Компаниям, пострадавшим от серьезных кибератак, установлен четырехдневный срок для публичного раскрытия их воздействия, в соответствии с новыми правилами, утвержденными в среду Комиссией по ценным бумагам и биржам США. Об этом сообщает Bloomberg Law.
В некоторых случаях раскрытие информации может быть отложено, если Генеральный прокурор США установит, что немедленное раскрытие информации создаст существенный риск для национальной или общественной безопасности, и уведомит SEC о таком решении.
Эти правила, предложенные в прошлом году и активно оспариваемые организациями, требуют, чтобы компании, чьи акции котируются на фондовой бирже, сообщали подробности кибератаки в течение четырех дней после выявления существенного влияния на деятельность компании.
Правила раскрытия информации регулятора рынков – это последняя попытка повысить прозрачность информационных угроз после многих лет атак на бизнес со стороны преступных группировок и хакеров, поддерживаемых другими государствами.
По данным Bloomberg Law, правила также предназначены для устранения пробелов в существующих раскрытиях в отношении информационной безопасности.
Публичные компании в настоящее время полагаются на руководящие принципы SEC в отношении того, когда следует устранять киберриски и инциденты, которые считаются важными для инвесторов.
Это создало определенную неразбериху и непоследовательность при публикации информации о киберинцидентах. Компании, которые сообщают об инцидентах, предоставляют разное количество деталей о влиянии и своей реакции на них, а о некоторых киберинцидентах не сообщается своевременно, либо не сообщается вовсе.
Компании, которые не предоставляют информацию о кибератаках, могут столкнуться с расследованиями и штрафами от SEC за введение инвесторов в заблуждение.
Например, компания-разработчик программного обеспечения SolarWinds Corp. была уведомлена о возможных принудительных действиях SEC в связи с обширной хакерской кампанией, раскрытой в 2020 году, в результате которой хакеры смогли проникнуть в компьютерные системы правительства США и американских корпораций.
