jedynie luksusu. „Jest to znaczący krok w kierunku większej przejrzystości i odpowiedzialności, który znacznie poprawi naszą gotowość w zakresie cyberbezpieczeństwa” – mówi Yoran. „Pod wieloma względami zasady SEC będą regulować to, co firmy powinny wdrożyć w pierwszej kolejności: dobrą higienę cybernetyczną”.