FBI-detaljer hvordan selskaper kan utsette avsløringer av SEC-cyberangrep

Penka Hristovska
Publisert på: Desember 13, 2023

FBI ga denne uken ut en policy-melding, som skisserte regler som selskaper må følge for å be om en forsinkelse i rapportering av cyberhendelser til Securities and Exchange Commission (SEC).

Ifølge dokument, kan selskaper be DOJ (Department of Justice), gjennom FBI, om en forsinkelse på opptil 30 dager hvis avsløringen utgjør en nasjonal sikkerhetsrisiko eller truer noens offentlige sikkerhet. Avdelingen kan innvilge en forespørsel om opptil 60 ekstra virkedager i "ekstraordinære omstendigheter" som anses som betydelig nasjonal sikkerhetsrisiko. FBI sa imidlertid at dette ikke gjelder for offentlig sikkerhetsrisiko.

FBI vil dokumentere hver forespørsel den mottar, koordinere «sjekker av amerikanske myndigheters nasjonale sikkerhet og offentlige sikkerhetsaksjer» og videresende den til DOJ for gjennomgang.

«Etter at FBI har foretatt en henvisning basert på aksjesjekker og faktaundersøkelsesprosedyrer, vil DOJ utstede en forsinkelsesavgjørelse. Denne avgjørelsen vil bli kommunisert skriftlig samtidig til offeret og SEC. Hvis DOJ godkjenner forsinkelsesforespørselen, bør FBI invitere offeret til å sende inn eventuelle forespørsler om forsinkelsesforlengelser til Spesialenheten. En e-postadresse der ofre kan sende inn slike forespørsler kommer, forklarte FBI.

FBI og DOJ vil avgjøre om situasjonen tilsier en forsinkelse basert på en rekke faktorer, inkludert typen sårbarhet som ble utnyttet da det første angrepet fant sted og industrien til offeret.

"Hvis det er noe sånt som en nulldag og en nasjonalstat, er vi sannsynligvis mer tilbøyelige til å potensielt ha en bekymring for denne avsløringen når det gjelder fordelene for nasjonal sikkerhetsrisiko kontra en slags løpende phishing angrep," sa assisterende assisterende justisminister Eun Young Choi i DOJ. "Dette er slags avgjørelser fra sak til sak som vi må ta."

Et viktig forbehold for selskaper som ønsker å be om forsinkelse, er at de umiddelbart må rapportere hendelsen når de har funnet ut at den er vesentlig. Byrået forklarer at en vesentlig cybersikkerhetshendelse er en hendelse der "det er en betydelig sannsynlighet for at en fornuftig aksjonær vil anse det som viktig" i tilfelle en investeringsbeslutning.

"Forsinkelsesforespørsler vil ikke bli behandlet med mindre de blir gjort umiddelbart etter et selskaps avgjørelse av vesentlighet," påpekte FBI, og la til at hvis selskapet ikke er sikker på om hendelsen er vesentlig, bør de likevel umiddelbart kontakte FBI og agenter vil hjelpe avgjøre om det er materiell.

FBIs policy-varsel kommer litt over en uke før de nye reglene som SEC godkjente tidligere i år trer i kraft 18. desember. De krever at selskaper fyller ut en 8-K og sender den til SEC innen 4 virkedager etter en cybersikkerhet hendelsen finner sted.

Byrået "oppfordrer sterkt selskaper til å kontakte FBI like etter at en cyberhendelse er oppdaget. Denne tidlige oppsøkingen lar FBI gjøre seg kjent med fakta og omstendigheter rundt en hendelse før selskapet tar en vesentlighetsavgjørelse.»

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.safetydetectives.com/news/fbi-details-how-companies-can-delay-sec-cyberattack-disclosures/