FBI podrobno opisuje, kako lahko podjetja odložijo razkritja kibernetskih napadov SEC

Penka Hristovska
Objavljeno dne: December 13, 2023

FBI je ta teden izdal obvestilo o politiki, ki opisuje pravila, ki jih morajo upoštevati podjetja, da zahtevajo odlog pri poročanju kibernetskih incidentov Komisiji za vrednostne papirje in borzo (SEC).

Glede na dokument, lahko podjetja prek FBI zaprosijo DOJ (Ministrstvo za pravosodje) za odlog do 30 dni, če razkritje predstavlja tveganje za nacionalno varnost ali ogroža javno varnost nekoga. Oddelek lahko odobri zahtevo za do 60 dodatnih delovnih dni v "izrednih okoliščinah", ki veljajo za veliko tveganje za nacionalno varnost. Vendar je FBI dejal, da to ne velja za tveganja javne varnosti.

FBI bo dokumentiral vsako zahtevo, ki jo prejme, koordiniral "preverjanja nacionalne varnosti vlade ZDA in javne varnosti" ter jo posredoval ministrstvu za pravosodje v pregled.

»Potem ko FBI na podlagi preverjanja lastniških vrednostnih papirjev in postopkov za ugotavljanje dejstev napoti, bo Ministrstvo za pravosodje izdalo odločitev o zamudi. Ta odločitev bo hkrati pisno sporočena žrtvi in ​​SEC. Če Ministrstvo za pravosodje odobri zahtevo za odlog, bi moral FBI povabiti žrtev, da vse zahteve za podaljšanje odloga predloži Uradu. E-poštni naslov, na katerega lahko žrtve oddajo takšne zahteve, bo kmalu objavljen," je pojasnil FBI.

FBI in DOJ bosta na podlagi različnih dejavnikov, vključno z vrsto ranljivosti, ki je bila izkoriščena ob začetnem napadu, in branžo žrtve ugotovila, ali situacija upravičuje odlog.

»Če gre za nekaj podobnega ničelnemu dnevu in nacionalni državi, se verjetno bolj nagibamo k morebitnim pomislekom glede tega razkritja v smislu koristi tveganja za nacionalno varnost v primerjavi z nekakšnim navadnim lažnim predstavljanjem. napad,« je dejal namestnik pomočnika generalnega državnega tožilca DOJ Eun Young Choi. "To so neke vrste odločitve za vsak primer posebej, ki jih bomo morali sprejeti."

Eno pomembno opozorilo za podjetja, ki želijo zahtevati odlog, je, da morajo takoj prijaviti incident, ko ugotovijo, da je pomemben. Urad pojasnjuje, da je materialni incident kibernetske varnosti tisti, pri katerem "obstaja precejšnja verjetnost, da bi razumen delničar menil, da je pomemben" v primeru odločitve o naložbi.

"Zahteve za odlog ne bodo obdelane, razen če bodo vložene takoj po ugotovitvi pomembnosti podjetja," je poudaril FBI in dodal, da če podjetje ni prepričano, ali je incident bistven, naj še vedno takoj stopi v stik z FBI in agenti. bo pomagal ugotoviti, ali je material.

Obvestilo o politiki FBI je prišlo malo več kot teden dni pred začetkom veljavnosti novih pravil, ki jih je SEC odobrila v začetku tega leta, 18. decembra. Od podjetij zahtevajo, da izpolnijo 8-K in jo pošljejo SEC v 4 delovnih dneh po kibernetski varnosti. dogajanje.

Urad »močno spodbuja podjetja, da stopijo v stik z FBI kmalu po odkritju kibernetskega incidenta. Ta zgodnji doseg omogoča FBI-ju, da se seznani z dejstvi in ​​okoliščinami incidenta, preden podjetje odloči o pomembnosti.”

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.safetydetectives.com/news/fbi-details-how-companies-can-delay-sec-cyberattack-disclosures/