Нові правила SEC вимагають від американських компаній повідомляти про кібератаки протягом 4 днів

Комісія з цінних паперів і бірж США (SEC) в середу затвердила нові правила, які вимагають від публічних компаній оприлюднювати деталі кібератаки протягом чотирьох днів з моменту виявлення, якщо атака має “суттєвий” вплив на їхні фінанси, що знаменує собою значний зсув у способах розкриття інформації про комп’ютерні зломи.

“Незалежно від того, чи втрачає компанія завод під час пожежі, чи мільйони файлів під час інциденту з кібербезпекою, це може бути суттєвим для інвесторів”, – сказав голова Комісії з цінних паперів і бірж США Гері Генслер. “Наразі багато публічних компаній надають інвесторам інформацію про кібербезпеку. Однак я думаю, що і компанії, і інвестори виграли б, якби це розкриття інформації було більш послідовним і корисним для прийняття рішень”.

Нові зобов’язання вимагають, щоб компанії розкривали характер, масштаб і час інциденту, а також його наслідки. Це розкриття, однак, може бути відкладено на додатковий період до 60 днів, якщо буде визначено, що розкриття такої інформації “становитиме значний ризик для національної безпеки або громадської безпеки”.

Вони також вимагають від реєстрантів щорічно описувати методи і стратегії, що використовуються для оцінки, ідентифікації та управління матеріальними ризиками від загроз кібербезпеки, детально описувати матеріальні наслідки або ризики, що виникають в результаті цих подій, а також ділитися інформацією про поточні або завершені зусилля з виправлення ситуації.

“Ключовим словом тут є “матеріальний” і можливість визначити, що це насправді означає”, – сказав генеральний директор Safe Security Сакет Моді (Saket Modi). “Більшість організацій не готові дотримуватися рекомендацій SEC, оскільки вони не можуть визначити суттєвість, що є основою для захисту акціонерів. Їм бракує систем для кількісної оцінки ризиків на широкому та детальному рівнях”.

При цьому правила не поширюються на “конкретну технічну інформацію про заплановані заходи реагування реєстранта на інцидент або його системи кібербезпеки, пов’язані з ними мережі та пристрої, або потенційні вразливості системи в такій мірі, щоб це перешкоджало реагуванню реєстранта на інцидент або його усуненню”.

Ця політика, вперше запропонована в березні 2022 року, розглядається як спроба забезпечити більшу прозорість загроз, з якими стикаються американські компанії з боку кіберзлочинності та національних держав, закрити прогалини в захисті кібербезпеки та практиках розкриття інформації, а також зміцнити системи проти крадіжки даних та вторгнень.

За останні місяці понад 500 компаній стали жертвами кібератак, організованих бандою зловмисників-вимагачів під назвою Cl0p, які використовували критичні недоліки програмного забезпечення, що широко застосовується в корпоративному середовищі, і застосовували нові методи проникнення для викрадення даних, згідно з даними Kroll.

Генеральний директор і голова Tenable Аміт Йоран заявив, що нові правила щодо управління кібер-ризиками та розкриття інформації про інциденти “влучні” і що вони є “значним кроком до більшої прозорості та підзвітності”

“Коли кіберпорушення мають реальні наслідки та репутаційні витрати, інвестори повинні мати право знати про діяльність організації з управління кіберризиками”, – додав Йоран.

Разом з тим, були висловлені побоювання, що часові рамки є занадто стислими, що може призвести до неточного розкриття інформації, враховуючи, що компаніям можуть знадобитися тижні або навіть місяці, щоб повністю розслідувати зловмисників. Крім того, передчасні повідомлення про порушення можуть наштовхнути інших зловмисників на вразливу ціль і посилити ризики для безпеки.

“Нова вимога Комісії з цінних паперів і бірж США, яка зобов’язує організації повідомляти про кібератаки або інциденти протягом чотирьох днів, здається агресивною, але встановлює більш м’які часові рамки, ніж в інших країнах”, – сказав Джеймс МакКвігган, фахівець з питань інформаційної безпеки в KnowBe4

“У будь-якому випадку, організації повинні мати повторювані та добре задокументовані плани реагування на інциденти з планами комунікації, процедурами та вимогами щодо того, хто і коли залучається до інциденту”, – додала пані МакКвігган.