En ny regel implementerad av Securities and Exchange Commission kommer nu att kräva att offentliga företag avslöjar dataintrång mycket snabbare. Istället för att arbeta på sina egna tidtabeller (där det kan ta månader innan allmänheten får veta om information som gått förlorad till ett hack), måste börsnoterade företag dela incidenter fyra arbetsdagar efter upptäckten.
Som rapporterats av The Verge måste informationen som rapporteras till SEC inte bara ske inom fyra dagar, utan den måste också innehålla specifika detaljer om attacken. Det inkluderar hur stort det är, vad det innebär, när det hände och hur det kommer att påverka företaget – all information som normalt tar smärtsamt lång tid för konsumenterna att lära sig.
SEC gör ett undantag från denna kompakta tidslinje: om offentligt tillkännagivande av en incident kan innebära en risk för nationell säkerhet eller allmän säkerhet, då kan det bli försenat. (Inte olikt den praxis som används för avslöjande om säkerhetssårbarheter för mjukvara och hårdvara.)
SEC vill nu också veta hur företag planerar att ta itu med cybersäkerhetshot och vem som är ansvarig för att hantera det området. Förändringen i policyn kräver dessutom att börsnoterade företag förklarar sina cybersäkerhetsmetoder (inklusive om de inte har några), såväl som de förväntade riskerna från befintliga hot och tidigare incidenter.
För alla detaljer kan du läsa om denna nya uppsättning regler i SEC:s pressmeddelande – du kommer säkert att ha tid att göra det. Reglerna för avslöjande av cyberattacker börjar träda i kraft 90 dagar efter datumet för publicering i det federala registret eller den 18 december 2023, vilket någonsin kommer senare. (Mindre företag får en längre uppskov; de får 180 dagar innan de måste börja rapportera säkerhetsintrång.) Företag måste börja rapportera sina cybersäkerhetsprotokoll under räkenskapsåret som slutar den 15 december 2023 eller senare. Som det ser ut kommer det troligen inte att göra det. vara fram till 2024 som vi kommer att se om att identifiera omfattningen och effekten av ett dataintrång (och förbereda ett uttalande för den amerikanska regeringen) kan ske så snabbt som fyra dagar – eller om företag kommer att börja klassificera de flesta intrång som en fråga om offentlighet säkerhet eller nationell säkerhet.
