Η Επιτροπή Κεφαλαιαγοράς των ΗΠΑ (SEC) θεσπίζει νέους κανόνες που απαιτούν από τις εισηγμένες εταιρείες να αποκαλύπτουν τις κυβερνοεπιθέσεις εντός τεσσάρων ημερών, αφού διαπιστωθεί ότι πρόκειται για σημαντικά περιστατικά.
Σύμφωνα με τη ρυθμιστική αρχή, σημαντικά θεωρούνται τα περιστατικά τα οποία οι μέτοχοι μιας εταιρείας θα θεωρούσαν “σημαντικά” για τη λήψη μιας επενδυτικής απόφασης.
“Είτε μια εταιρεία χάσει ένα εργοστάσιο σε μια πυρκαγιά – είτε εκατομμύρια αρχεία σε ένα περιστατικό κυβερνοασφάλειας – αυτό μπορεί να είναι σημαντικό για τους επενδυτές. Επί του παρόντος, πολλές εταιρείες παρέχουν πληροφορίες για περιστατικά κυβερνοασφάλειας στους επενδυτές“, δήλωσε σήμερα ο πρόεδρος της SEC, Gary Gensler.
Δείτε επίσης: Alphapo hack: Οι Lazarus hackers βρίσκονται από πίσω;
“Πιστεύω ότι οι εταιρείες και οι επενδυτές θα ωφελούνταν εάν αυτή η αποκάλυψη γινόταν με πιο συνεπή, συγκρίσιμο και χρήσιμο τρόπο για τη λήψη αποφάσεων… Οι σημερινοί κανόνες θα ωφελήσουν τους επενδυτές, τις εταιρείες και τις αγορές που τους συνδέουν“.
Πλέον, οι εισηγμένες εταιρείες πρέπει να συμπεριλαμβάνουν λεπτομερείς πληροφορίες σχετικά με τις κυβερνοεπιθέσεις στις καταθέσεις τους, και κυρίως στις αναφορές 8-K. Οι λεπτομέρειες αυτές πρέπει να αναφέρονται στο χρόνο, τη φύση και την έκταση του περιστατικού.
Οι νέοι κανόνες αναφοράς περιστατικών αναμένεται να τεθούν σε ισχύ τον Δεκέμβριο ή 30 ημέρες μετά τη δημοσίευσή τους στο Ομοσπονδιακό Μητρώο.
Ωστόσο, οι μικρότερες εταιρείες θα έχουν επιπλέον 180 ημέρες προθεσμία πριν υποχρεωθούν να παράσχουν σχετικές πληροφορίες βάσει του Form 8-K.
Υπάρχουν περιπτώσεις όπου το προβλεπόμενο χρονοδιάγραμμα αποκάλυψης μπορεί να καθυστερήσει, αν ο Γενικός Εισαγγελέας των Ηνωμένων Πολιτειών κρίνει ότι η άμεση αποκάλυψη θα αποτελέσει σημαντικό κίνδυνο για την εθνική ασφάλεια ή τη δημόσια ασφάλεια.
Δείτε επίσης: Ubuntu: Το 40% των χρηστών είναι ευάλωτοι σε νέα ελαττώματα privilege elevation
Έγκαιρες αποκαλύψεις για περισσότερη διαφάνεια
Το σχέδιο για την εφαρμογή αυτών των κανόνων είχε αποκαλυφθεί από την SEC πριν από περισσότερο από ένα χρόνο, τον Μάρτιο του 2022.
Οι νέοι κανόνες (PDF) παρέχουν στους επενδυτές έγκαιρες ειδοποιήσεις σχετικά με περιστατικά ασφαλείας που επηρεάζουν τις εισηγμένες εταιρείες
. Γνωρίζοντας αυτές τις πληροφορίες, οι επενδυτές θα μπορούν να κατανοήσουν καλύτερα κάποια πράγματα όπως τον τρόπο που διαχειρίζεται μια εταιρεία περιστατικά ασφάλειας στον κυβερνοχώρο.Οι πληροφορίες που πρέπει να αποκαλύπτονται είναι οι εξής:
- Η ημερομηνία ανακάλυψης και η κατάσταση του συμβάντος (δηλαδή αν η επίθεση βρίσκεται σε εξέλιξη ή έχει αντιμετωπιστεί).
- Μια συνοπτική περιγραφή της φύσης και της έκτασης του περιστατικού.
- Οποιαδήποτε δεδομένα που μπορεί να έχουν παραβιαστεί, τροποποιηθεί ή χρησιμοποιηθεί χωρίς εξουσιοδότηση.
- Οι επιπτώσεις του συμβάντος στις λειτουργίες της εταιρείας.
- Πληροφορίες σχετικά με τις συνεχιζόμενες ή ολοκληρωμένες προσπάθειες αποκατάστασης.
Δείτε επίσης: Εκπαίδευση: Ο αγαπημένος στόχος των ransomware συμμοριών το 2022
Ωστόσο, οι επηρεαζόμενες εταιρείες δεν χρειάζεται να αποκαλύψουν τεχνικές λεπτομέρειες των σχεδίων απόκρισης ή λεπτομέρειες σχετικά με πιθανές ευπάθειες που ενδέχεται να επηρεάσουν τις ενέργειες απόκρισης ή αποκατάστασης.
Σύμφωνα με τον Lesley Ritter, Ανώτερο Αντιπρόεδρο της Moody’s Investors Service, οι νέοι κανόνες θα αυξήσουν τη διαφάνεια, αλλά πιθανότατα θα προκαλέσουν δυσκολίες στις μικρότερες εταιρείες.
Η έγκαιρη αναφορά ενός περιστατικού κυβερνοασφάλειας είναι κρίσιμης σημασίας, καθώς μπορεί να επιταχύνει την απόκριση και να περιορίσει τις συνέπειες. Όταν προκύπτει ένα περιστατικό, η ενημέρωση των κατάλληλων ρυθμιστικών αρχών και των επενδυτών σχετικά με τη φύση, την έκταση και τις επιπτώσεις της επίθεσης, μπορούν να είναι καθοριστικές για τη διατήρηση της εμπιστοσύνης και την αποκατάσταση. Αυτά τα στοιχεία μπορούν να βοηθήσουν τους επενδυτές να κατανοήσουν τον κίνδυνο στον οποίο είναι εκτεθειμένες οι επενδύσεις τους και να προσαρμόσουν αναλόγως τις στρατηγικές τους.
Πηγή: www.bleepingcomputer.com