W USA został wprowadzony wymóg, na którym dla odmiany skorzystamy na całym świecie. Amerykańskie firmy będą musiały ujawniać, jeśli dojdzie do cyberataku.
Nową zasadę prowadzenia biznesu zatwierdziła Komisja Papierów Wartościowych i Giełd. Od teraz każda firma notowana na publicznej giełdzie musi ujawniać, jeśli padła ofiarą cyberataku. Na podanie informacji do wiadomości publicznej będzie miała 4 dni od momentu wykrycia ataku. Jako że w Unii Europejskiej korzystamy z mnóstwa usług amerykańskich firm, na czele z Google, my również możemy na tym skorzystać.
Dotychczas firmy w USA ujawniały cyberataki wedle uznania. Niektóre z lubością zamiatają swoje błędy pod dywan, inne przedstawiają sytuację wyłącznie inwestorom.
Zmiana dotyczy zdarzeń, które mają wpływ na finanse firmy, a w przypadku spółek notowanych na giełdzie może to być właściwie wszystko. Gary Gensler pracujący w komisji porównał cyberatak do pożaru. Jego zdaniem „bez względu na to, czy firma straci fabrykę w pożarze, czy miliony plików w naruszeniu cyberbezpieczeństwa, to może mieć materialne znaczenie dla inwestorów”. Na publicznym ujawnianiu incydentów powinni skorzystać wszyscy zainteresowani – inwestorzy, klienci i same firmy. Komisja życzyłaby sobie, by raporty były spójne, by można było je porównywać i by pomagały w podjęciu kluczowych decyzji finansowych.
Firmy będą miały obowiązek, by podawać do wiadomości publicznej typ zdarzenia, zakres, ramy czasowe oraz szacowany wpływ. Standardowo spółki będą miały 4 dni na przygotowanie wiadomości. Jeśli w grę wchodzić będzie bezpieczeństwo publiczne lub narodowe, czas ten może być wydłużony do 60 dni. Chodzi tu o takie przypadki jak wykrycie luki 0-day w drodze analizy incydentu.
Dodatkowo co rok spółki będą musiały publikować raporty opisujące metody wykrywania i oceny zagrożeń oraz metody likwidowania szkód. Pierwsze konsekwencje zmiany zobaczymy jeszcze w tym roku.
Zobacz: Natychmiast skasuj to z telefonu. Wysyła twoje zdjęcia do Chin
To świetny krok w kierunku większej przejrzystości działań na rzecz bezpieczeństwa w sieci i budowania zaufania do usług, z których korzystamy. Temu nie można zaprzeczyć. Obawiam się jednak, że prawnicy opłacani przez kapitalistów będą mieli pole do popisu w udowadnianiu, że taki czy inny wyciek danych nie powoduje strat w raporcie kwartalnym spółki. Komisja z kolei nie wymaga opisywania szczegółów technicznych, a więc wymieniania konkretnych podatności, wykorzystanych przez atakujących. Ponadto na rynku działa mnóstwo firm, które są totalnie nieprzygotowane do oceny ryzyka i szacowania potencjalnych strat finansowych. Do ideału jeszcze długa droga.
Źródło zdjęć: Lucky-photographer / Shutterstock
Źródło tekstu: SEC.gov
