Изменение правил SEC также требует от публичных компаний ежегодного раскрытия информации о своих подходах к кибербезопасности, что может подтолкнуть их к увеличению инвестиций в защиту ИТ.
Новые правила, новые порядки
Согласно новым правилам Комиссии по ценным бумагам и биржам, публичные компании, подвергшиеся серьезному взлому, должны будут раскрыть информацию об инциденте в течение четырех рабочих дней.
Сегодня Комиссия по ценным бумагам и биржам проголосовала 3-2 за принятие новых правил, которые призваны повысить прозрачность для инвесторов в условиях, когда кибератаки стали обычным явлением.
“В настоящее время многие публичные компании предоставляют инвесторам информацию о кибербезопасности”, – сказал председатель Комиссии по ценным бумагам и биржам Гэри Генслер в своем заявлении. “Однако я думаю, что и компании, и инвесторы только выиграют, если это раскрытие будет более последовательным, сопоставимым и полезным для принятия решений”.
В частности, компании должны будут раскрывать информацию о “существенных инцидентах в сфере кибербезопасности”, под которыми понимаются взломы, затрагивающие значительные суммы денег или бизнес. Кроме того, они должны будут сообщать о взломе “в течение четырех рабочих дней” после того, как инцидент будет признан существенным.
Четыре дня – это небольшой срок, но SEC утверждает, что этот срок “выполним”, так как компаниям нужно будет предоставить только “основные идентификационные данные инцидента и его существенное влияние или обоснованно вероятное существенное влияние”.
Единственным исключением являются компьютерные взломы, затрагивающие национальную безопасность. “Раскрытие информации может быть отложено, если генеральный прокурор США определит, что немедленное раскрытие информации будет представлять существенный риск для национальной или общественной безопасности, и уведомить Комиссию о таком решении в письменном виде”, – говорится в сообщении SEC.
В этом случае компания может отложить раскрытие информации на срок до 30 или 60 дней. Таким образом, если компании все еще нужно время, чтобы залатать уязвимость в программном обеспечении, которая способствовала взлому, она теоретически может подать заявку на продление.
Другое важное правило, введенное в действие, касается общей позиции публично торгуемых компаний в области кибербезопасности. SEC требует от компаний описать свои усилия по противодействию киберугрозам и рассказать о том, какое существенное влияние эти угрозы могут оказать на их бизнес.
Хотя компании часто сообщают об инцидентах, связанных с кибербезопасностью, добровольно, правило SEC обещает предотвратить потенциальное замалчивание компаниями отрасли информации о менее известных взломах. Ожидается, что правила вступят в силу к концу года.
Что говорят эксперты
Амит Йоран, генеральный директор компании Tenable, специализирующейся на кибербезопасности, говорит, что новые правила должны подтолкнуть компании к тому, чтобы рассматривать ИТ-безопасность как “обязательный элемент”, а не просто как роскошь. “Это значительный шаг в сторону большей прозрачности и подотчетности, который значительно повысит нашу готовность к кибербезопасности как государства”, – говорит он. “Во многих отношениях правило SEC будет регулировать то, что компании должны были внедрять с самого начала: хорошую кибергигиену”.