FBI、企業が SEC サイバー攻撃の開示を遅らせる方法を詳述

ペンカ・フリストフスカ
発行日： 2023 年 12 月 13 日

FBIは今週、証券取引委員会（SEC）へのサイバーインシデント報告の遅延を要請するために企業が従わなければならない規則を概説した政策通知を発表した。

による ドキュメント, 企業は、開示が国家安全保障上のリスクを引き起こしたり、誰かの公共の安全を脅かしたりする場合、FBIを通じて司法省（司法省）に最大30日間の延期を要請することができます。 同省は、国家安全保障上の重大なリスクとみなされる「特別な状況」において、最大60営業日の追加延長要請を認めることができる。 ただし、FBIはこれは公共の安全上のリスクには適用されないと述べた。

FBIは受け取ったすべての要請を文書化し、「米国政府の国家安全保障と公共安全の公平性の検査」を調整し、審査のために司法省に送付する予定だ。

「FBIが株式調査と事実調査手順に基づいて照会を行った後、司法省は遅延決定を発行します。 この決定は被害者と SEC に同時に書面で伝えられます。 司法省が遅延要請を承認した場合、FBI は被害者に遅延延長要請を局に提出するよう勧めるべきである。 被害者がそのようなリクエストを送信できる電子メールアドレスは近々公開される予定です」とFBIは説明した。

FBIと司法省は、最初の攻撃が行われた際に悪用された脆弱性の種類や被害者の業種など、さまざまな要因に基づいて状況が遅延に値するかどうかを判断する。

「それがゼロデイや国民国家のようなものであれば、ありきたりなフィッシングではなく、国家安全保障上のリスク利益の観点から、その開示について潜在的に懸念を抱く方に傾くでしょう。攻撃だ」と司法省のチェ・ウニョン司法次官補は述べた。 「それらは、私たちが下す必要がある、ある種のケースバイケースの決定です。」

遅延を要求したい企業にとって重要な注意点の XNUMX つは、インシデントが重大であると判断したら、直ちに報告する必要があるということです。 同局は、重大なサイバーセキュリティインシデントとは、投資決定を行う際に「合理的な株主がそれを重要視する可能性がかなり高い」ものであると説明している。

「企業が重要性を判断した後、直ちに提出されない限り、遅延要請は処理されない」とFBIは指摘し、企業が事件が重要かどうか確信が持てない場合でも、直ちにFBIと捜査官に連絡すべきであると付け加えたそれが物質的かどうかを判断するのに役立ちます。

FBIの政策通知は、SECが今年初めに承認した新しい規則が18月8日に発効する4週間強前に発表された。この規則では、企業はサイバーセキュリティ問題発生後XNUMX営業日以内にXNUMX-Kに記入しSECに送付することが求められている。起こっている事件。

同局は「企業に対し、サイバーインシデントが発見されたらすぐにFBIに連絡することを強く推奨している。 この早期の対応により、FBI は企業が重要性を判断する前に事件の事実と状況を把握することができます。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.safetydetectives.com/news/fbi-details-how-companies-can-delay-sec-cyberattack-disclosures/