Američka komisija za vrijednosne papire i berze (SEC) u srijedu je odobrila nova pravila koja zahtijevaju od kompanija kojima se javno trguje da objave detalje kibernetičkih napada u roku od četiri dana od utvrđivanja da on ima “materijalan” uticaj na njihove finansije, što je označilo veliku promjenu u načinu na koji se kršenja otkrivaju.
“Bilo da kompanija izgubi fabriku u požaru – ili milione fajlova u incidentu sa kibernetičkom bezbednošću – to može biti od značaja za investitore”, rekao je predsednik SEC-a Gary Gensler. “Trenutno, mnoga javna preduzeća obezbeđuju otkrivanje kibernetičke sigurnosti investitorima. Mislim da bi i kompanije i investitori, imali koristi kada bi se ovo otkrivanje vršilo na konzistentniji, uporediviji i korisniji način za odluke.”
U tom cilju, nove obaveze nalažu da kompanije otkriju prirodu, obim i vrijeme incidenta, kao i njegov uticaj. Ovo otkrivanje, međutim, može biti odgođeno za dodatni period do 60 dana ako se utvrdi da bi objavljivanje takvih podataka „predstavljalo značajan rizik po nacionalnu ili javnu sigurnost“.
Oni također zahtijevaju od registranta da na godišnjoj osnovi opisuju metode i strategije koje se koriste za procjenu, identifikaciju i upravljanje materijalnim rizicima od prijetnji kibernetičke sigurnosti, detaljno opisuju materijalne efekte ili rizike koji nastaju kao rezultat tih događaja i dijele informacije o tekućoj ili završenoj sanaciji napori.
“Ključna riječ ovdje je ‘materijal’ i mogućnost da se utvrdi šta to zapravo znači”, rekao je izvršni direktor Safe Security-a Saket Modi za The Hacker News. “Većina organizacija nije spremna da se pridržava smjernica SEC-a jer ne mogu odrediti materijalnost, koja je ključna za zaštitu dioničara. Nedostaju im sistemi za analiziranje rizika na širim i granularnim nivoima.”
Uz to, pravila se ne protežu na “specifične, tehničke informacije o planiranom odgovoru registranta na incident ili njegovim sistemima kibernetičke sigurnosti, povezanim mrežama i uređajima, ili potencijalnim ranjivostima sistema u takvim detaljima koji bi ometali odgovor registranta ili saniranje incidenta .”
Politika, koja je prvi put predložena u martu 2022. godine, smatra se nastojanjem da se unese veća transparentnost u prijetnje s kojima se američke kompanije suočavaju od kibernetičkog kriminala i hakera nacionalnih država, da se popune praznine u odbrani i praksi otkrivanja podataka o kibernetičkoj sigurnosti i ojačaju sistemi protiv krađe podataka i upadi.
Posljednjih mjeseci, više od 500 kompanija postalo je žrtve kibernetičkog napada koji je orkestrirao ransomware banda pod nazivom Cl0p, potaknut eksploatacijom kritičnih nedostataka u softveru koji se široko koristi u poslovnim okruženjima, pri čemu hakeri koriste nove metode eksfiltracije za krađu podataka, prema Krollu.
Izvršni direktor i predsjednik kompanije Tenable, Amit Yoran, rekao je da su nova pravila o upravljanju kibernetičkim rizikom i otkrivanju incidenata “ispravna na novcu” i da su “dramatičan korak ka većoj transparentnosti i odgovornosti”.
“Kada kibernetička kršenja imaju posljedice u stvarnom životu i troškove reputacije, investitori bi trebali imati pravo znati o aktivnostima upravljanja kibernetičkim rizikom organizacije”, dodao je Yoran.
Uz to, izražena je zabrinutost da je vremenski okvir suviše kratak, što dovodi do moguće netačnih otkrivanja, s obzirom na to da kompanijama mogu biti potrebne sedmice ili čak mjeseci da u potpunosti istraže kršenje. Da bi se stvar dodatno zakomplikovala, preuranjena obavještenja o kršenju mogu uputiti druge napadače na osjetljivu metu i pogoršati sigurnosne rizike.
“Novi zahtjev koji je postavio SEC prema kojem se od organizacija zahtijeva da prijave kibernetičke napade ili incidente u roku od četiri dana izgleda agresivno, ali je u manjem vremenskom okviru od drugih zemalja”, rekao je James McQuiggan, zagovornik svijesti o sigurnosti u KnowBe4.
“Unutar EU, UK, Kanade, Južne Afrike i Australije, kompanije imaju 72 sata da prijave kibernetički incident. U drugim zemljama poput Kine i Singapura, to je 24 sata. Indija mora prijaviti kršenje u roku od šest sati.”
„U svakom slučaju, organizacije bi trebale imati ponovljive i dobro dokumentirane planove odgovora na incidente s komunikacijskim planovima, procedurama i zahtjevima o tome ko je doveden u incident i kada“, dodao je McQuiggan.
Izvor: The Hacker News