FBI detaliază modul în care companiile pot întârzia dezvăluirile SEC privind atacurile cibernetice

Penka Hristovska
Publicat în data de: December 13, 2023

FBI a emis săptămâna aceasta o notificare de politică, subliniind regulile pe care companiile trebuie să le respecte pentru a solicita o întârziere în raportarea incidentelor cibernetice către Securities and Exchange Commission (SEC).

Potrivit document, companiile pot cere DOJ (Departamentul de Justiție), prin intermediul FBI, o întârziere de până la 30 de zile dacă dezvăluirea prezintă un risc pentru securitatea națională sau amenință siguranța publică a cuiva. Departamentul poate acorda o cerere de până la 60 de zile lucrătoare suplimentare în „circumstanțe extraordinare” care sunt considerate un risc substanțial pentru securitatea națională. Cu toate acestea, FBI a spus că acest lucru nu se aplică riscurilor pentru siguranța publică.

FBI va documenta fiecare solicitare pe care o primește, va coordona „verificările privind securitatea națională și acțiunile de siguranță publică ale guvernului SUA” și o va transmite DOJ pentru examinare.

„După ce FBI face o sesizare bazată pe verificări de acțiuni și proceduri de constatare a faptelor, DOJ va emite o decizie de întârziere. Această determinare va fi comunicată în scris simultan victimei și SEC. Dacă DOJ aprobă cererea de întârziere, FBI ar trebui să invite victima să trimită Biroului orice cereri de prelungire a amânării. Urmează o adresă de e-mail la care victimele pot trimite astfel de cereri”, a explicat FBI.

FBI și DOJ vor stabili dacă situația justifică o întârziere pe baza unei varietăți de factori, inclusiv tipul de vulnerabilitate care a fost exploatat atunci când a avut loc atacul inițial și industria victimei.

„Dacă este ceva de genul zero-day și o națiune-stat, probabil că suntem mai degrabă să ne înclinăm să avem o potențial îngrijorare cu privire la această dezvăluire în ceea ce privește beneficiul riscului de securitate națională față de un fel de phishing comun. atac”, a spus procurorul general adjunct adjunct al DOJ, Eun Young Choi. „Acestea sunt un fel de determinări de la caz la caz pe care va trebui să le facem.”

Un avertisment important pentru companiile care doresc să solicite o întârziere este că trebuie să raporteze imediat incidentul odată ce stabilesc că este material. Biroul explică că un incident material de securitate cibernetică este unul în care „există o probabilitate substanțială ca un acționar rezonabil să-l considere important” în cazul luării unei decizii de investiție.

„Solicitările de întârziere nu vor fi procesate decât dacă sunt făcute imediat după ce o companie determină semnificația”, a subliniat FBI, adăugând că, dacă compania nu este sigură dacă incidentul este material, ar trebui să contacteze imediat FBI și agenții. va ajuta la determinarea dacă este material.

Notificarea de politică a FBI vine cu puțin peste o săptămână înainte ca noile reguli aprobate de SEC la începutul acestui an să intre în vigoare pe 18 decembrie. Acestea cer companiilor să completeze un 8-K și să îl trimită SEC în termen de 4 zile lucrătoare de la o securitate cibernetică. incident care are loc.

Biroul „încurajează ferm companiile să contacteze FBI imediat după ce a fost descoperit un incident cibernetic. Această informare timpurie permite FBI să se familiarizeze cu faptele și circumstanțele unui incident înainte ca compania să ia o determinare a materialității.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.safetydetectives.com/news/fbi-details-how-companies-can-delay-sec-cyberattack-disclosures/