Η SEC απαιτεί τώρα από τις εταιρείες να αποκαλύπτουν τις κυβερνοεπιθέσεις σε 4 ημέρες

Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ ενέκρινε νέους κανόνες που απαιτούν από τις εισηγμένες εταιρείες να αποκαλύπτουν τις κυβερνοεπιθέσεις εντός τεσσάρων εργάσιμων ημερών αφότου διαπιστωθεί ότι πρόκειται για ουσιώδη περιστατικά.

Σύμφωνα με την εποπτική αρχή της Wall Street, ουσιαστικά περιστατικά είναι εκείνα που οι μέτοχοι μιας δημόσιας εταιρείας θα θεωρούσαν σημαντικά «για τη λήψη μιας επενδυτικής απόφασης».

Η SEC ενέκρινε επίσης νέους κανονισμούς που υποχρεώνουν τους ξένους ιδιώτες εκδότες να παρέχουν ισοδύναμες γνωστοποιήσεις μετά από παραβιάσεις της ασφάλειας στον κυβερνοχώρο.

“Είτε μια εταιρεία χάσει ένα εργοστάσιο σε μια πυρκαγιά – είτε εκατομμύρια αρχεία σε ένα περιστατικό κυβερνοασφάλειας – μπορεί να είναι σημαντικό για τους επενδυτές. Επί του παρόντος, πολλές δημόσιες εταιρείες παρέχουν γνωστοποίηση κυβερνοασφάλειας στους επενδυτές.”

είπε

Ο πρόεδρος της SEC Gary Gensler σήμερα.

“Πιστεύω ότι οι εταιρείες και οι επενδυτές, ωστόσο, θα ωφελούνταν εάν αυτή η αποκάλυψη γινόταν με πιο συνεπή, συγκρίσιμο και χρήσιμο τρόπο για τη λήψη αποφάσεων. Μέσω της βοήθειας ώστε οι εταιρείες να αποκαλύπτουν ουσιώδεις πληροφορίες για την ασφάλεια στον κυβερνοχώρο, οι σημερινοί κανόνες θα ωφελήσουν τους επενδυτές, τις εταιρείες και οι αγορές που τους συνδέουν».

Οι εισηγμένες εταιρείες πρέπει πλέον να περιλαμβάνουν λεπτομέρειες σχετικά με την κυβερνοεπίθεση (συμπεριλαμβανομένης της φύσης, της έκτασης και του χρόνου του περιστατικού) στις περιοδικές καταθέσεις αναφορών, ειδικά σε έντυπα 8-K.

Αυτοί οι νέοι κανόνες αναφοράς περιστατικών κυβερνοασφάλειας πρόκειται να τεθούν σε ισχύ τον Δεκέμβριο ή 30 ημέρες μετά τη δημοσίευσή τους στο Ομοσπονδιακό Μητρώο.

Ωστόσο, οι μικρότερες εταιρείες θα λάβουν επιπλέον 180 ημέρες προτού υποχρεωθούν να παράσχουν γνωστοποιήσεις του Έντυπου 8-K.

Σε ορισμένες περιπτώσεις, το χρονοδιάγραμμα αποκάλυψης μπορεί επίσης να αναβληθεί εάν ο Γενικός Εισαγγελέας των ΗΠΑ κρίνει ότι μια άμεση αποκάλυψη θα αποτελούσε σημαντικό κίνδυνο για την εθνική ασφάλεια ή τη δημόσια ασφάλεια.

Έγκαιρες αποκαλύψεις που αποσκοπούν στην αύξηση της διαφάνειας

Η σημερινή ανακοίνωση ακολουθεί τα σχέδια για την υιοθέτηση αυτών των νέων κανόνων που αποκαλύφθηκαν από την SEC πριν από περισσότερο από ένα χρόνο, τον Μάρτιο του 2022.

Οι νέοι κανόνες (

PDF

) παρέχει στους επενδυτές έγκαιρες ειδοποιήσεις σχετικά με συμβάντα ασφαλείας που επηρεάζουν τις εισηγμένες εταιρείες, βελτιώνοντας την κατανόησή τους σχετικά με τη διαχείριση και τη στρατηγική του κινδύνου στον κυβερνοχώρο.

Απαιτούν την αποκάλυψη των ακόλουθων πληροφοριών σχετικά με την παραβίαση (εφόσον είναι διαθέσιμες κατά τη στιγμή της υποβολής του Έντυπου 8-K):

• Η ημερομηνία ανακάλυψης και η κατάσταση του συμβάντος (σε εξέλιξη ή επιλύθηκε).
• Μια συνοπτική περιγραφή της φύσης και της έκτασης του περιστατικού.
• Οποιαδήποτε δεδομένα ενδέχεται να έχουν παραβιαστεί, τροποποιηθεί, προσπελαστεί ή χρησιμοποιηθεί χωρίς εξουσιοδότηση.
• Οι επιπτώσεις του συμβάντος στις λειτουργίες της εταιρείας.
• Πληροφορίες σχετικά με τις συνεχιζόμενες ή ολοκληρωμένες προσπάθειες αποκατάστασης από την εταιρεία.

Ωστόσο, οι επηρεαζόμενες εταιρείες δεν αναμένεται να αποκαλύψουν τεχνικές λεπτομέρειες των σχεδίων απόκρισης συμβάντων ή λεπτομέρειες σχετικά με πιθανές ευπάθειες που ενδέχεται να επηρεάσουν τις ενέργειες απόκρισης ή αποκατάστασης.

Σύμφωνα με τον Lesley Ritter, Ανώτερο Αντιπρόεδρο της Moody’s Investors

Service

, οι νέοι κανόνες θα αυξήσουν τη διαφάνεια, αλλά πιθανότατα θα αποδειχθούν προκλητικοί για τις μικρότερες εταιρείες.

«Οι κανόνες αποκάλυψης κυβερνοασφάλειας που εγκρίθηκαν από την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ νωρίτερα σήμερα θα παρέχουν μεγαλύτερη διαφάνεια σε έναν κατά τα άλλα αδιαφανή αλλά αυξανόμενο κίνδυνο, καθώς και περισσότερη συνέπεια και προβλεψιμότητα», δήλωσε ο Ritter στο BleepingComputer.

«Η αυξημένη γνωστοποίηση θα πρέπει να βοηθήσει τις εταιρείες να συγκρίνουν πρακτικές και μπορεί να ενθαρρύνει βελτιώσεις στην άμυνα στον κυβερνοχώρο, αλλά η τήρηση των νέων προτύπων αποκάλυψης θα μπορούσε να είναι μεγαλύτερη πρόκληση για μικρότερες εταιρείες με περιορισμένους πόρους».