前情回顾·网络安全信息披露要求

安全内参7月28日消息,美国证券交易委员会(SEC)于26日通过新规,要求上市公司在4天内披露所有可能影响其利润的网络安全违规事件。如果立即披露会带来严重危及国家安全或公共安全,可延迟披露。

当天的投票结果为3票赞成、2票反对,基本按照党派划线。为了保护投资者,新规要求上市公司每年披露公司的网络安全风险管理、战略和治理的基础信息。

如果美国司法部长认定违规事件披露“对国家安全或公共安全构成重大风险”,并以书面形式通知证券交易委员会,则违规事件可以延迟披露。除非有特殊情况,延期不得超过60天。

证券交易委员会主席Gary Gensler在一份声明中说:“不论是公司失火导致工厂损失,还是网络安全事件造成数百万份文件丢失,都可能对投资者产生重大影响。”但是,目前对两类事件的披露要求并不一致。

穆迪投资者服务公司高级副总裁Lesley Ritter发表声明称,新规将为“原本不透明但不断增长的风险增加透明度”,并可能推动增强网络防御;但是,对于资源有限的小公司而言,新规可能带来更大的挑战。

具体来说,4天的披露期限要从公司确定违规事件属于重大级别才开始计算。

共和党证券交易委员Hester Peirce对新规投了反对票。他抱怨说,这些新要求不但超越了证券交易委员会的权力范围,而且“设计上更符合潜在黑客的需求”,他们可以从详细披露信息中了解公司如何管理网络风险。Hester Peirce发表声明表示,证券交易委员会将不由自主的、更加频繁地“过度干预”公司运营。

网络安全领域知名专家、Tenable首席执行官Amit Yoran热烈欢迎这项新规。他在一份声明中表示:“长期以来,美国最大、最强的公司一直将网络安全视为可有可无的事项。现在,可以明确,企业领导必须在组织内提升网络安全的重要性。”

网安事件影响日益扩大,信息披露不能再遮掩

相关规定最早于2022年3月提出。当时,业务数字化不断推进,远程办公不断增加,证券交易委员会因而认定企业网络违规事件带来的风险逐渐升高,投资者因网络安全事件遭受的损失也在增多。

目前,一些关键基础设施运营商和所有医疗保健提供商必须依法报告违规事件。但是,美国还没有制定联邦违规事件披露法律。

根据IBM最新发布的一份报告,企业处理违规事件平均需要付出450万美元的成本,比过去三年增加了15%。波耐蒙研究所的研究员发现,受影响企业通常会将成本转嫁给消费者,而这些消费者的个人信息可能已在违规事件中被窃取。

新规通过之际正好发生了一起重大数据违规事件,各方对其披露速度偏慢、披露信息模糊,有些披露是以向证券交易委员会提交文件的形式实现的。

这次违规事件的罪魁祸首是俄罗斯网络犯罪分子,他们利用广泛使用的文件传输程序MOVEit发动供应链攻击,影响了数百家组织。此次违规事件波及多家大学、主要养老基金、美国政府机构,以及俄勒冈州和路易斯安那州的900多万车主,还影响到英国广播公司、英国航空公司、安永会计师事务所和普华永道会计师事务所等公司。

MOVEit违规事件的许多受害者很快就发现,数据泄露是第三方应用程序所致。证券交易委员会新规已将第三方应用程序纳入其中,指出各家公司正日益依赖外部云服务管理、存储数据。

参考资料:https://apnews.com/article/sec-cybersecurity-breach-disclosure-risk-hacking-bb6252463637793bfdc8ace5bfcbe7df

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。