Η Επιτροπή Αξιών και Χρηματιστηρίου των ΗΠΑ, απαιτεί τώρα από τις εταιρείες να αποκαλύπτουν τις κυβερνοεπιθέσεις μέσα σε 4 ημέρες

Η αμερικανική Επιτροπή Κεφαλαιαγοράς θέσπισε νέους κανόνες που απαιτούν από τις εισηγμένες στο χρηματιστήριο εταιρείες να γνωστοποιούν τις κυβερνοεπιθέσεις εντός τεσσάρων εργάσιμων ημερών από τη στιγμή που διαπιστώνουν ότι πρόκειται για σημαντικά περιστατικά. Σύμφωνα με την εποπτική αρχή της Wall Street, τα ουσιώδη περιστατικά είναι εκείνα που οι μέτοχοι μιας δημόσιας εταιρείας θα θεωρούσαν σημαντικά "για τη λήψη μιας επενδυτικής απόφασης". Η Επιτροπή Κεφαλαιαγοράς ενέκρινε επίσης νέους κανονισμούς που επιβάλλουν στους αλλοδαπούς ιδιώτες εκδότες να παρέχουν ισοδύναμες γνωστοποιήσεις μετά από παραβιάσεις της κυβερνοασφάλειας.

"Είτε μια εταιρεία χάσει ένα εργοστάσιο σε μια πυρκαγιά - είτε εκατομμύρια αρχεία σε ένα περιστατικό κυβερνοασφάλειας - μπορεί να είναι ουσιώδες για τους επενδυτές. Επί του παρόντος, πολλές δημόσιες εταιρείες παρέχουν στους επενδυτές γνωστοποιήσεις σχετικά με την κυβερνοασφάλεια", δήλωσε σήμερα ο πρόεδρος της SEC Gary Gensler.

"Νομίζω, ωστόσο, ότι τόσο οι εταιρείες όσο και οι επενδυτές θα επωφελούνταν εάν η γνωστοποίηση αυτή γινόταν με πιο συνεπή, συγκρίσιμο και χρήσιμο για τη λήψη αποφάσεων τρόπο. Βοηθώντας να διασφαλιστεί ότι οι εταιρείες γνωστοποιούν σημαντικές πληροφορίες για την κυβερνοασφάλεια, οι σημερινοί κανόνες θα ωφελήσουν τους επενδυτές, τις εταιρείες και τις αγορές που τις συνδέουν."

Οι εισηγμένες εταιρείες πρέπει πλέον να περιλαμβάνουν λεπτομέρειες σχετικά με την κυβερνοεπίθεση (συμπεριλαμβανομένης της φύσης, της έκτασης και του χρόνου του περιστατικού) στις καταθέσεις περιοδικών εκθέσεων, συγκεκριμένα στα έντυπα 8-K. Αυτοί οι νέοι κανόνες αναφοράς περιστατικών κυβερνοασφάλειας πρόκειται να τεθούν σε ισχύ τον Δεκέμβριο ή 30 ημέρες μετά τη δημοσίευσή τους στο Ομοσπονδιακό Μητρώο. Ωστόσο, οι μικρότερες εταιρείες θα έχουν επιπλέον 180 ημέρες προτού υποχρεούνται να υποβάλουν γνωστοποιήσεις στο έντυπο 8-K. Σε ορισμένες περιπτώσεις, το χρονοδιάγραμμα δημοσιοποίησης μπορεί επίσης να αναβληθεί εάν ο Γενικός Εισαγγελέας των ΗΠΑ κρίνει ότι η άμεση δημοσιοποίηση θα αποτελούσε σημαντικό κίνδυνο για την εθνική ή τη δημόσια ασφάλεια.

Η σημερινή ανακοίνωση ακολουθεί τα σχέδια για την υιοθέτηση αυτών των νέων κανόνων που αποκάλυψε η Επιτροπή Κεφαλαιαγοράς πριν από περισσότερο από ένα χρόνο, τον Μάρτιο του 2022. Οι νέοι κανόνες παρέχουν στους επενδυτές έγκαιρες κοινοποιήσεις σχετικά με περιστατικά ασφαλείας που επηρεάζουν τις εισηγμένες εταιρείες, βελτιώνοντας την κατανόηση της διαχείρισης και της στρατηγικής των κινδύνων κυβερνοασφάλειας. Απαιτούν τη γνωστοποίηση των ακόλουθων πληροφοριών που σχετίζονται με παραβιάσεις (εφόσον είναι διαθέσιμες κατά τη στιγμή της υποβολής του εντύπου 8-K):

• Την ημερομηνία ανακάλυψης και την κατάσταση του περιστατικού (σε εξέλιξη ή επιλυμένο).
• Συνοπτική περιγραφή της φύσης και της έκτασης του περιστατικού.
• Τυχόν δεδομένα που ενδέχεται να έχουν παραβιαστεί, αλλοιωθεί, προσπελαστεί ή χρησιμοποιηθεί χωρίς εξουσιοδότηση.
• Ο αντίκτυπος του περιστατικού στις δραστηριότητες της εταιρείας.
• Πληροφορίες σχετικά με τις τρέχουσες ή ολοκληρωμένες προσπάθειες αποκατάστασης από την εταιρεία.

Ωστόσο, οι επηρεαζόμενες εταιρείες δεν αναμένεται να αποκαλύψουν τεχνικές λεπτομέρειες των σχεδίων αντιμετώπισης του συμβάντος ή λεπτομέρειες σχετικά με πιθανά τρωτά σημεία που ενδέχεται να επηρεάσουν τις ενέργειες αντιμετώπισης ή αποκατάστασης. Σύμφωνα με την Lesley Ritter, ανώτερη αντιπρόεδρο της Moody's Investors Service, οι νέοι κανόνες θα αυξήσουν τη διαφάνεια, αλλά πιθανόν να αποδειχθούν πρόκληση για τις μικρότερες εταιρείες.

"Οι κανόνες δημοσιοποίησης της κυβερνοασφάλειας που εγκρίθηκαν νωρίτερα σήμερα από την Επιτροπή Κεφαλαιαγοράς των ΗΠΑ θα παράσχουν μεγαλύτερη διαφάνεια σε έναν κατά τα άλλα αδιαφανή αλλά αυξανόμενο κίνδυνο, καθώς και μεγαλύτερη συνέπεια και προβλεψιμότητα", δήλωσε η Ritter στο BleepingComputer.

"Η αυξημένη δημοσιοποίηση θα πρέπει να βοηθήσει τις εταιρείες να συγκρίνουν τις πρακτικές και μπορεί να ωθήσει τις βελτιώσεις στις άμυνες στον κυβερνοχώρο, αλλά η τήρηση των νέων προτύπων δημοσιοποίησης θα μπορούσε να αποτελέσει μεγαλύτερη πρόκληση για τις μικρότερες εταιρείες με περιορισμένους πόρους".